Implementering van voorwaardelike toegang in Azure AD om sekuriteit te versterk

Implementering van voorwaardelike toegang in Azure AD om sekuriteit te versterk

05/01/2024

Hierdie tegniese en opvoedkundige artikel het ten doel om sekuriteitsontleders, IT-administrateurs en stelselingenieurs te lei in die implementering en optimalisering van voorwaardelike toegang in Microsoft Entra ID (voorheen Azure Active Directory). Voorwaardelike toegang is Microsoft se vlagskip Zero Trust-beleidstoepassingsmeganisme, wat organisasies in staat stel om toegang tot hulpbronne te beheer op grond van intydse toestande soos gebruikeridentiteit, ligging, toestelgesondheid en sessierisiko [1].

Inleiding

In vandag se sekuriteitslandskap, waar kuberbedreigings gesofistikeerd is en afstandwerk algemeen voorkom, is tradisionele netwerkomtrekbeskerming nie meer voldoende nie. Azure AD Conditional Access stel organisasies in staat om weg te beweeg van 'n statiese sekuriteitsbenadering na 'n dinamiese, aanpasbare benadering waar elke toegangspoging geëvalueer word voordat dit toegestaan ​​word. Dit verseker dat toegang slegs aan vertroude gebruikers en toestelle verleen word, onder spesifieke omstandighede, wat maatskappydata en toepassings meer effektief beskerm [2].

Hierdie praktiese gids sal die skep en konfigurasie van voorwaardelike toegang-beleide dek, insluitend die vereiste van multi-faktor-verifikasie (MFA), ondersteunde toestelle, vertroude liggings en verouderde stawingblokkering. Stap-vir-stap-instruksies, konfigurasievoorbeelde en bekragtigingsmetodes sal verskaf word sodat die leser hul organisasie se sekuriteitsposisie kan implementeer en versterk, om te verseker dat toegang tot hulpbronne veilig en voldoen.

Waarom is voorwaardelike toegang van kardinale belang?

  • Zero Trust: Dit is die beleidsenjin vir die implementering van die Zero Trust-model, wat elke toegangsversoek uitdruklik verifieer.
  • Aanpasbare beheer: Laat toegangsbeleide dinamies aanpas op grond van intydse risikoseine.
  • Omvattende beskerming: Beskerm identiteite, toestelle, data en toepassings in die wolk en op die perseel.
  • MFA en Toestelnakoming: Maak dit makliker om MFA af te dwing en vereis voldoenende of Azure AD-aangeslote toestelle vir toegang.
  • Risikovermindering: Help om risiko's soos diefstal van geloofsbriewe, toegang vanaf ongemagtigde toestelle en toegang vanaf verdagte plekke te verminder.

Voorvereistes

Om voorwaardelike toegang in Azure AD te implementeer, benodig u die volgende items:

  1. Lisensiëring: 'n Microsoft Enroll ID Premium P1 of P2 (voorheen Azure AD Premium P1 of P2) lisensie. Voorwaardelike toegang is 'n unieke kenmerk van hierdie lisensies [3].
  2. Administratiewe Toegang: 'n Rekening met die rol van Voorwaardelike Toegang Administrateur, Sekuriteitsadministrateur of Globale Administrateur in die Microsoft Entra-administrasiesentrum (https://entra.microsoft.com).
  3. Gebruikers en Groepe: Gebruikers en sekuriteitsgroepe in Microsoft Entra ID om beleide te toets.
  4. Multi-Factor Authentication (MFA) Gekonfigureer: Vir beleide wat MFA vereis, moet gebruikers MFA opgestel en geregistreer hê.
  5. Bestuurde toestelle (opsioneel): Vir beleide wat ondersteunde of Azure AD/Hybrid-gekoppelde toestelle vereis, moet die toestelle bestuur word deur Microsoft Intune of Azure AD-aangesluit.

Stap vir stap: konfigurasie van voorwaardelike toegangsbeleide

Kom ons skep 'n paar noodsaaklike voorwaardelike toegang-beleide om sekuriteit te versterk.

1. Toegang tot die Microsoft Portal Voer administrasiesentrum in

  1. Maak jou blaaier oop en navigeer na https://entra.microsoft.com.
  2. Meld aan met 'n rekening wat die nodige toestemmings het.
  3. Kies Beskerming > Voorwaardelike Toegang in die linkernavigasiepaneel.

2. Skep 'n beleid om MFA vir alle gebruikers te vereis (uitgesluit noodrekeninge)

Dit is 'n fundamentele beleid vir die meeste organisasies, wat verseker dat MFA vereis word vir alle toegangspogings behalwe nood-/breekglastoegangsrekeninge.

  1. Op die Voorwaardelike Toegang-bladsy, klik Nuwe beleid > Skep nuwe beleid.
  2. Naam: 01 - Vereis MFA vir alle gebruikers.

  3. Opdragte > Identiteitsgebruikers of werkladings:

    • In Sluit in, kies Alle gebruikers.
    • Onder Vee uit, kies Gebruikers en groepe en voeg jou nuwe toegangsrekeninge byagentskap/breekglas (hoogs beskermde rekeninge wat gebruik kan word om toegang tot die huurder te kry in geval van MFA-mislukking of gidsonbeskikbaarheid).

  4. Wolkhulpbronne of -aksies:

    • Onder Sluit in, kies Alle wolktoepassings.

  5. Toekenning:

    • Kies Gee toegang.
    • Merk Vereis multifaktor-verifikasie.
    • Klik op Kies.

  6. Aktiveer beleid: Kies Slegs Rapporteer (om impak te toets voordat jy aansoek doen) of Aktiveer.

    • Wenk: Begin altyd met Report only om die impak van die beleid te monitor sonder om dit toe te pas, om die invoerloglêers na te gaan vir moontlike ongewenste blokke.
  7. Klik Skep.

3. Skep 'n beleid om verouderde verifikasie te blokkeer

Verouderde verifikasie (soos POP, IMAP, SMTP, Basiese verifikasie) ondersteun nie MFA nie en is 'n algemene vektor vir aanvalle. Dit is noodsaaklik om dit te blokkeer.

  1. Op die Voorwaardelike Toegang-bladsy, klik Nuwe beleid > Skep nuwe beleid.
  2. Naam: 02 - Blok Legacy-stawing.
  3. Opdragte > Identiteitsgebruikers of werkladings: Kies Alle gebruikers (uitgesluit jou noodrekeninge).
  4. Wolkhulpbronne of -aksies: Kies Alle wolktoepassings.

  5. Voorwaardes > Kliëntaansoeke:

    • Stel Kliënttoepassings op Ja.
    • Merk Exchange ActiveSync-kliënte en Ander kliënte.

  6. Toegangskontroles > Toekenning:

    • Kies Blokkeer toegang.
    • Klik op Kies.

  7. Aktiveer beleid: Kies Slegs verslag of Aktiveer.

  8. Klik Skep.

4. Skep 'n beleid om versoenbare toestel te vereis vir toegang tot kritieke toepassings

Hierdie beleid verseker dat slegs toestelle wat aan sekuriteitstandaarde voldoen (byvoorbeeld deur Intune bestuur) toegang tot sensitiewe programme kan kry.

  1. Op die Voorwaardelike Toegang-bladsy, klik Nuwe beleid > Skep nuwe beleid.
  2. Naam: 03 - Vereis versoenbare toestel vir kritieke toepassings.
  3. Opdragte > Identiteitsgebruikers of werkladings: Kies Alle gebruikers (of 'n spesifieke groep).

  4. Wolkhulpbronne of -aksies:

    • Onder Sluit in, kies Kies toepassings en kies kritieke toepassings (bv. SharePoint Online, Dynamics 365, lyn-van-sake toepassings).

  5. Toekenning:

    • Kies Gee toegang.
    • Merk Vereis dat toestel as ondersteun gemerk word.
    • Klik op Kies.

  6. Aktiveer beleid: Kies Slegs verslag of Aktiveer.

  7. Klik Skep.

5. Skep 'n beleid om toegang van onbetroubare liggings te blokkeer

Hierdie beleid help om te beskerm teen toegang van geografiese streke of IP-adresse wat bekend is as bronne van aanvalle.

  1. Eerstens moet jy Benoemde liggings (Benoemde liggings) in Azure AD skep om vertroude liggings te definieer (bv. maatskappykantore, VPN).

    • Gaan in die Microsoft Login-administrasiesentrum na Beskerming > Voorwaardelike Toegang > Benoemde liggings.
    • Klik Nuwe lande/streke-ligging of Nuwe IP-reekse-ligging om jou vertroude liggings te stel.

  2. Op die Voorwaardelike Toegang-bladsy, klik Nuwe beleid > Skep nuwe beleid.

  3. Naam: 04 - Blokkeer toegang vanaf onbetroubare liggings.
  4. Opdragte > Identiteitsgebruikers of werkladings: Kies Alle gebruikers.
  5. Wolkhulpbronne of -aksies: Kies Alle wolktoepassings.

  6. Voorwaardes > Liggings:

    • Stel Liggings op Ja.
    • In Sluit in, kies Enige ligging.
    • Onder Sluit uit, kies Geselekteerde liggings en kies die `Benoemde liggings' wat jy as vertrou gedefinieer het.

  7. Toegangskontroles > Toeken:

    • Kies Blokkeer toegang.
    • Klik op Kies.
  8. Aktiveer beleid: Kies Slegs verslag of Aktiveer.
  9. Klik Skep.

Bekragtiging en toetsing

Die validering van voorwaardelike toegang-beleide is van kritieke belang om te verseker dat dit werk soos verwag en nie ongewenste blokkasies veroorsaak nie.

1. Gebruik die “Wat as”-nutsding

Die "Wat as"-nutsding laat jou toe om die impak van jou voorwaardelike toegang-beleide op 'n spesifieke gebruiker of scenario te simuleer.

  1. Op die Voorwaardelike Toegang-bladsy, klikEn as.
  2. Stel die toetsscenario op (gebruiker, toepassing, IP-adres, toestel, ens.).
  3. Klik Wat as om te sien watter beleide toegepas sal word en die resultaat (toegee of blokkeer toegang).

2. Kontroleer invoerlogs

Inkomende logs verskaf gedetailleerde inligting oor elke toegangspoging, insluitend watter voorwaardelike toegang-beleide geëvalueer is en die uitkoms.

  1. Gaan in die Microsoft Login-administrasiesentrum na Monitoring en Gesondheid > Inkomende logs.
  2. Filtreer logs volgens gebruiker, toepassing of status (bv. 'Misluk') om toegangspogings te ondersoek.
  3. Klik op 'n loginskrywing om besonderhede te sien, insluitend die Voorwaardelike Toegang-oortjie, wat die beleide wat toegepas is en die resultaat sal wys.

3. Werklike toetse met toetsgebruikers

Doen toetsing met toetsgebruikers in verskillende scenario's (bv. toegang vanaf 'n onbetroubare ligging, met 'n ongesteunde toestel, sonder MFA) om die verwagte gedrag van die beleide te bevestig.

Sekuriteitswenke en beste praktyke

  • Versigtige beplanning: Beplan jou voorwaardelike toegang-beleide gebaseer op jou organisasie se behoeftes en Zero Trust-beginsels. Begin met 'n klein stel beleide en brei geleidelik uit.
  • **Report Only Mode: Ontplooi altyd eers nuwe beleide in Report Only-modus om die impak daarvan te evalueer en aan te pas voordat dit in Geaktiveerde modus toegepas word.
  • Noodrekeninge: Sluit altyd nood-/breekglastoegangsrekeninge uit van alle voorwaardelike toegang-beleide om toevallige uitsluitings te vermy.
  • Blokkeer Legacy Authentication: Dit is een van die doeltreffendste beleide om die aanvaloppervlak te verminder.
  • Vereis MFA vir alle gebruikers: 'n Noodsaaklike beleid vir die beskerming van identiteite.
  • Bestuurde toestelle: Vereis dat toestelle bestuur word (Azure AD aangesluit of Intune-geaktiveer) om toegang tot sensitiewe hulpbronne te verkry.
  • Benoemde liggings: Gebruik benoemde liggings om vertroude netwerke te definieer en toegang van onbetroubare liggings te blokkeer.
  • Deurlopende hersiening en aanpassing: Hersien en pas jou voorwaardelike toegang-beleide gereeld aan om aan te pas by veranderinge in die bedreigingsomgewing en besigheidsvereistes.
  • Dokumentasie: Handhaaf duidelike dokumentasie van jou voorwaardelike toegang-beleide, insluitend hul doel, omvang en enige uitsluitings.

Algemene probleemoplossing

  • Onverwags geblokkeerde gebruikers: Gebruik die "Wat as"-nutsding en aanmeldlogboeke om te identifiseer watter beleid die blokkering veroorsaak. Gaan die polis-insluitings en -uitsluitings na.
  • Beleide nie toegepas nie: Kontroleer dat die beleid in Aangeskakel-modus is en dat die gebruiker en toepassing binne die omvang van die beleid is. Gaan die invoerlogboeke na om te sien of die beleid geëvalueer is.
  • MFA-kwessies: Maak seker dat gebruikers geregistreerde MFA-metodes het. Kyk vir konneksieprobleme met MFA-verskaffers.
  • Toestelkwessies wat aan voldoen: Gaan jou toestel se voldoeningstatus in Intune na. Maak seker dat die toestel by Azure AD aangesluit is of by Intune geregistreer is.
  • Beleidskonflikte: Voorwaardelike Toegang evalueer alle beleide en pas die mees beperkende een toe. As daar teenstrydige beleide is, pas dit aan om die gewenste gedrag te verseker.

Gevolgtrekking

Die implementering van voorwaardelike toegang in Azure AD is 'n fundamentele pilaar vir die bou van 'n robuuste en aanpasbare sekuriteitsargitektuur gebaseer op die Zero Trust-model. Deur organisasies in staat te stel om granulêre toegangsbeleide op grond van 'n verskeidenheid toestande te stel, versterk Voorwaardelike Toegang die beskerming van identiteite en hulpbronne teen kuberbedreigings aansienlik. Strategiese beleidkonfigurasie, gekombineer met streng toetsing en 'n deurlopende siklus van hersiening en optimalisering, bemagtig sekuriteitspanne om te verseker dat toegang altyd geverifieer, minimaal bevoorreg en aangepas word by die risikokonteks. Met voorwaardelike toegang kan maatskappye hul mees waardevolle bates beskerm terwyl hulle hul gebruikers bemagtig om veilig en produktief te werk vanaf enige plek en op enige toestel.

Verwysings:

[1] Microsoft Learn. Wat is voorwaardelike toegang?. Beskikbaar by: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/overviewom/pt-br/entra/identiteit/voorwaardelike-toegang/oorsig) [2] Microsoft Learn. Beplan die implementering van Voorwaardelike Toegang. Beskikbaar by: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/plan-conditional-access [3] Microsoft Learn. Lisensievereistes vir voorwaardelike toegang. Beskikbaar by: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/overview#license-requirements