Hopp til hovedinnhold

Avansert identitetsbeskyttelse med Azure AD Premium P2

Logo letter
Evelon AS
Jon-Alfred Smith
Passord login

Azure Active Directory (AD) sørger for sikker tilgang til Microsoft 365, Azure og Dynamics 365, samt tredjeparts skyapper og lokale applikasjoner. Katalogtjenesten er tilgjengelig i fire utgaver. Azure AD Free og Office 365 gir grunnleggende verktøy for identitets- og tilgangsstyring. Premium P1 legger til et bredt spekter av sikkerhetsfunksjoner, som multifaktor-autentisering (MFA) kombinert med betinget tilgang, og selvbetjent tilbakestilling av passord.

Premium P2 plusser på med avansert identitetsbeskyttelse, administrasjon av privilegerte identiteter og Entra Identitetsstyring for å forvalte ressurstilganger med automatiserte arbeidsflyter. For mange kan Premium P1 være alt de trenger for å sikre virksomheten i skyen. Mens enkelte ønsker en mer avansert beskyttelse. Premium P1 følger med Microsoft 365 Business Premium. Premium P2 inngår i Microsoft 365 E5 og kan lisensieres frittstående.

Én enkelt identitet for alle tilganger

Ansatte jobber på tvers av organisasjoner og utenfor huset. Stadig flere er sjelden eller aldri innom bedriftsnettverket. Lokale applikasjoner fases ut og erstattes med skytjenester. Angriperne bryter seg i mindre grad inn i virksomheten, men logger på med rappet legitimasjon. Dette gjør tradisjonell nettverksbeskyttelse av bedriftsressurser mindre effektivt og krever andre sikkerhetstiltak. Den nye sikkerhetsperimeteren eller kontrollplanet er identiteten, det eneste konstante med ansatte som befinner seg hvor som helst og jobber på nær sagt hva som helst.

oversikt over pålogging i azure ad

Ideelt sett har hver bruker bare én identitet for alle tilganger på tvers av Microsofts plattformer, tredjeparts skyapper og applikasjoner i ditt datasenter. Det gjør det lett for brukere og forenkler administrasjon og overvåking. For å sikre at du bare har én inngangsportal kan lokale tjenester publiseres til Internett med teknologier som Azure AD App Proxy eller Citrix (skrivebord som tjeneste). Om du likevel har behov for en VPN-løsning, kan du sette opp Azure AD for VPN-godkjenning. På den måten benytter du alle innebygde sikkerhetsmekanismer for å beskytte identitetene.

Bruker logger på med multifaktor-autentisering (MFA) eller passordløs godkjenning. Azure AD autentiserer og autoriserer påloggingen, dvs. bekrefter identiteten til en bruker og sørger for å tildele nødvendige tilganger og rettigheter. Dette styres av en policymotor som kalles Betinget tilgang. Den fungerer som beslutnings- og håndhevelsespunkt. Tilgang kan tillates, begrenses og blokkeres, kreve MFA eller at bruker endrer passord – avhengig av om ulike forutsetninger oppfylles.

Betinget tilgang

Betinget tilgang fungerer på tilsvarende måte som ved et utested. En dørvakt kontrollerer om du er gammel nok til å komme inn, ikke er for beruset eller viser utagerende atferd. Kleskodeksen kan også spille en rolle. Om t-skjorten din er fillete eller tilsølet, kan vakten si: «Sorry kompis. Kom deg hjem å få på deg finstasen.» Overført på en datamaskin kan det bety at den ikke er konfigurert i samsvar med retningslinjene virksomheten har trukket opp, eller at den er infisert med skadevare. Da stenges bruker på den maskinen ute allerede ved inngangsdøren (men kan logge på fra en frisk enhet).

betinget tilgang

Betinget tilgang er hjørnesteinen i Microsofts sikkerhetsmodell og Zero Trust-arkitektur. Betingelsene som legges til grunn, tar utgangspunkt i disse størrelsene:

  • Bruker- og stedsbasert. Hold følsomme data beskyttet ved å begrense brukertilgang basert på geolokasjon eller IP-adresse med stedsbaserte policyer for betinget tilgang.
  • Enhetsbasert. Sørg for at bare registrerte og klarerte enheter får tilgang til bedriftsdata med enhetsbasert betinget tilgang.
  • Applikasjonsbasert. Arbeidet behøver ikke stoppe opp når bruker ikke er på bedriftsnettverket. Sikre tilgang til bedriftsskyen og lokale apper og oppretthold kontroll med betinget tilgang.
  • Risiko-basert. Beskytt dine data mot ondsinnete hackere med risikobaserte policyer som kan benyttes på alle apper og alle brukere, enten lokalt eller i skyen (krever Azure AD Premium P2).

For å oppnå maksimal sikkerhets ønsker vi at enheter deltar i godkjenningsprosessen. Det krever at de er innrullert i Microsoft Intune, selskapets plattform for mobil enhets- og applikasjonsbehandling. Samsvarspolicyer setter opp regler de må innfri: sikker oppstart, kryptert lagring, OS-versjon, oppdatert programvare osv. Om de ikke oppfyller kriteriene, slipper de ikke inn før svakhetene er utbedret. Et tilleggsmoment er at Defender for Endpoint/Business kan endre samsvarsstatus når det oppdages skadevare.

oppdagelse av skadevare

Med Azure AD Premium P1 (og Microsoft 365 Business Premium) kan vi angi betingelser som tar utgangpunkt i bruker/gruppemedlemskap, fysisk oppholdssted, enhetshelse og applikasjoner. Men det er nødvendig med Premium P2 for å sette opp retningslinjer for risikobasert betinget tilgang, som bestemmer om vi har å gjøre med risikofylte pålogginger eller risikable brukere. Denne oppgaven tar Azure AD Identitetsbeskyttelse seg av.

Azure AD Identitetsbeskyttelse

Azure AD Identitetsbeskyttelse er en skybasert sikkerhetstjeneste utformet for å hjelpe organisasjoner med å beskytte brukeridentiteter og oppdage potensielle identitetsrelaterte trusler i deres digitale miljø. Hensikten er å hindre uautorisert tilgang, kompromittert legitimasjon og identitetstyveri. Den bruker ulike sikkerhetsfunksjoner og avanserte algoritmer for å analysere brukeratferd, oppdage uregelmessigheter og gi praktisk innsikt for å redusere risiko. Viktige funksjoner er:

  • Risikobasert betinget tilgang evaluerer faktorer som plassering, enhetshelse og brukeraktivitet og kan dynamisk justere tilgangskontroller for å garantere sikker autentisering.
  • Retningslinjer for identitetsbeskyttelse oppdager og reagerer på risikofylt brukeratferd eller hendelser, som kan føre til at buker må oppgi MFA, endre passord eller blir blokkert.
  • Risikohendelser og -rapporter gir varsler om risikohendelser og mistenkelige aktiviteter, samt innsikt i potensielle trusler, noe som bidrar til en dypere forståelse av identitetsrisikoer og muliggjør proaktive tiltak for å styrke sikkerheten.
  • Risikofylt brukerpåloggingsdeteksjon anvender maskinlæringsalgoritmer for å identifisere potensielt kompromitterte eller mistenkelige påloggingsforsøk ved å sammenligne brukeratferd med kjente mønstre og risikosignaler, som pålogginger fra ukjente steder eller flere mislykkede påloggingsforsøk.
  • Integrasjon med andre sikkerhetsløsninger sørger for utvidet deteksjon og respons (XDR) på tvers av tjenester, som Microsoft 365 Defender og Defender for Cloud Apps; det forbedrer sikkerhetsstillingen ved å utnytte trusseletterretning og forskjellige former for databeskyttelse.

Konfigurere identitetsbeskyttelsen

Oversikt over identitetsbeskyttelse

Du setter opp identitetsbeskyttelsen i administrasjonssentret for Microsoft Entra. Det kan du gjøre under fanen Identity Protection, som vist her. Du ruller ut en policy som krever at brukere registrerer seg for Azure AD Multifaktor-autentisering. Så setter man opp to risikopolicyer:

Tilgang

Microsoft anbefaler at man konfigurerer policyene for utbedring av brukerrisiko og påloggingsrisiko som ovenfor. Man kunne ha blokkert tilgangen, men det ville ført til en altfor stor administrativ innsats. Kravet om å endre passord eller oppgi MFA på nytt anses som tilstrekkelig mottiltak.

tilgangspolicyer

I stedet for å sette opp policyene under Identity Protection, kan man legge dem til under reglene for betinget tilgang, som er de nederste to. Om alle har Azure AD Premium P2, behøver man ikke denne: Require MFA for all users. Da vil MFA for sluttbrukere utelukkende bli styrt av identitetsbeskyttelsen. Det er virkelig elegant, på samme måte som med Sikkerhetsstandarder bare MFA når det er nødvendig. Det er også sånn en veiviser som følger med Azure AD Premium P2, konfigurerer betinget tilgang for MFA med bare fire regler: de øverste to og nederste to. De resterende er basert på Microsofts anbefalinger om beste praksis.

Rapportering i Microsoft 365 Defender

Microsoft 365 defender

Tidligere rapporterte Azure AD Identitetsbeskyttelse bare til Azure AD, men nå er den innlemmet i Microsoft 365 Defender. Her er det simulerte et identitetsangrep fra et anonymt nettverk. Defender for Cloud Apps er også involvert i oppdagelsen. Det henvises til to velkjente taktikker i MITRE ATT&CK: innledende tilgang og forsvarsunndragelse.

Microsoft 365 defender

Det går frem av de enkelte varslene som samles i hendelsen, at Azure AD Identitetsbeskyttelse avdekker at noen prøver å få tilgang, mens Defender for Cloud Apps fastslår at det dreier seg om et forsøk på å tilsløre angrepet. Dette er XDR i praksis, vist på en enkelt glassrute.

Avsluttende ord

Med Azure AD Identitetsbeskyttelse kan organisasjoner styrke sin sikkerhetsposisjon ved å identifisere og redusere identitetsrelaterte risikoer. Det gir et ekstra lag med beskyttelse for å sikre at bare godkjente brukere har tilgang til ressurser og hjelper til med å forhindre uautorisert tilgang og datainnbrudd. Autentisering og autorisering er basert på alle tilgjengelige datapunkter, inkludert identitet, plassering, enhetshelse, dataklassifisering og uregelmessigheter. Vi tildeler bare akkurat nok rettigheter og tilganger. Og vi går ut fra at vi alltid står under angrep. Dermed er de tre grunnleggende prinsippene for Zero Trust ivaretatt: Bekreft eksplisitt, minste privilegium og anta sikkerhetsbrudd.

Publisert: . Oppdatert: .

Vi hjelper gjerne til med å finne den beste løsningen for din bedrift

Ta kontakt med oss for en uforpliktende prat!