Implementace podmíněného přístupu v Azure AD za účelem posílení zabezpečení

05.01.2024

Tento technický a vzdělávací článek má za cíl vést bezpečnostní analytiky, IT administrátory a systémové inženýry při implementaci a optimalizaci podmíněného přístupu v Microsoft Entra ID (dříve Azure Active Directory). Podmíněný přístup je vlajkovou lodí společnosti Microsoft s mechanismem vynucování zásad Zero Trust, který organizacím umožňuje řídit přístup ke zdrojům na základě podmínek v reálném čase, jako je identita uživatele, umístění, stav zařízení a riziko relace [1].

Úvod

V dnešním bezpečnostním prostředí, kde jsou kybernetické hrozby sofistikované a převládá práce na dálku, již tradiční ochrana perimetru sítě nestačí. Podmíněný přístup Azure AD umožňuje organizacím přejít od přístupu statického zabezpečení k dynamickému, adaptivnímu přístupu, kde je každý pokus o přístup vyhodnocen před udělením. Tím je zajištěno, že přístup je udělen pouze důvěryhodným uživatelům a zařízením za specifických podmínek, čímž se účinněji chrání firemní data a aplikace [2].

Tato praktická příručka se bude zabývat vytvářením a konfigurací zásad podmíněného přístupu, včetně vyžadování vícefaktorové autentizace (MFA), podporovaných zařízení, důvěryhodných umístění a blokování starší autentizace. Budou poskytnuty podrobné pokyny, příklady konfigurace a metody ověřování, aby čtenář mohl implementovat a posílit bezpečnostní pozici své organizace a zajistit, aby byl přístup ke zdrojům bezpečný a vyhovující.

Proč je podmíněný přístup zásadní?

• Nulová důvěra: Je to nástroj politiky pro implementaci modelu nulové důvěry, který explicitně ověřuje každý požadavek na přístup.
• Adaptivní řízení: Umožňuje dynamicky přizpůsobovat zásady přístupu na základě rizikových signálů v reálném čase.
• Komplexní ochrana: Chrání identity, zařízení, data a aplikace v cloudu a na místě.
• MFA a kompatibilita zařízení: Usnadňuje vynucení MFA a vyžaduje pro přístup kompatibilní zařízení nebo zařízení připojená k Azure AD.
• Snížení rizika: Pomáhá zmírňovat rizika, jako je krádež přihlašovacích údajů, přístup z neautorizovaných zařízení a přístup z podezřelých míst.

Předpoklady

K implementaci podmíněného přístupu v Azure AD budete potřebovat následující položky:

1. Licencování: Licence Microsoft Enroll ID Premium P1 nebo P2 (dříve Azure AD Premium P1 nebo P2). Podmíněný přístup je jedinečnou vlastností těchto licencí [3].
2. Administrativní přístup: Účet s rolí Administrátor podmíněného přístupu, Správce zabezpečení nebo Globální správce v centru pro správu Microsoft Entra (https://entra.microsoft.com).
3. Users and Groups: Uživatelé a skupiny zabezpečení v Microsoft Entra ID pro testování zásad.
4. Multi-Factor Authentication (MFA) Configured: Pro zásady, které vyžadují MFA, musí mít uživatelé MFA nakonfigurované a registrované.
5. Spravovaná zařízení (volitelné): U zásad, které vyžadují podporovaná zařízení nebo zařízení připojená k Azure AD/Hybrid, musí být zařízení spravována pomocí Microsoft Intune nebo připojená k Azure AD.

Krok za krokem: Konfigurace zásad podmíněného přístupu

Pojďme vytvořit některé základní zásady podmíněného přístupu pro posílení zabezpečení.

1. Přístup k portálu Microsoft Vstupte do centra pro správu

1. Otevřete prohlížeč a přejděte na https://entra.microsoft.com.
2. Přihlaste se pomocí účtu, který má potřebná oprávnění.
3. V levém navigačním panelu vyberte Ochrana > Podmíněný přístup.

2. Vytvoření zásady vyžadující MFA pro všechny uživatele (kromě nouzových účtů)

Toto je základní zásada pro většinu organizací, která zajišťuje, že MFA je vyžadována pro všechny pokusy o přístup kromě účtů nouzového/rozbitného přístupu.

1. Na stránce podmíněného přístupu klikněte na Nová zásada > Vytvořit novou zásadu.
2. Název: 01 – Vyžadovat MFA pro všechny uživatele.

3. Přiřazení > Uživatelé identity nebo pracovní zátěž:

   • V Zahrnout vyberte Všichni uživatelé.
   • V části Smazat vyberte Uživatelé a skupiny a přidejte své účty s emerským přístupemagency/break-glass (vysoce chráněné účty, které lze použít pro přístup k tenantovi v případě selhání MFA nebo nedostupnosti adresáře).

4. Cloudové zdroje nebo akce:

   • V části Zahrnout vyberte Všechny cloudové aplikace.

5. Grant:

   • Vyberte Udělit přístup.
   • Zaškrtněte Vyžadovat vícefaktorové ověření.
   • Klikněte na Vybrat.

6. Povolit zásady: Vyberte „Pouze hlášení“ (pro otestování dopadu před použitím) nebo „Povoleno“.

   • Tip: Vždy začněte „Pouze zpráva“, abyste mohli sledovat dopad zásady, aniž byste ji uplatňovali, a zkontrolujte, zda vstupní protokoly neobsahují možné nežádoucí blokování.
7. Klikněte na Vytvořit.

3. Vytvoření zásady pro blokování staršího ověřování

Starší ověřování (jako je POP, IMAP, SMTP, základní ověřování) nepodporuje MFA a je běžným vektorem útoků. Je důležité jej zablokovat.

1. Na stránce podmíněného přístupu klikněte na Nová zásada > Vytvořit novou zásadu.
2. Název: 02 – Blokovat starší ověření.
3. Přiřazení > Uživatelé identity nebo pracovní zátěž: Vyberte Všichni uživatelé (kromě vašich nouzových účtů).
4. Cloudové zdroje nebo akce: Vyberte Všechny cloudové aplikace.

5. Podmínky > Klientské aplikace:

   • Nastavte Klientské aplikace na Ano.
   • Zkontrolujte Exchange ActiveSync Clients a Other Clients.

6. Ovládání přístupu > Udělit:

   • Vyberte Blokovat přístup.
   • Klikněte na Vybrat.

7. Povolit zásady: Vyberte možnost „Pouze hlášení“ nebo „Povoleno“.

8. Klikněte na Vytvořit.

4. Vytvoření zásady vyžadovat kompatibilní zařízení pro přístup ke kritickým aplikacím

Tato zásada zajišťuje, že k citlivým aplikacím mají přístup pouze zařízení splňující bezpečnostní standardy (spravované například Intune).

1. Na stránce podmíněného přístupu klikněte na Nová zásada > Vytvořit novou zásadu.
2. Název: 03 – Vyžadovat kompatibilní zařízení pro kritické aplikace.
3. Přiřazení > Identity Users or Workloads: Vyberte All Users (nebo určitou skupinu).

4. Cloudové zdroje nebo akce:

   • V části Zahrnout vyberte Vybrat aplikace a vyberte kritické aplikace (např. SharePoint Online, Dynamics 365, podnikové aplikace).

5. Grant:

   • Vyberte Udělit přístup.
   • Zaškrtněte Vyžadovat označení zařízení jako podporované.
   • Klikněte na Vybrat.

6. Povolit zásady: Vyberte možnost „Pouze hlášení“ nebo „Povoleno“.

7. Klikněte na Vytvořit.

5. Vytvoření zásady blokování přístupu z nedůvěryhodných míst

Tato zásada pomáhá chránit před přístupem z geografických oblastí nebo IP adres, o kterých je známo, že jsou zdroji útoků.

1. Nejprve musíte vytvořit Pojmenovaná umístění (Pojmenovaná umístění) v Azure AD, abyste mohli definovat důvěryhodná umístění (např. kanceláře společnosti, VPN).

   • V centru pro správu přihlášení Microsoft přejděte na Ochrana > Podmíněný přístup > Pojmenovaná umístění.
   • Kliknutím na Umístění nových zemí/regionů nebo Umístění nových rozsahů IP nastavte svá důvěryhodná umístění.

2. Na stránce podmíněného přístupu klikněte na Nová zásada > Vytvořit novou zásadu.

3. Název: 04 – Blokovat přístup z nedůvěryhodných míst.
4. Přiřazení > Identity Users or Workloads: Vyberte All Users.
5. Cloudové zdroje nebo akce: Vyberte Všechny cloudové aplikace.

6. Podmínky > Místa:

   • Nastavte "Umístění" na "Ano".
   • V Zahrnout vyberte Jakékoli místo.
   • V části Vyloučit vyberte Vybraná umístění a vyberte Pojmenovaná umístění, která jste definovali jako důvěryhodná.

7. Ovládání přístupu > Udělit:

   • Vyberte Blokovat přístup.
   • Klikněte na Vybrat.
8. Povolit zásady: Vyberte možnost „Pouze hlášení“ nebo „Povoleno“.
9. Klikněte na Vytvořit.

Validace a testování

Ověření zásad podmíněného přístupu je zásadní, aby bylo zajištěno, že fungují podle očekávání a nezpůsobují nežádoucí blokování.

1. Použití nástroje „Co když“.

Nástroj „Co kdyby“ vám umožňuje simulovat dopad vašich zásad podmíněného přístupu na konkrétního uživatele nebo scénář.

1. Na stránce podmíněného přístupu klepněte naA když.
2. Nakonfigurujte testovací scénář (uživatel, aplikace, IP adresa, zařízení atd.).
3. Kliknutím na Co když zobrazíte, které zásady by byly použity, a výsledek (udělit nebo zablokovat přístup).

2. Kontrola vstupních protokolů

Příchozí protokoly poskytují podrobné informace o každém pokusu o přístup, včetně toho, které zásady podmíněného přístupu byly vyhodnoceny a jaký výsledek.

1. V centru pro správu přihlášení Microsoft přejděte na Monitorování a stav > Příchozí protokoly.
2. Filtrujte protokoly podle uživatele, aplikace nebo stavu (např. „Neúspěšné“) a prozkoumejte pokusy o přístup.
3. Kliknutím na položku protokolu zobrazíte podrobnosti, včetně karty Podmíněný přístup, která zobrazí použité zásady a výsledek.

3. Skutečné testy s testovacími uživateli

Proveďte testování s testovacími uživateli v různých scénářích (např. přístup z nedůvěryhodného umístění, s nepodporovaným zařízením, bez MFA), abyste potvrdili očekávané chování zásad.

Bezpečnostní tipy a doporučené postupy

• ** Pečlivé plánování**: Naplánujte si zásady podmíněného přístupu na základě potřeb vaší organizace a zásad nulové důvěry. Začněte s malým souborem zásad a postupně je rozšiřujte.
• **Režim pouze hlášení: Vždy nejprve nasaďte nové zásady v režimu Pouze hlášení, abyste vyhodnotili jejich dopad a upravili je, než je použijete v aktivovaném režimu.
• Pohotovostní účty: Vždy vylučte účty nouzového/rozbitného přístupu ze všech zásad podmíněného přístupu, abyste předešli náhodnému uzamčení.
• Block Legacy Authentication: Toto je jedna z nejúčinnějších zásad pro snížení plochy útoku.
• Vyžadovat MFA pro všechny uživatele: Základní zásada pro ochranu identit.
• Spravovaná zařízení: Vyžadují, aby byla zařízení spravována (připojená k Azure AD nebo s podporou Intune) pro přístup k citlivým zdrojům.
• Pojmenovaná umístění: Použijte pojmenovaná umístění k definování důvěryhodných sítí a blokování přístupu z nedůvěryhodných míst.
• Nepřetržité přezkoumávání a úpravy: Pravidelně kontrolujte a upravujte své zásady podmíněného přístupu, abyste se přizpůsobili změnám v prostředí hrozeb a obchodním požadavkům.
• Dokumentace: Udržujte jasnou dokumentaci svých zásad podmíněného přístupu, včetně jejich účelu, rozsahu a případných výjimek.

Běžné odstraňování problémů

• Neočekávaně blokovaní uživatelé: Pomocí nástroje „Co kdyby“ a protokolů přihlášení zjistěte, která zásada blokování způsobuje. Zkontrolujte zahrnutí a vyloučení zásad.
• Neuplatněny zásady: Zkontrolujte, zda je zásada v režimu „Povoleno“ a zda se na uživatele a aplikaci vztahují zásady. Zkontrolujte vstupní protokoly a zjistěte, zda byla zásada vyhodnocena.
• Problémy MFA: Ujistěte se, že uživatelé zaregistrovali metody MFA. Zkontrolujte problémy s připojením u poskytovatelů MFA.
• Problémy s kompatibilním zařízením: Zkontrolujte stav souladu vašeho zařízení v Intune. Ujistěte se, že je zařízení připojené k Azure AD nebo registrované v Intune.
• Konflikty zásad: Podmíněný přístup vyhodnotí všechny zásady a použije tu nejpřísnější. Pokud existují konfliktní zásady, upravte je, abyste zajistili požadované chování.

Závěr

Implementace podmíněného přístupu v Azure AD je základním pilířem pro budování robustní a adaptivní architektury zabezpečení založené na modelu Zero Trust. Tím, že umožňuje organizacím nastavit granulární přístupové politiky na základě různých podmínek, podmíněný přístup výrazně posiluje ochranu identit a zdrojů před kybernetickými hrozbami. Strategická konfigurace zásad v kombinaci s přísným testováním a nepřetržitým cyklem kontroly a optimalizace umožňuje bezpečnostním týmům zajistit, aby byl přístup vždy ověřen, minimálně privilegovaný a přizpůsobený kontextu rizik. Díky podmíněnému přístupu mohou společnosti chránit svá nejcennější aktiva a zároveň umožnit svým uživatelům pracovat bezpečně a produktivně odkudkoli a na jakémkoli zařízení.

---

Reference:

[1] Microsoft Learn. Co je podmíněný přístup?. Dostupné na: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/overview [2] Microsoft Learn. Naplánujte implementaci podmíněného přístupu. Dostupné na: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/plan-conditional-access [3] Microsoft Learn. Požadavky licence pro podmíněný přístup. Dostupné na: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/overview#license-requirements