Tworzenie punktu odniesienia zarządzania tożsamościami i dostępem

  • 5 min

Zarządzanie tożsamościami i dostępem (IAM) jest kluczem do udzielania dostępu i ulepszania zabezpieczeń zasobów firmowych. Aby zabezpieczać i kontrolować zasoby oparte na chmurze, należy zarządzać tożsamościami i dostępem dla administratorów platformy Azure, deweloperów aplikacji i użytkowników aplikacji.

Zalecenia dotyczące zabezpieczeń IAM

Poniższe sekcje opisują zalecenia dotyczące IAM, które znajdują się w CIS Microsoft Azure Foundations Security Benchmark v. 3.0.0. W przypadku każdej rekomendacji przedstawiono podstawowe kroki, które należy wykonać w witrynie Azure Portal. Należy wykonać te kroki dla własnej subskrypcji i przy użyciu własnych zasobów, aby zweryfikować każde zalecenie dotyczące zabezpieczeń. Należy pamiętać, że opcje poziomu 2 mogą ograniczać niektóre funkcje lub działania, dlatego należy dokładnie rozważyć opcje zabezpieczeń, które zdecydujesz się wymusić.

Ważne

Aby wykonać niektóre z tych kroków, należy być administratorem wystąpienia Microsoft Entra.

Ograniczanie dostępu do portalu administracyjnego firmy Microsoft Entra — poziom 1

Użytkownicy, którzy nie są administratorami, nie powinni mieć dostępu do portalu administracyjnego firmy Microsoft Entra, ponieważ dane są poufne i zgodnie z zasadami najniższych uprawnień.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz Microsoft Entra ID.

  2. W menu po lewej stronie w obszarze Zarządzaj wybierz pozycję Użytkownicy.

  3. W menu po lewej stronie wybierz pozycję Ustawienia użytkownika.

  4. W obszarze Ustawienia użytkownika w obszarze Centrum administracyjne upewnij się, że opcja Ogranicz dostęp do centrum administracyjnego firmy Microsoft Entra jest ustawiona na Wartość Tak. Ustawienie tej wartości na Tak uniemożliwia wszystkim poza administratorami dostęp do danych w portalu administracyjnym Microsoft Entra. To ustawienie nie ogranicza dostępu do programu PowerShell ani innego klienta, takiego jak Visual Studio.

  5. Jeśli zmienisz jakiekolwiek ustawienia, wybierz pozycję Zapisz na pasku menu.

Zrzut ekranu witryny Azure Portal przedstawiający opcję Ogranicz dostęp do portalu administracyjnego firmy Microsoft Entra ustawioną na Wartość Tak.

Włączanie uwierzytelniania wieloskładnikowego dla użytkowników firmy Microsoft Entra

  • Włącz uwierzytelnianie wieloskładnikowe dla użytkowników uprzywilejowanych Microsoft Entra ID — poziom 1
  • Włącz uwierzytelnianie wieloskładnikowe dla nieuprzywilejowanych użytkowników Microsoft Entra — Poziom 2

Włącz uwierzytelnianie wieloskładnikowe dla wszystkich użytkowników firmy Microsoft Entra.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz Microsoft Entra ID.

  2. W menu po lewej stronie w obszarze Zarządzaj wybierz pozycję Użytkownicy.

  3. Na pasku menu Wszyscy użytkownicy wybierz Uwierzytelnianie wieloskładnikowe dla poszczególnych użytkowników.

    Zrzut ekranu przedstawiający opcję uwierzytelniania wieloskładnikowego w okienku Microsoft Entra w witrynie Azure Portal.

  4. W oknie uwierzytelnianie wieloskładnikowe dla poszczególnych użytkowników zaznacz pole wyboru dla wszystkich użytkowników, a następnie wybierz pozycję Włącz uwierzytelnianie wieloskładnikowe.

    Zrzut ekranu przedstawiający sposób włączania uwierzytelniania wieloskładnikowego dla użytkownika przy użyciu linku szybkich kroków.

Nie pamiętaj uwierzytelniania wieloskładnikowego na zaufanych urządzeniach — poziom 2

Zapamiętywanie funkcji uwierzytelniania wieloskładnikowego dla urządzeń i przeglądarek zaufanych przez użytkownika jest bezpłatną opcją dla wszystkich użytkowników tego typu autoryzacji. Użytkownicy mogą pominąć kolejne weryfikacje przez określoną liczbę dni po pomyślnym zalogowaniu się do urządzenia przy użyciu uwierzytelniania wieloskładnikowego.

W przypadku naruszenia zabezpieczeń konta lub urządzenia pamiętaj, że uwierzytelnianie wieloskładnikowe dla zaufanych urządzeń może negatywnie wpłynąć na bezpieczeństwo. Zaleceniem zabezpieczeń jest wyłączenie zapamiętania uwierzytelniania wieloskładnikowego dla zaufanych urządzeń.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz Microsoft Entra ID.

  2. W menu po lewej stronie w obszarze Zarządzaj wybierz pozycję Użytkownicy.

  3. Na pasku menu Wszyscy użytkownicy wybierz Uwierzytelnianie wieloskładnikowe dla poszczególnych użytkowników.

  4. W oknie uwierzytelnianie wieloskładnikowe dla poszczególnych użytkowników wybierz użytkownika. Wybierz przycisk Ustawienia uwierzytelniania wieloskładnikowego użytkownika.

    Zrzut ekranu przedstawiający okno użytkowników uwierzytelniania wieloskładnikowego firmy Microsoft i link zarządzaj ustawieniami użytkownika.

  5. Zaznacz pole wyboru Przywróć uwierzytelnianie wieloskładnikowe na wszystkich zapamiętanych urządzeniach, a następnie wybierz pozycję Zapisz.

    Zrzut ekranu przedstawiający wybraną opcję Przywróć uwierzytelnianie wieloskładnikowe na wszystkich zapamiętanych urządzeniach.

Upewnij się, że użytkownicy-goście są regularnie przeglądani — poziom 1

Upewnij się, że żaden użytkownik-gość nie istnieje lub alternatywnie, jeśli firma wymaga użytkowników-gości, upewnij się, że uprawnienia gościa są ograniczone.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz Microsoft Entra ID.

  2. W menu po lewej stronie w obszarze Zarządzaj wybierz pozycję Użytkownicy.

  3. Wybierz przycisk Dodaj filtry.

  4. W obszarze Filtry wybierz pozycję Typ użytkownika. W polu Wartość wybierz pozycję Gość. Wybierz pozycję Zastosuj , aby sprawdzić, czy żaden użytkownik-gość nie istnieje.

    Zrzut ekranu witryny Azure Portal przedstawiający filtrowanie identyfikatora Entra firmy Microsoft dla użytkowników-gości.

  5. Jeśli zmienisz jakiekolwiek ustawienia, wybierz pozycję Zapisz na pasku menu.

Opcje hasła

  • Powiadamianie użytkowników o resetowaniu hasła — poziom 1
  • Powiadamianie wszystkich administratorów, gdy inni administratorzy zresetują swoje hasło — poziom 2
  • Wymaganie dwóch metod resetowania haseł — poziom 1

W przypadku zestawu uwierzytelniania wieloskładnikowego osoba atakująca musiałaby naruszyć bezpieczeństwo obu formularzy uwierzytelniania tożsamości, zanim złośliwie zresetuje hasło użytkownika. Upewnij się, że resetowanie hasła wymaga dwóch form uwierzytelniania tożsamości.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz Microsoft Entra ID.

  2. W menu po lewej stronie w obszarze Zarządzaj wybierz pozycję Resetowanie hasła.

  3. W menu po lewej stronie w obszarze Zarządzanie wybierz pozycję Metody uwierzytelniania.

  4. Ustaw pozycję Liczba metod wymaganych do zresetowania na wartość 2.

  5. Jeśli zmienisz jakiekolwiek ustawienia, wybierz pozycję Zapisz na pasku menu.

Zrzut ekranu Portalu Azure pokazujący okienko metod uwierzytelniania do resetowania haseł Microsoft z liczbą metod wymaganą do zresetowania ustawioną na 2.

Ustanawianie interwału ponownego potwierdzania metod uwierzytelniania użytkowników — poziom 1

Jeśli ponowne potwierdzenie uwierzytelniania jest wyłączone, zarejestrowani użytkownicy nie będą monitowani o ponowne potwierdzenie informacji uwierzytelniania. Bezpieczniejszą opcją jest włączenie ponownego potwierdzenia uwierzytelniania dla ustawionego interwału.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz Microsoft Entra ID.

  2. W menu po lewej stronie w obszarze Zarządzaj wybierz pozycję Resetowanie hasła.

  3. W menu po lewej stronie w obszarze Zarządzaj wybierz pozycję Rejestracja.

  4. Upewnij się, że liczba dni przed ponowną prośbą o potwierdzenie informacji uwierzytelniających użytkownikównie jest ustawiona na 0. Wartość domyślna to 180 dni.

  5. Jeśli zmienisz jakiekolwiek ustawienia, wybierz pozycję Zapisz na pasku menu.

Zrzut ekranu witryny Azure Portal przedstawiający formularz z liczbą dni ponownego potwierdzenia informacji uwierzytelniania.

Ustawienie zaproszenia gościa — poziom 2

Tylko administratorzy powinni mieć możliwość zapraszania użytkowników-gości. Ograniczenie zaproszeń do administratorów gwarantuje, że tylko autoryzowane konta mają dostęp do zasobów platformy Azure.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz Microsoft Entra ID.

  2. W menu po lewej stronie w obszarze Zarządzaj wybierz pozycję Użytkownicy.

  3. W menu po lewej stronie wybierz pozycję Ustawienia użytkownika.

  4. W okienku Ustawienia użytkownika w obszarze Użytkownicy zewnętrzni wybierz pozycję Zarządzaj ustawieniami współpracy zewnętrznej.

  5. W obszarze Ustawienia współpracy zewnętrznej w obszarze Ustawienia zaproszenia gościa wybierz pozycję Tylko użytkownicy przypisani do określonych ról administracyjnych mogą zapraszać użytkowników-gości.

    Zrzut ekranu przedstawiający ustawienia zaproszenia gościa z opcjami Tylko użytkownicy przypisani do określonych ról administratora mogą zapraszać wybranych użytkowników-gości.

  6. Jeśli zmienisz jakiekolwiek ustawienia, wybierz pozycję Zapisz na pasku menu.

Użytkownicy mogą tworzyć grupy zabezpieczeń i zarządzać nimi — poziom 2

Po włączeniu tej funkcji wszyscy użytkownicy w usłudze Microsoft Entra ID mogą tworzyć nowe grupy zabezpieczeń. Należy ograniczyć tworzenie grupy zabezpieczeń do administratorów.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz Microsoft Entra ID.

  2. W menu po lewej stronie w obszarze Zarządzaj wybierz pozycję Grupy.

  3. W okienku Wszystkie grupy w menu po lewej stronie w obszarze Ustawienia wybierz pozycję Ogólne.

  4. W przypadku grup zabezpieczeń upewnij się, że użytkownicy mogą tworzyć grupy zabezpieczeń w witrynie Azure Portals, interfejsie API lub programie PowerShell ma wartość Nie.

    Zrzut ekranu przedstawiający okienko Ustawienia ogólne grup z opcją Użytkownicy mogą tworzyć grupy zabezpieczeń ustawioną na Nie.

  5. Jeśli zmienisz jakiekolwiek ustawienia, wybierz pozycję Zapisz na pasku menu.

Włączone samoobsługowe zarządzanie grupami — poziom 2

Jeśli firma nie wymaga delegowania samoobsługowego zarządzania grupami do różnych użytkowników, zalecamy wyłączenie tej funkcji jako środków ostrożności.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz Microsoft Entra ID.

  2. W menu po lewej stronie w obszarze Zarządzaj wybierz pozycję Grupy.

  3. W okienku Wszystkie grupy w menu po lewej stronie w obszarze Ustawienia wybierz pozycję Ogólne.

  4. W obszarze Samoobsługowe zarządzanie grupami upewnij się, że wszystkie opcje są ustawione na Nie.

  5. Jeśli zmienisz jakiekolwiek ustawienia, wybierz pozycję Zapisz na pasku menu.

Zrzut ekranu przedstawiający opcje grupy samoobsługowej firmy Microsoft Entra ustawione na Nie.

Opcje aplikacji — zezwalanie użytkownikom na rejestrowanie aplikacji — poziom 2

Wymagaj od administratorów rejestrowania aplikacji niestandardowych.

  1. Zaloguj się w witrynie Azure Portal. Wyszukaj i wybierz Microsoft Entra ID.

  2. W menu po lewej stronie w obszarze Zarządzaj wybierz pozycję Użytkownicy.

  3. W menu po lewej stronie wybierz pozycję Ustawienia użytkownika.

  4. W okienku Ustawienia użytkownika upewnij się, że Rejestracje aplikacji jest ustawiona na Nie.

  5. Jeśli zmienisz jakiekolwiek ustawienia, wybierz pozycję Zapisz na pasku menu.

Zrzut ekranu przedstawiający użytkowników usługi Microsoft Entra, zarejestrowanych w aplikacji jako Nie.