Sikkerhetsmekanismene i Azure Active Directory (AD) dekker de nyeste teknologiene for identitet og tilgang, med verktøy for å styrke autentisering og identitetsbeskyttelse i virksomheten din. Det gjør det mulig å sikre identiteter lokalt og i skyen. Brukerne får anledning til å arbeide trygt fra hvor som helst med en førsteklasses mobil opplevelse. Bloggen Azure Active Directory – Identitet som tjeneste gir en innføring i katalogtjenesten. Her følger en gjennomgang av funksjoner du umiddelbart kan ta i bruk for å beskytte deg mot de tre mest utbredte formene for identitetsangrep, som er phishing, passordsprøyting og utnyttelse av svake eller stjålne passord.
Identitet og tilgang
Brukere må kunne jobbe uforstyrret og samtidig være beskyttet mot phishing og passordangrep. Enheter og kontoer må ikke bli kompromittert. Microsofts løsning er passordbeskyttelse, multifaktor-autentisering (MFA) og biometrisk godkjenning. Dette kombineres med betinget tilgang basert på enhetsstatus, nettverkslokasjon, maskinintelligens og mistenkelig atferd. Hello for Business sørger for godkjenning med ansiktsgjenkjenning eller fingeravtrykkslesing på Windows 10. Du kan benytte mobilappen Microsoft Authenticator for passordløs pålogging eller som annen faktor i MFA.
Microsoft samarbeider med identitetspartnere og støtter maskinvarenøkler basert på FIDO2. Målet er å komme helt bort fra passord, men der er vi ikke ennå. Azure AD Identity Protection beskytter mot identitetslekkasje og analyserer brukeratferd. Microsofts intelligente sikkerhetsgraf kombinerer stordata, mennesker og maskinlæring for å sikre selskapets produkter og beskytte organisasjoner. Intune er Microsofts plattform for mobil enhets- og applikasjonsbehandling. EDR står for endepunktsdeteksjon og -respons, en automatisert tjeneste i Defender for Endpoint.
Fire utgaver av Azure AD
Azure Active Directory er tilgjengelig i fire utgaver. Høyere versjoner omfatter alle egenskaper i de lavere. Gratis lar deg administrere brukere og grupper, med støtte for bedrift-til-bedrift-samarbeid (B2B). Brukere i skyen kan selv endre passord. Passordbeskyttelse inneholder en liste over globale forbudte passord. Sikkerhetsstandarder gjør det enkelt å sette opp MFA og blokkere gammeldagse protokoller. Office 365-apper kommer med Selvbetjent tilbakestilling av passord for skybrukere. Det er toveis synkronisering for enheter mellom lokalt AD og Azure AD. Firmavaremerking gir muligheten til å tilpasse påloggings- og avloggingssider og tilgangspanel.
Premium P1
føyer til et bredt spekter av funksjoner som beskytter brukere og gir sømløs tilgang til tjenester lokalt og i skyen. Passordbeskyttelsen støtter tilpassede forbudte passord og kan integreres i Windows AD. Selvbetjent tilbakestilling av passord skriver endringer tilbake lokalt. Azure AD App Proxy lar deg publisere applikasjoner til Internett. Cloud App Discovery oppdager skygge-IT. Azure AD Join registrerer automatisk enheter i Intune. Grupper kan være dynamiske og ha utløpsdato. Betinget tilgang kombinert med MFA bestemmer om og hvordan du får adgang til organisasjonen. Premium P2 sørger for avansert identitetsbeskyttelse og behandling av privilegerte identiteter.
Gratis
er inkludert i produkter som Azure og Power Platform. Office 365-apper er del av Microsoft 365 Business Basic og Business Standard. Premium P1 følger med Microsoft 365 Business Premium og høyere, samt Enterprise Mobility + Security (EMS) E3. Premium P2 inngår i Microsoft 365 Enterprise E5 og EMS E5. Lisens på Premium-versjonene kan også tegnes som tillegg.
Passordbeskyttelse
Azure AD Password Protection beskytter mot passordsprayangrep, også kjent som passordsprøyting. Passordbeskyttelsen inneholder en global liste over forbudte passord. Den oppdager og blokkerer kjente svake passord og deres varianter. Beskyttelsen kan ikke deaktiveres og gjelder for hele organisasjonen. Med Gratis eller Office 365-apper er det ingenting du kan konfigurere. Terskelen for å bli utestengt er ti mislykkede pålogginger. Varigheten for utestengelsen er 60 sekunder.
Med et Premium-abonnement kan du endre disse verdiene og legge til en egen liste med opptil 1000 oppføringer. Det er støtte for å integrere passordbeskyttelsen i Windows AD. Disse listene benyttes automatisk når en bruker endrer eller tilbakestiller passordet, og bestemmer om endringen skal godtas. Passordbeskyttelse er ingen erstatning for MFA, men ett lag i en sikkerhetsstrategi som gjør det vanskeligere for hackere å benytte den vanligste metoden for å knekke passord.
Passordsprøyting er en type angrep som prøver å få tilgang til et stort antall kontoer (brukernavn) med noen få vanlige passord. Til forskjell forsøker angrep med rå kraft å få uautorisert adgang til en enkelt konto ved å gjette passordet, noe som raskt kan føre til at den sperres av passordpolicyer. Under et passordsprayangrep – også omtalt som lav-og-langsom-metoden – prøver ondsinnete aktører et enkelt vanlig passord (f.eks. Password123) mot mange kontoer før angripere går videre. Det hindrer dem i å bli oppdaget ved hyppige lockouts. Innholdet i den globale listen over forbudte passord er basert på data samlet inn fra ekte innbruddsforsøk. Det øker sjansen for at beskyttelsen effektivt klarer å blokkere de fleste kjente svake passord som vil bli brukt i passordsprayangrep.
Sikkerhetsstandarder
Sikkerhetsstandarder (Security Defaults) er et sett med grunnleggende sikkerhetsmekanismer for å beskytte brukere mot identitetsrelaterte angrep. Når de er aktivert, håndheves disse anbefalingene:
Sikkerhetsstandarder er ideelt for virksomheter som bruker gratis-versjonen av Azure AD eller Office 365-apper. Har du Premium, bør du tenke deg godt om. Betinget tilgang med MFA er mer fleksibelt.
Velg Properties i adminsentret for Azure AD. Bla deg ned til Mange Security defaults. Klikk på Yes for Enable Security defaults. Klikk på Save.
Sikkerhetsstandarder kan bare brukes når du ikke har egendefinerte regler for betinget tilgang eller for identitetsbeskyttelse. Før du aktiverer Sikkerhetsstandarder, må alle tilpassede policyer fjernes. Begge kan ikke eksistere sammen. Velg Properties i adminsentret for Azure AD. Bla deg ned til Mange Security defaults. Klikk på No for Enable Security defaults. Oppgi årsaken. Klikk på Save.
Sikkerhetsstandarder er en enkel og kjapp metode for å blokkere eldre autentiseringsprotokoller og sørge for at brukere benytter MFA. De fleste kompromitterende påloggingsforsøk utnytter disse protokollene fordi de ikke kan sikres med MFA, som avverger 99,9 prosent av alle identitetsangrep. Men Sikkerhetsstandarder er ingen erstatning for betinget tilgang i Azure AD. Den tillater forskjellige sikkerhetsnivåer for forskjellige personer, apper, klarerte og ikke-klarerte enheter og steder. Du kan velge hvor og når du vil kreve MFA eller til og med blokkere tilgang.
Betinget tilgang og MFA
Ved å aktivere MFA med policyer for betinget tilgang kan du gi en bedre brukeropplevelse og styrke sikkerheten. Betingelser som kvalifiserer for tilgang, kan være bestemt av forhold som enhetstype, påloggingsatferd eller klientapplikasjon. Retningslinjer for Azure MFA og betinget tilgang gir deg fleksibiliteten til å kreve MFA for brukere under spesifikke påloggingshendelser.
Retningslinjer for betinget tilgang opererer med par som består av betingelser og tilgangskontroller. Til venstre er betingelsene. Her er ansatte med brukere og roller. Det kan være klarerte enheter som er i samsvar med interne retningslinjer. Sted kan være Internett eller lokalnettet. Det er klient-apper og autentiseringsmetoder med moderne og gammeldags godkjenning.
Til høyre er kontrollene eller handlingene som styrer tilgangen til skytjenester i Microsoft Azure og Office 365, skybaserte apper fra tredjeparter og applikasjoner som kjører lokalt. I praksis er dette hvis–så-utsagn: Hvis gitte forutsetninger er til stede, utfør bestemte handlinger. Disse kravene er nødvendig for å opprette en policy for betinget tilgang:
- En bruker eller gruppe må tilordnes policyen.
- Du definerer skyappene eller handlingene som utløser policyen. Den kan kreve ytterligere behandling, som å be om MFA ved tilgang til administrasjonsverktøy eller en applikasjon med følsomme opplysninger.
- Du kan velge i en liste over forhold, som enhetsplattform eller nettverk.
- Når alle oppgavene er konfigurert (Azure AD-gruppe, sky-app eller handlinger og / eller betingelser), kan du velge hvilke kontroller som kreves for å gi tilgang.
Her opprettes en policy som krever MFA. Den gjelder for alle brukere med én ekskludering. Du bør alltid ha en bruker med administratorrettigheter som er unntatt policyen, så du ikke låser deg selv ute. Sky-appen er Office 365, som omfatter alle apper i tjenesten. Det er satt opp én betingelse om at policyen ikke skal gjelde for klarerte nettverk. Dermed blir den mindre plagsom for brukere.
Under Tilgangskontroll konfigurerer du Tillat tilgang og Krev MFA. Det er flere andre muligheter her, som at enheten må være i samsvar eller meldt inn i både lokalt AD og Azure AD (hybrid). Noen typiske eksempler på betinget tilgang er:
- Krev MFA for brukere med administrative roller
- Krev MFA for administrasjonsoppgaver i Azure
- Blokker godkjenning for eldre autentiseringsprotokoller
- Blokker eller gi tilgang fra bestemte steder
- Blokker risikofylt påloggingsadferd
- Krev bedriftseide enheter for spesifikke applikasjoner
Målet er at bare klarerte brukere på klarerte enheter med klarerte apper skal få tilgang til bedriftsressurser. Alle andre skal i prinsippet stenges ute. Så kan det gjøres enkelte unntak. Det beskytter brukere mot identitetstyveri og virksomheten mot angrep.
Identitetsbeskyttelse
Azure AD Identity Protection er et verktøy som lar organisasjoner automatisere oppdagelsen og utbedringen av identitetsbaserte risikoer, undersøke dem ved hjelp av data i portalen og eksportere risikorelaterte data til tredjeparts verktøy for videre analyse. Identitetsbeskyttelsen bruker hva Microsoft har lært fra Azure AD, Microsoft-kontoer og Xbox-kunder. Selskapet analyserer 6,5 billioner signaler per dag for å identifisere og beskytte brukere mot trusler.
Med Identity Protection-policyer kan du kreve at brukere registrerer seg for MFA. Du setter opp regler for automatisert utbedring av risikable pålogginger og kompromitterte brukere ved å kreve MFA eller selvbetjent tilbakestilling av passord. Skjermbildet viser hvordan et angrep mot vår lille tenant fra tyske hackere ble avverget. De hadde klart å få tak i påloggingsopplysningene, men ble stanset av krav om MFA og betinget tilgang. Jeg måtte tilbakestille passordet neste gang jeg logget på. Identity Protection krever Azure AD Premium P2.
Konklusjon
Foretak er i forandring. Det krever en moderne identitets- og sikkerhetsperimeter, omkretsen som beskytter organisasjonen din. Utgangspunktet for et sikkert miljø er identitetsbeskyttelse og trygg tilgang til bedriftsressurser. Azure AD gir deg verktøyene du trenger. I adminsentret for Microsoft 365 kan du aktivere MFA per bruker, angi klarerte nettverk som ikke krever MFA, og for eksempel bare håndheve MFA ved pålogging fra samme enhet hver 14. dag. En bedre og raskere metode er å aktivere Sikkerhetsstandarder. Den mest fleksible og elegante måten er betinget tilgang med MFA. Den lar deg for alvor etablere identiteten som sikkerhetsperimeter, din nye brannmur.
