Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tej sekcji przewodnika dokumentacji dotyczącej operacji firmy Microsoft opisano kontrole i akcje, które należy wykonać, aby zoptymalizować ogólne operacje identyfikatora Entra firmy Microsoft.
Uwaga / Notatka
Te zalecenia są aktualne od daty opublikowania, ale mogą ulec zmianie w czasie. Organizacje powinny stale oceniać swoje praktyki operacyjne w miarę rozwoju produktów i usług firmy Microsoft w miarę upływu czasu.
Kluczowe procesy operacyjne
Przypisywanie właścicieli do kluczowych zadań
Zarządzanie identyfikatorem Entra firmy Microsoft wymaga ciągłego wykonywania kluczowych zadań operacyjnych i procesów, które mogą nie być częścią projektu wdrażania. Nadal ważne jest skonfigurowanie tych zadań w celu zoptymalizowania środowiska. Najważniejsze zadania i ich zalecanych właścicieli obejmują:
| Zadanie | Właściciel |
|---|---|
| Działania na rzecz poprawy wskaźnika bezpieczeństwa tożsamości | Zespół operacyjny programu InfoSec |
| Obsługa serwerów Microsoft Entra Connect | Zespół operacyjny IAM |
| Regularnie uruchamiaj i klasyfikuj raporty IdFix | Zespół operacyjny IAM |
| Zarządzanie alertami Microsoft Entra Connect Health dotyczącymi synchronizacji i usług AD FS | Zespół operacyjny IAM |
| Jeśli nie używasz programu Microsoft Entra Connect Health, klient ma równoważny proces i narzędzia do monitorowania infrastruktury niestandardowej | Zespół operacyjny IAM |
| Jeśli nie używasz usług AD FS, klient ma równoważny proces i narzędzia do monitorowania infrastruktury niestandardowej | Zespół operacyjny IAM |
| Monitorowanie logów hybrydowych: łączniki sieci prywatnych Microsoft Entra | Zespół operacyjny IAM |
| Monitorowanie hybrydowych dzienników: agenci autoryzacji passthrough | Zespół operacyjny IAM |
| Monitor dzienników hybrydowych: usługa odzyskiwania haseł | Zespół operacyjny IAM |
| Monitorowanie dzienników hybrydowych: lokalna brama ochrony hasła | Zespół operacyjny IAM |
| Monitorowanie dzienników hybrydowych: rozszerzenie NPS uwierzytelniania wieloskładnikowego firmy Microsoft (jeśli dotyczy) | Zespół operacyjny IAM |
Podczas przeglądania listy może być konieczne przypisanie właściciela do zadań, które nie mają właściciela lub dostosowanie własności do zadań z właścicielami, którzy nie są zgodni z powyższymi zaleceniami.
Zalecana lektura dla właścicieli
Zarządzanie hybrydowe
Najnowsze wersje składników lokalnych
Posiadanie najbardziej up-towersji składników lokalnych zapewnia klientowi wszystkie najnowsze aktualizacje zabezpieczeń, ulepszenia wydajności i funkcje, które mogą pomóc w dalszym upraszczaniu środowiska. Większość składników ma ustawienie automatycznego uaktualniania, które automatyzuje proces uaktualniania.
Te składniki obejmują:
- Microsoft Entra Connect
- Łączniki sieci prywatnej firmy Microsoft Entra
- Agenci przekazywania uwierzytelniania Microsoft Entra
- Agenci programu Microsoft Entra Connect Health
O ile jeden nie został ustanowiony, należy zdefiniować proces uaktualniania tych składników i polegać na funkcji automatycznego uaktualniania zawsze, gdy jest to możliwe. Jeśli znajdziesz składniki, które mają co najmniej sześć miesięcy, należy uaktualnić je tak szybko, jak to możliwe.
Zalecane lektury dotyczące zarządzania hybrydowego
- Microsoft Entra Connect: automatyczne uaktualnianie
- Omówienie łączników sieci prywatnej firmy Microsoft Entra | Aktualizacje automatyczne
Punkt odniesienia alertów programu Microsoft Entra Connect Health
Organizacje powinny wdrażać program Microsoft Entra Connect Health na potrzeby monitorowania i raportowania programu Microsoft Entra Connect i usług AD FS. Microsoft Entra Connect i AD FS są krytycznymi składnikami, które mogą przerwać zarządzanie cyklem życia i uwierzytelnianie, a tym samym prowadzić do awarii. Program Microsoft Entra Connect Health pomaga monitorować i uzyskiwać wgląd w lokalną infrastrukturę tożsamości, zapewniając w ten sposób niezawodność środowiska.
Podczas monitorowania kondycji środowiska należy natychmiast rozwiązać wszystkie alerty o wysokiej ważności, a następnie alerty o niższej ważności.
Zalecana lektura programu Microsoft Entra Connect Health
Dzienniki agentów lokalnych
Niektóre usługi zarządzania tożsamościami i dostępem wymagają agentów lokalnych w celu włączenia scenariuszy hybrydowych. Przykłady obejmują resetowanie haseł, uwierzytelnianie przekazywane (PTA), serwer proxy aplikacji Microsoft Entra oraz rozszerzenie NPS usługi uwierzytelniania wieloskładnikowego Microsoft Entra. Najważniejsze jest, aby zespół operacyjny ustalił punkt odniesienia i monitorował kondycję tych składników poprzez archiwizowanie i analizowanie dzienników agentów składników, używając rozwiązań takich jak System Center Operations Manager lub SIEM. Równie ważne jest, aby zespół ds. operacji infosec lub dział pomocy technicznej zrozumieć, jak rozwiązywać problemy z wzorcami błędów.
Zalecane odczyty dzienników agentów lokalnych
- Rozwiązywanie problemów z serwerem proxy aplikacji
- Rozwiązywanie problemów z samoobsługowym resetowaniem hasła
- Omówienie łączników sieci prywatnej firmy Microsoft Entra
- Microsoft Entra Connect: rozwiązywanie problemów z uwierzytelnianiem przesyłowym
- Rozwiązywanie problemów z kodami błędów rozszerzenia NPS uwierzytelniania wieloskładnikowego firmy Microsoft
Zarządzanie agentami lokalnymi
Wdrożenie najlepszych rozwiązań może pomóc w optymalnym działaniu agentów lokalnych. Rozważ następujące najlepsze rozwiązania:
- W celu zapewnienia bezproblemowego równoważenia obciążenia i wysokiej dostępności zaleca się stosowanie wielu prywatnych łączników sieciowych firmy Microsoft Entra na grupę łączników, unikając pojedynczych punktów awarii podczas uzyskiwania dostępu do aplikacji proxy. Jeśli obecnie masz tylko jeden łącznik w grupie łączników, który obsługuje aplikacje w środowisku produkcyjnym, należy wdrożyć co najmniej dwa łączniki na potrzeby nadmiarowości.
- Tworzenie i używanie grupy łączników sieci prywatnej do celów debugowania może być przydatne w przypadku scenariuszy rozwiązywania problemów i dołączania nowych aplikacji lokalnych. Zalecamy również zainstalowanie narzędzi sieciowych, takich jak Message Analyzer i Fiddler na maszynach łączników.
- Zaleca się stosowanie wielu agentów uwierzytelniania z przekazywaniem, aby zapewnić bezproblemowe równoważenie obciążenia i wysoką dostępność, unikając pojedynczego punktu awarii podczas przepływu uwierzytelniania. Pamiętaj, aby wdrożyć co najmniej dwóch agentów przekazywania uwierzytelniania na potrzeby nadmiarowości.
Zalecane lektury na temat zarządzania agentami lokalnymi
- Omówienie łączników sieci prywatnej firmy Microsoft Entra
- Uwierzytelnianie przekazywane przez firmę Microsoft Entra — szybki start
Zarządzanie na dużą skalę
Wskaźnik bezpieczeństwa tożsamości
Wskaźnik bezpieczeństwa tożsamości zapewnia kwantyfikalną miarę stanu zabezpieczeń organizacji. Ważne jest, aby stale przeglądać i rozwiązywać zgłoszone wyniki oraz dążyć do osiągnięcia najwyższego możliwego wyniku. Ten wskaźnik ułatwi Ci:
- Celowe mierzenie stanu zabezpieczeń tożsamości
- Planowanie ulepszeń zabezpieczeń tożsamości
- Sprawdzanie powodzenia wprowadzonych udoskonaleń
Jeśli twoja organizacja nie ma obecnie żadnego programu do monitorowania zmian w wskaźniku bezpieczeństwa tożsamości, zaleca się zaimplementowanie planu i przypisanie właścicieli do monitorowania i zwiększania akcji poprawy. Organizacje powinny jak najszybciej podjąć działania naprawcze z wpływem na wynik większym niż 30.
Powiadomienia
Firma Microsoft wysyła wiadomości e-mail do administratorów w celu powiadamiania o różnych zmianach w usłudze, wymaganych aktualizacjach konfiguracji i błędach wymagających interwencji administratora. Ważne jest, aby klienci ustawiali adresy e-mail powiadomień, aby powiadomienia zostały wysłane do odpowiednich członków zespołu, którzy mogą potwierdzić wszystkie powiadomienia i wykonywać na nie działania. Zalecamy dodanie wielu adresatów do Centrum wiadomości i zażądanie wysłania powiadomień (w tym powiadomień microsoft Entra Connect Health) do listy dystrybucyjnej lub udostępnionej skrzynki pocztowej. Jeśli masz tylko jedno konto administratora globalnego z adresem e-mail, skonfiguruj co najmniej dwa konta z obsługą poczty e-mail.
Istnieją dwa adresy „From” używane przez Microsoft Entra ID: o365mc@email2.microsoft.com, które wysyła powiadomienia Centrum wiadomości; oraz azure-noreply@microsoft.com, które wysyła powiadomienia związane z:
- Przeglądy dostępu firmy Microsoft Entra
- Microsoft Entra Connect Health
- Ochrona identyfikatorów Microsoft Entra
- Zarządzanie tożsamościami uprzywilejowanymi Microsoft Entra
- Powiadomienia o wygaśnięciu certyfikatu aplikacji dla przedsiębiorstw
- Powiadomienia dotyczące usługi Enterprise App Provisioning
Zapoznaj się z poniższą tabelą, aby dowiedzieć się, jakie powiadomienia są wysyłane i gdzie je sprawdzić:
| Źródło powiadomień | Co jest wysyłane | Gdzie sprawdzić |
|---|---|---|
| Kontakt techniczny | Błędy synchronizacji | Azure Portal — panel właściwości |
| Centrum wiadomości | Informacje o zdarzeniach i degradacji usług Identity Services i usługach zaplecza platformy Microsoft 365 | Office Portal |
| Ochrona tożsamości — Przegląd tygodniowy | Przegląd ochrony tożsamości | Blok Ochrona identyfikatorów entra firmy Microsoft |
| Microsoft Entra Connect Health | Powiadomienia o alertach | Azure portal - strona Microsoft Entra Connect Health |
| Powiadomienia aplikacji dla przedsiębiorstw | Powiadomienia o wygaśnięciu certyfikatów i błędach aprowizacji | Witryna Azure Portal — blok Aplikacja dla przedsiębiorstw (każda aplikacja ma własne ustawienie adresu e-mail) |
Zalecane czytanie powiadomień
Obszar powierzchni operacyjnej
Blokowanie usług AD FS
Organizacje, które konfigurują aplikacje do uwierzytelniania bezpośrednio w usłudze Microsoft Entra ID, korzystają z inteligentnej blokady firmy Microsoft Entra. Jeśli używasz usług AD FS w systemie Windows Server 2012 R2, zaimplementuj ochronę blokady ekstranetu usług AD FS. Jeśli używasz usług AD FS w systemie Windows Server 2016 lub nowszym, zaimplementuj inteligentną blokadę ekstranetu. Zalecamy co najmniej włączenie blokady ekstranetu w celu powstrzymania ryzyka ataków siłowych na lokalną usługę Active Directory. Jeśli jednak masz usługi AD FS w systemie Windows 2016 lub nowszym, powinieneś także włączyć funkcję inteligentnej blokady ekstranetu, która pomoże zminimalizować ataki sprayowania haseł.
Jeśli usługi AD FS są używane tylko dla federacji Firmy Microsoft Entra, istnieją punkty końcowe, które można wyłączyć, aby zminimalizować obszar powierzchni ataków. Jeśli na przykład AD FS jest używany tylko dla Microsoft Entra ID, należy wyłączyć wszystkie punkty końcowe WS-Trust inne niż te włączone dla usernamemixed oraz windowstransport.
Dostęp do maszyn z lokalnymi komponentami tożsamości
Organizacje powinny zablokować dostęp do maszyn wyposażonych w lokalne komponenty hybrydowe w taki sam sposób, jak dla domeny lokalnej. Na przykład operator kopii zapasowej lub administrator Hyper-V nie powinien być w stanie zalogować się do serwera Microsoft Entra Connect Server w celu zmiany reguł.
Model warstwy administracyjnej usługi Active Directory została zaprojektowana w celu ochrony systemów tożsamości za pomocą zestawu stref buforowych między pełną kontrolą środowiska (warstwa 0) a zasobami stacji roboczych wysokiego ryzyka, które atakujący często naruszają zabezpieczenia.
Model warstwy składa się z trzech poziomów i obejmuje tylko konta administracyjne, a nie standardowe konta użytkowników.
- Warstwa 0 — bezpośrednia kontrola tożsamości przedsiębiorstwa w środowisku. Warstwa 0 obejmuje konta, grupy i inne zasoby, które mają bezpośrednią lub pośrednią kontrolę administracyjną lasu, domen lub kontrolerów domeny Active Directory oraz wszystkich zasobów w Active Directory. Czułość zabezpieczeń wszystkich zasobów warstwy 0 jest równoważna, ponieważ wszystkie te zasoby są efektywnie kontrolowane przez siebie.
- Warstwa 1 — kontrola serwerów i aplikacji przedsiębiorstwa. Zasoby warstwy 1 obejmują systemy operacyjne serwera, usługi w chmurze i aplikacje dla przedsiębiorstw. Konta administratora warstwy 1 mają kontrolę administracyjną nad znaczną ilością wartości biznesowej hostowanej w tych zasobach. Typową przykładową rolą są administratorzy serwerów, którzy utrzymują te systemy operacyjne z możliwością wpływu na wszystkie usługi przedsiębiorstwa.
- Warstwa 2 — kontrola stacji roboczych i urządzeń użytkowników. Konta administratora warstwy 2 mają kontrolę administracyjną nad znaczną wartością biznesową hostowaną na stacjach roboczych i urządzeniach użytkowników. Przykłady obejmują administratorów pomocy technicznej i komputerów, ponieważ mogą mieć wpływ na integralność niemal wszystkich danych użytkownika.
Zablokuj dostęp do lokalnych składników tożsamości, takich jak Microsoft Entra Connect, AD FS i usługi SQL, tak samo jak w przypadku kontrolerów domeny.
Podsumowanie
Istnieje siedem aspektów bezpiecznej infrastruktury tożsamości. Ta lista pomoże Ci znaleźć akcje, które należy wykonać, aby zoptymalizować operacje dla identyfikatora Entra firmy Microsoft.
- Przypisz właścicieli do kluczowych zadań.
- Automatyzacja procesu uaktualniania lokalnych składników hybrydowych.
- Wdróż program Microsoft Entra Connect Health na potrzeby monitorowania i raportowania programu Microsoft Entra Connect i usług AD FS.
- Monitoruj kondycję lokalnych składników hybrydowych, archiwizując i analizując dzienniki agenta składnika z wykorzystaniem System Center Operations Manager lub rozwiązania SIEM.
- Zaimplementuj ulepszenia zabezpieczeń, mierząc stan zabezpieczeń za pomocą wskaźnika bezpieczeństwa tożsamości.
- Zablokuj usługi AD FS.
- Zablokuj dostęp do maszyn za pomocą komponentów tożsamości lokalnej.
Dalsze kroki
Zapoznaj się z planami wdrażania firmy Microsoft Entra , aby uzyskać szczegółowe informacje o implementacji wszystkich nie wdrożonych możliwości.