Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In deze sectie van de naslaghandleiding voor Microsoft Entra-bewerkingen worden de controles en acties beschreven die u moet uitvoeren om de algemene bewerkingen van Microsoft Entra-id te optimaliseren.
Opmerking
Deze aanbevelingen zijn actueel vanaf de publicatiedatum, maar kunnen na verloop van tijd veranderen. Organisaties moeten hun operationele procedures continu evalueren naarmate Microsoft-producten en -services zich in de loop van de tijd ontwikkelen.
Belangrijke operationele processen
Eigenaren toewijzen aan belangrijke taken
Voor het beheren van Microsoft Entra-id is de continue uitvoering van belangrijke operationele taken en processen vereist, die mogelijk geen deel uitmaken van een implementatieproject. Het is nog steeds belangrijk dat u deze taken instelt om uw omgeving te optimaliseren. De belangrijkste taken en de aanbevolen eigenaren zijn:
| Opdracht | Eigenaar |
|---|---|
| Stimuleren van verbeteringen in de identiteitsbeveiligingsscore | InfoSec Operations Team |
| Microsoft Entra Connect-servers onderhouden | IAM Operations Team |
| IdFix-rapporten regelmatig uitvoeren en classificeren | IAM Operations Team |
| Triage van Microsoft Entra Connect Health-waarschuwingen voor synchronisatie en AD FS | IAM Operations Team |
| Als u Microsoft Entra Connect Health niet gebruikt, heeft de klant gelijkwaardige proces- en hulpprogramma's om aangepaste infrastructuur te bewaken | IAM Operations Team |
| Als u AD FS niet gebruikt, heeft de klant gelijkwaardige proces- en hulpprogramma's om aangepaste infrastructuur te bewaken | IAM Operations Team |
| Hybride logboeken monitoren: Privénetwerkconnectors van Microsoft Entra | IAM Operations Team |
| Hybride logs monitoren: Passthrough-authenticatieagenten | IAM Operations Team |
| Hybride logboeken bewaken: Service voor wachtwoord terugschrijven | IAM Operations Team |
| Hybride logboeken bewaken: on-premises gateway voor wachtwoordbeveiliging | IAM Operations Team |
| Hybride logboeken bewaken: NPS-extensie voor meervoudige verificatie van Microsoft Entra (indien van toepassing) | IAM Operations Team |
Wanneer u de lijst bekijkt, moet u mogelijk een eigenaar toewijzen voor taken die een eigenaar missen of het eigendom aanpassen voor taken met eigenaren die niet zijn afgestemd op de bovenstaande aanbevelingen.
Aanbevolen lectuur voor eigenaren
Hybride beheer
Recente versies van on-premises onderdelen
De nieuwste up-to-datumversies van on-premises onderdelen bieden de klant de meest recente beveiligingsupdates, prestatieverbeteringen en functionaliteit die kunnen helpen de omgeving verder te vereenvoudigen. De meeste onderdelen hebben een instelling voor automatische upgrade, waarmee het upgradeproces wordt geautomatiseerd.
Deze onderdelen omvatten:
- Microsoft Entra Connect
- Microsoft Entra privé-netwerkconnectors
- PassThrough-verificatieagents voor Microsoft Entra
- Microsoft Entra Connect Health Agents
Tenzij er een is ingesteld, moet u een proces definiëren voor het upgraden van deze onderdelen en waar mogelijk afhankelijk zijn van de functie voor automatische upgrades. Als u onderdelen vindt die zes of meer maanden achterblijven, moet u zo snel mogelijk een upgrade uitvoeren.
Aanbevolen literatuur voor hybride beheer
- Microsoft Entra Connect: Automatische upgrade
- Meer informatie over Microsoft Entra-connectors voor privénetwerken | Automatische updates
Waarschuwingsbasislijn voor Microsoft Entra Connect Health
Organisaties moeten Microsoft Entra Connect Health implementeren voor bewaking en rapportage van Microsoft Entra Connect en AD FS. Microsoft Entra Connect en AD FS zijn essentiële onderdelen die het levenscyclusbeheer en de verificatie kunnen verbreken en daarom leiden tot storingen. Microsoft Entra Connect Health helpt bij het bewaken en verkrijgen van inzicht in uw on-premises identiteitsinfrastructuur en zorgt zo voor de betrouwbaarheid van uw omgeving.
Wanneer u de status van uw omgeving bewaakt, moet u onmiddellijk eventuele waarschuwingen met hoge ernst aanpakken, gevolgd door waarschuwingen met een lagere ernst.
Microsoft Entra Connect Health aanbevolen literatuur
Logboeken van on-premises agents
Voor sommige services voor identiteits- en toegangsbeheer zijn on-premises agents vereist om hybride scenario's mogelijk te maken. Voorbeelden hiervan zijn het opnieuw instellen van wachtwoorden, passthrough-verificatie (PTA), de Microsoft Entra-toepassingsproxy en de NPS-extensie voor meervoudige verificatie van Microsoft Entra. Het is belangrijk dat het operations-team de basislijn vaststelt en de status van deze onderdelen bewaakt door de logboeken van de onderdeelagenten te archiveren en analyseren met behulp van oplossingen zoals System Center Operations Manager of SIEM. Het is even belangrijk dat uw Infosec Operations-team of helpdesk begrijpt hoe u patronen van fouten oplost.
Aanbevolen lectuur voor logboeken van on-premises agents
- Problemen met toepassingsproxy oplossen
- Problemen met selfservice voor wachtwoordherstel oplossen
- Begrijp Microsoft Entra-connectors voor privénetwerken
- Microsoft Entra Connect: problemen met passthrough-verificatie oplossen
- Los foutcodes voor de Microsoft Entra NPS-extensie voor meervoudige authenticatie op
Beheer van on-premises agents
Het aannemen van best practices kan de optimale werking van on-premises agents helpen. Houd rekening met de volgende best practices:
- Meerdere Privénetwerkconnectors van Microsoft Entra per connectorgroep worden aanbevolen om naadloze taakverdeling en hoge beschikbaarheid te bieden door single points of failure te voorkomen bij het openen van de proxytoepassingen. Als u momenteel slechts één connector in een connectorgroep hebt die toepassingen in productie verwerkt, moet u ten minste twee connectors implementeren voor redundantie.
- Het maken en gebruiken van een privénetwerkconnectorgroep voor foutopsporingsdoeleinden kan handig zijn voor scenario's voor probleemoplossing en bij het onboarden van nieuwe on-premises toepassingen. We raden u ook aan netwerkhulpprogramma's zoals Message Analyzer en Fiddler te installeren op de connectorcomputers.
- Meerdere agenten voor passthrough-verificatie worden aanbevolen om een naadloze taakverdeling en hoge beschikbaarheid te bieden door een 'single point of failure' tijdens de authenticatiestroom te voorkomen. Zorg ervoor dat u ten minste twee passthrough-verificatieagents implementeert voor redundantie.
Aanbevolen lectuur voor beheer van on-premises agents
- Begrijp Microsoft Entra-connectors voor privénetwerken
- Passthrough-verificatie van Microsoft Entra - quickstart
Beheer op schaal
Identiteitsbeveiligingsscore
De identiteitsbeveiligingsscore biedt een meetbare meting van de beveiligingspostuur van uw organisatie. Het is belangrijk om voortdurend de gerapporteerde bevindingen te beoordelen en aan te pakken en ernaar te streven de hoogste score te hebben. De score helpt bij het volgende:
- Meet objectief uw identiteitsbeveiligingsstatus
- Verbeteringen in identiteitsbeveiliging plannen
- Bekijk het succes van uw verbeteringen
Als uw organisatie momenteel geen programma heeft om wijzigingen in Identity Secure Score te controleren, wordt u aangeraden een plan te implementeren en eigenaren toe te wijzen om acties voor verbetering te bewaken en te stimuleren. Organisaties moeten verbeteracties met een score-impact van meer dan 30 zo snel mogelijk aanpakken.
Meldingen
Microsoft stuurt e-mailcommunicatie naar beheerders om verschillende wijzigingen in de service te melden, configuratie-updates die nodig zijn en fouten waarvoor beheerders moeten ingrijpen. Het is belangrijk dat klanten de e-mailadressen voor meldingen zo instellen dat meldingen worden verzonden naar de juiste teamleden die alle meldingen kunnen bevestigen en erop kunnen reageren. U wordt aangeraden meerdere geadresseerden toe te voegen aan het berichtencentrum en te verzoeken dat meldingen (inclusief Microsoft Entra Connect Health-meldingen) worden verzonden naar een distributielijst of gedeeld postvak. Als u slechts één globale beheerdersaccount met een e-mailadres hebt, moet u ten minste twee accounts configureren die geschikt zijn voor e-mail.
Er zijn twee Van-adressen die worden gebruikt door Microsoft Entra ID: o365mc@email2.microsoft.com, waarmee berichtencentrummeldingen worden verzonden; en azure-noreply@microsoft.comwaarmee meldingen worden verzonden met betrekking tot:
- Microsoft Entra-toegangsbeoordelingen
- Microsoft Entra Connect Health
- Microsoft Entra ID-beveiliging
- Microsoft Entra Privileged Identity Management
- Meldingen van vervallende certificaten voor enterprise-apps
- Meldingen van Enterprise App Provisioning Service
Raadpleeg de volgende tabel voor informatie over het type meldingen dat wordt verzonden en waar u kunt controleren:
| Meldingsbron | Wat wordt verzonden | Waar te controleren |
|---|---|---|
| Technische contactpersoon | Synchronisatiefouten | Azure portal - eigenschappen-blade |
| Berichtencentrum | Kennisgevingen over incidenten en degradatie van Identity-services en Microsoft 365-back-endservices | Office-portal |
| Wekelijkse samenvatting van Identity Protection | Samenvatting van Identity Protection | Microsoft Entra ID Protection-blade |
| Microsoft Entra Connect Gezondheid | Waarschuwingsmeldingen | Azure-portal - Microsoft Entra Connect Health-blade |
| Meldingen voor bedrijfstoepassingen | Meldingen wanneer certificaten bijna verlopen en inrichtingsfouten optreden | Azure-portaal - Blade Bedrijfstoepassing (elke app heeft een eigen e-mailadresinstelling) |
Aanbevolen meldingen om te lezen
Operationele oppervlakte
AD FS-vergrendeling
Organisaties, die toepassingen configureren om rechtstreeks te verifiëren bij Microsoft Entra ID, profiteren van slimme vergrendeling van Microsoft Entra. Als u AD FS in Windows Server 2012 R2 gebruikt, implementeert u ad FS extranetvergrendelingsbeveiliging. Als u AD FS op Windows Server 2016 of hoger gebruikt, implementeert u slimme vergrendeling van extranets. Wij raden u ten minste aan extranetuitsluiting in te schakelen om het risico op brute force aanvallen tegen on-premises Active Directory te beperken. Als u echter AD FS in Windows 2016 of hoger hebt, moet u ook extranet slimme vergrendeling inschakelen die helpen om aanvallen met wachtwoordspray te beperken.
Als AD FS alleen wordt gebruikt voor Microsoft Entra-federatie, zijn er enkele eindpunten die kunnen worden uitgeschakeld om de kwetsbaarheid voor aanvallen te minimaliseren. Als AD FS bijvoorbeeld alleen wordt gebruikt voor Microsoft Entra ID, moet u de andere WS-Trust-eindpunten uitschakelen, behalve de eindpunten die zijn ingeschakeld voor usernamemixed en windowstransport.
Toegang tot machines met lokale identiteitsonderdelen
Organisaties moeten de toegang tot de machines met on-premises hybride onderdelen op dezelfde manier vergrendelen als uw on-premises domein. Een back-upoperator of Hyper-V-beheerder mag zich bijvoorbeeld niet aanmelden bij de Microsoft Entra Connect-server om regels te wijzigen.
Het Active Directory-beheerlaagmodel is ontworpen om identiteitssystemen te beveiligen met behulp van een set bufferzones tussen volledig beheer van de omgeving (laag 0) en de assets met een hoog risico die aanvallers vaak in gevaar hebben.
Het laagmodel bestaat uit drie niveaus en omvat alleen beheerdersaccounts, niet standaardgebruikersaccounts.
- Laag 0 : Directe controle over bedrijfsidentiteiten in de omgeving. Laag 0 omvat accounts, groepen en andere assets die direct of indirect administratieve controle hebben over het Active Directory-forest, domeinen of domeincontrollers, en alle assets die zich daarin bevinden. De beveiligingsgevoeligheid van alle assets van laag 0 is gelijk omdat ze allemaal effectief controle over elkaar hebben.
- Laag 1 : beheer van bedrijfsservers en -toepassingen. Tier 1-activa omvatten serverbesturingssystemen, cloud services en bedrijfstoepassingen. Beheerdersaccounts op laag 1 hebben beheerbeheer over een aanzienlijke hoeveelheid bedrijfswaarde die op deze assets wordt gehost. Een veelvoorkomende voorbeeldrol is serverbeheerders die deze besturingssystemen onderhouden met de mogelijkheid om alle bedrijfsservices te beïnvloeden.
- Laag 2 : beheer van werkstations en apparaten van gebruikers. Beheerdersaccounts op laag 2 hebben beheerdersbeheer over een aanzienlijke hoeveelheid bedrijfswaarde die wordt gehost op werkstations en apparaten van gebruikers. Voorbeelden hiervan zijn helpdesk- en computerondersteuningsbeheerders, omdat ze van invloed kunnen zijn op de integriteit van vrijwel alle gebruikersgegevens.
Vergrendel de toegang tot on-premises identiteitsonderdelen zoals Microsoft Entra Connect, AD FS en SQL-services op dezelfde manier als voor domeincontrollers.
Samenvatting
Er zijn zeven aspecten voor een beveiligde identiteitsinfrastructuur. Deze lijst helpt u bij het vinden van de acties die u moet uitvoeren om de bewerkingen voor Microsoft Entra-id te optimaliseren.
- Eigenaren toewijzen aan belangrijke taken.
- Automatiseer het upgradeproces voor on-premises hybride onderdelen.
- Implementeer Microsoft Entra Connect Health voor bewaking en rapportage van Microsoft Entra Connect en AD FS.
- Bewaak de status van on-premises hybride onderdelen door de logboeken van de onderdeelagent te archiveren en analyseren met behulp van System Center Operations Manager of een SIEM-oplossing.
- Implementeer beveiligingsverbeteringen door uw beveiligingspostuur te meten met identiteitsbeveiligingsscore.
- Ad FS vergrendelen.
- Vergrendel de toegang tot machines met on-premises identiteitsonderdelen.
Volgende stappen
Raadpleeg de Microsoft Entra-implementatieplannen voor implementatiedetails over mogelijkheden die u niet hebt geïmplementeerd.