परिचय

एंट्रा आईडी और इंट्यून का उपयोग करके जीरो ट्रस्ट मॉडल कैसे लागू करें

02/08/2024

इस तकनीकी और शैक्षिक लेख का उद्देश्य माइक्रोसॉफ्ट एंट्रा आईडी (पूर्व में एज़्योर एक्टिव डायरेक्ट्री) और माइक्रोसॉफ्ट इंट्यून की क्षमताओं का उपयोग करके जीरो ट्रस्ट सुरक्षा मॉडल को लागू करने में सुरक्षा विश्लेषकों, आईटी प्रशासकों और सिस्टम इंजीनियरों का मार्गदर्शन करना है। ज़ीरो ट्रस्ट मॉडल, "कभी भरोसा न करें, हमेशा सत्यापित करें" सिद्धांत पर स्थापित, एक आधुनिक सुरक्षा दृष्टिकोण है जो मानता है कि किसी भी एक्सेस अनुरोध पर स्वचालित रूप से भरोसा नहीं किया जाना चाहिए, भले ही यह कहां से उत्पन्न हुआ हो या किस संसाधन तक पहुंचने का प्रयास किया गया हो [1]।

परिचय

दूरस्थ कार्य के विस्तार, व्यक्तिगत उपकरणों के प्रसार और क्लाउड पर प्रवासन के साथ, कॉर्पोरेट नेटवर्क की पारंपरिक सुरक्षा परिधि अप्रचलित हो गई है। ज़ीरो ट्रस्ट मॉडल इस नए परिदृश्य की प्रतिक्रिया के रूप में उभरता है, जिसमें प्रत्येक एक्सेस प्रयास के लिए स्पष्ट सत्यापन की आवश्यकता होती है, कम से कम विशेषाधिकारों के साथ एक्सेस प्रदान करना और हमेशा उल्लंघन मानना ​​होता है। Microsoft Entra ID और Microsoft Intune एक मजबूत ज़ीरो ट्रस्ट आर्किटेक्चर के निर्माण, पहचान और समापन बिंदुओं की सुरक्षा के लिए क्रमशः महत्वपूर्ण घटक हैं [2]।

यह व्यावहारिक मार्गदर्शिका ज़ीरो ट्रस्ट के सिद्धांतों को कवर करेगी और यह प्रदर्शित करेगी कि इन सिद्धांतों को लागू करने के लिए Microsoft Entra ID और Microsoft Intune को कैसे कॉन्फ़िगर और एकीकृत किया जाए। चरण-दर-चरण निर्देश, कॉन्फ़िगरेशन उदाहरण और सत्यापन विधियां प्रदान की जाएंगी ताकि पाठक जीरो ट्रस्ट दृष्टिकोण के साथ अपने संगठन की सुरक्षा स्थिति को लागू और मजबूत कर सकें।

शून्य विश्वास सिद्धांत

जीरो ट्रस्ट मॉडल तीन मूलभूत सिद्धांतों पर बनाया गया है [3]:

  1. स्पष्ट रूप से सत्यापित करें: उपयोगकर्ता की पहचान, स्थान, डिवाइस स्वास्थ्य, संसाधन संवेदनशीलता और विसंगतियों सहित सभी उपलब्ध डेटा बिंदुओं के आधार पर हमेशा प्रमाणित और अधिकृत करें।
  2. कम से कम विशेषाधिकार प्राप्त पहुंच का उपयोग करें: उपयोगकर्ता की पहुंच को केवल उसी तक सीमित करें जो आवश्यक है। डेटा और उत्पादकता की सुरक्षा के लिए जस्ट-इन-टाइम (जेआईटी) और जस्ट-इनफ एक्सेस (जेईए), जोखिम-आधारित अनुकूली नीतियों और डेटा सुरक्षा का उपयोग करें।
  3. उल्लंघन मानें: विस्फोट त्रिज्या और खंड पहुंच को न्यूनतम करें। एंड-टू-एंड एन्क्रिप्शन सत्यापित करें और दृश्यता हासिल करने, खतरों का पता लगाने और सुरक्षा में सुधार करने के लिए एनालिटिक्स का उपयोग करें।

पूर्वावश्यकताएँ

माइक्रोसॉफ्ट एंट्रा आईडी और इंट्यून के साथ जीरो ट्रस्ट मॉडल को लागू करने के लिए, आपको निम्नलिखित वस्तुओं की आवश्यकता होगी:

  1. लाइसेंसिंग: माइक्रोसॉफ्ट एंट्रा आईडी प्रीमियम पी1 या पी2 (कंडीशनल एक्सेस के लिए) और माइक्रोसॉफ्ट इंट्यून (आमतौर पर माइक्रोसॉफ्ट 365 ई3/ई5 या ईएमएस ई3/ई5 पैकेज का हिस्सा) के लिए उपयुक्त लाइसेंस [4]।
  2. प्रशासनिक पहुंच: माइक्रोसॉफ्ट एंट्रा एडमिन सेंटर (entra.microsoft.com) और माइक्रोसॉफ्ट एंडपॉइंट मैनेजर एडमिन सेंटर (endpoint.microsoft.com) पोर्टल पर ग्लोबल एडमिनिस्ट्रेटर, सिक्योरिटी एडमिनिस्ट्रेटर या इंट्यून एडमिनिस्ट्रेटर अनुमति वाले खाते।
  3. इंट्यून नामांकित डिवाइस: विंडोज 10/11 डिवाइस पहले से ही माइक्रोसॉफ्ट इंट्यून द्वारा नामांकित और प्रबंधित हैं।
  4. माइक्रोसॉफ्ट एंट्रा आईडी में पहचान: माइक्रोसॉफ्ट एंट्रा आईडी में उपयोगकर्ता और समूह सिंक्रनाइज़ या बनाए गए।

चरण दर चरण: जीरो ट्रस्ट मॉडल लागू करना

हम इस बात पर ध्यान केंद्रित करेंगे कि जीरो ट्रस्ट सिद्धांतों, विशेष रूप से "स्पष्ट रूप से सत्यापित करें" और "कम से कम विशेषाधिकार एक्सेस का उपयोग करें" को लागू करने के लिए माइक्रोसॉफ्ट एंट्रा आईडी और इंट्यून एक साथ कैसे काम करते हैं।

1. माइक्रोसॉफ्ट एंट्रा आईडी से पहचान मजबूत करना

माइक्रोसॉफ्ट एंट्रा आईडी पहचान के लिए जीरो ट्रस्ट की रीढ़ है, जो यह सुनिश्चित करती है कि केवल सत्यापित उपयोगकर्ताओं तक ही पहुंच हो।

1.1. मल्टी-फैक्टर प्रमाणीकरण (एमएफए) लागू करें

एमएफए "स्पष्ट रूप से जांच" सिद्धांत का एक मूलभूत घटक है।

  1. सशर्त पहुंच के माध्यम से एमएफए कॉन्फ़िगर करें: जैसा कि अनुच्छेद 3 में बताया गया है, सभी उपयोगकर्ताओं के लिए, या विशिष्ट समूहों के लिए, या कॉर्पोरेट नेटवर्क के बाहर से पहुंच के लिए एमएफए की आवश्यकता के लिए एक सशर्त पहुंच नीति बनाएं।
    • Microsoft लॉगिन व्यवस्थापन केंद्र में, सुरक्षा > सशर्त पहुंच पर जाएं।
    • निम्नलिखित सेटिंग्स के साथ एक नई नीति बनाएं:
      • असाइनमेंट > पहचान उपयोगकर्ता या कार्यभार: सभी उपयोगकर्ता चुनें (आपातकालीन खातों को छोड़कर)।
      • क्लाउड संसाधन या क्रियाएँ: सभी क्लाउड अनुप्रयोग
      • अनुदान: जांचें बहु-कारक प्रमाणीकरण की आवश्यकता है
      • नीति सक्षम करें: सक्षम.

1.2. Azure AD पहचान सुरक्षा सक्षम करें

पहचान सुरक्षा उन कमजोरियों का पता लगाती है जो आपके संगठन की पहचान को प्रभावित करती हैं, उन पहचानों की सुरक्षा के लिए स्वचालित जोखिम-आधारित नीतियों को कॉन्फ़िगर करती है, और जोखिम भरी गतिविधियों की जांच करती है [5]।

  1. Microsoft लॉगिन व्यवस्थापन केंद्र में, सुरक्षा > पहचान सुरक्षा पर जाएँ।
  2. उपयोगकर्ता जोखिम नीतियां: मध्यम या उच्च जोखिम वाले उपयोगकर्ताओं के लिए एमएफए या पासवर्ड रीसेट की आवश्यकता के लिए इस नीति को कॉन्फ़िगर करें।
    • भूमिकाएँ > उपयोगकर्ता: सभी उपयोगकर्ता चुनें।
    • शर्तें > उपयोगकर्ता जोखिम: मध्यम और उच्चतर चुनें।
    • नियंत्रण > पहुंच: पहुंच प्रदान करें और पासवर्ड रीसेट की आवश्यकता है या बहु-कारक प्रमाणीकरण की आवश्यकता है
    • नीति सक्षम करें: सक्षम
  3. इनपुट जोखिम नीतियां: जोखिम भरे इनपुट को ब्लॉक करने या एमएफए की आवश्यकता के लिए इस नीति को कॉन्फ़िगर करें।
    • भूमिकाएँ > उपयोगकर्ता: सभी उपयोगकर्ता चुनें।
    • शर्तें > प्रवेश जोखिम: मध्यम और उच्चतर चुनें।
    • नियंत्रण > पहुंच: पहुंच प्रदान करें और बहु-कारक प्रमाणीकरण की आवश्यकता है (या उच्च जोखिम के लिए पहुंच को ब्लॉक करें)।
    • नीति सक्षम करें: सक्षम

2. माइक्रोसॉफ्ट इंट्यून के साथ एंडपॉइंट इंटीग्रिटी सुनिश्चित करना

डिवाइस पर "स्पष्ट रूप से जांच करें" सिद्धांत को लागू करके इंट्यून यह सुनिश्चित करता है कि कॉर्पोरेट संसाधनों तक पहुंचने वाले उपकरण स्वस्थ और संगत हैं।

2.1. डिवाइस अनुपालन नीतियां बनाएं

अनुपालन नीतियां उन सुरक्षा आवश्यकताओं को परिभाषित करती हैं जिन्हें अनुपालन योग्य माने जाने के लिए किसी उपकरण को पूरा करना होगा। गैर-अनुपालक उपकरणों की पहुंच सशर्त पहुंच के माध्यम से अवरुद्ध या प्रतिबंधित हो सकती है।

  1. माइक्रोसॉफ्ट एंडपॉइंट मैनेजर एडमिन सेंटर (https://endpoint.microsoft.com) में, एंडपॉइंट सुरक्षा > डिवाइस अनुपालन > नीतियां पर जाएं।
  2. नीति बनाएं पर क्लिक करें।
  3. प्लेटफ़ॉर्म: विंडोज़ 10 और बाद का संस्करण
  4. अनुपालन सेटिंग्स:
    • डिवाइस इंटीग्रिटी: बिटलॉकर, सिक्योर बूट आदि की आवश्यकता है।
    • डिवाइस सुरक्षा: एंटीवायरस (जैसे Microsoft डिफ़ेंडर एंटीवायरस), फ़ायरवॉल, जटिल पासवर्ड आदि की आवश्यकता होती है।
    • डिवाइस गुण: न्यूनतम OS संस्करण की आवश्यकता है।
  5. गैर-अनुपालन के लिए कार्रवाइयां: डिवाइस को तुरंत या छूट अवधि के बाद गैर-अनुपालक के रूप में चिह्नित करने जैसी कार्रवाइयां कॉन्फ़िगर करें।
  6. असाइनमेंट: नीति को संबंधित विंडोज़ डिवाइस समूहों को सौंपें।

2.2. डिवाइस कॉन्फ़िगरेशन प्रोफ़ाइल बनाएं

कॉन्फ़िगरेशन प्रोफ़ाइल आपको विशिष्ट सुरक्षा सेटिंग्स, जैसे फ़ायरवॉल सेटिंग्स, Microsoft डिफ़ेंडर सुरक्षा सेटिंग्स और डिवाइस प्रतिबंध तैनात करने की अनुमति देती है।

  1. माइक्रोसॉफ्ट एंडपॉइंट मैनेजर एडमिन सेंटर में, डिवाइसेस > विंडोज > कॉन्फ़िगरेशन प्रोफाइल पर जाएं।
  2. प्रोफ़ाइल बनाएं पर क्लिक करें।
  3. प्लेटफ़ॉर्म: विंडोज़ 10 और बाद का संस्करण
  4. प्रोफ़ाइल प्रकार: Microsoft डिफ़ेंडर एंटीवायरस और फ़ायरवॉल को कॉन्फ़िगर करने के लिए एंडपॉइंट सुरक्षा, या विशिष्ट सुविधाओं को अक्षम करने के लिए डिवाइस प्रतिबंध जैसे टेम्पलेट का चयन करें।
  5. अपने संगठन की सर्वोत्तम प्रथाओं के अनुसार सुरक्षा सेटिंग्स कॉन्फ़िगर करें।
  6. असाइनमेंट: प्रासंगिक विंडोज डिवाइस समूहों को प्रोफ़ाइल असाइन करें।

3. सशर्त पहुंच के साथ एंट्रा आईडी और इंट्यून को एकीकृत करना

कंडीशनल एक्सेस वह इंजन है जो जीरो ट्रस्ट को लागू करने के लिए पहचान (एंट्रा आईडी) और डिवाइस (इंट्यून) नीतियों को एक साथ लाता है।

3.1. संगत डिवाइस की आवश्यकता के लिए एक सशर्त पहुंच नीति बनाएं

यह नीति यह सुनिश्चित करेगी कि केवल वे डिवाइस जो इंट्यून के अनुपालन मानकों को पूरा करते हैं, क्लाउड ऐप्स तक पहुंच सकते हैं।

  1. Microsoft लॉगिन व्यवस्थापन केंद्र में, सुरक्षा > सशर्त पहुंच पर जाएं।
  2. नई नीति > नई नीति बनाएं पर क्लिक करें।
  3. नाम: एक्सेस के लिए संगत डिवाइस की आवश्यकता है
  4. असाइनमेंट > उपयोगकर्ताओं या कार्यभार की पहचान करें: सभी उपयोगकर्ता (आपातकालीन खातों को छोड़कर) चुनें।
  5. क्लाउड संसाधन या क्रियाएँ: सभी क्लाउड एप्लिकेशन
  6. शर्तें (वैकल्पिक): आप विंडोज़ के लिए डिवाइस प्लेटफ़ॉर्म जैसी शर्तें जोड़ सकते हैं।
  7. अनुदान:
    • पहुँच प्रदान करें चुनें।
    • जांचें डिवाइस को समर्थित के रूप में चिह्नित करना आवश्यक है*सेल पर क्लिक करेंect.
  8. सक्षम नीति: सक्षम
  9. बनाएँ पर क्लिक करें।

सत्यापन और परीक्षण

यह सुनिश्चित करने के लिए कि नीतियां उम्मीद के मुताबिक काम कर रही हैं, जीरो ट्रस्ट कार्यान्वयन को मान्य करना महत्वपूर्ण है।

1. किसी संगत डिवाइस से एक्सेस का परीक्षण करें

  1. इंट्यून-प्रबंधित, अनुपालक विंडोज डिवाइस पर, क्लाउड एप्लिकेशन (उदा: portal.office.com) तक पहुंचने का प्रयास करें।
  2. उपयोगकर्ता प्रमाणीकरण (और एमएफए, यदि कॉन्फ़िगर किया गया है) के बाद पहुंच प्रदान की जानी चाहिए।

2. गैर-अनुपालक डिवाइस से एक्सेस का परीक्षण करें

  1. एक विंडोज़ डिवाइस पर जो अनुपालक नहीं है (उदाहरण के लिए, फ़ायरवॉल को अक्षम करें, ओएस संस्करण को इंट्यून अनुपालन नीति द्वारा अनुमत नहीं होने वाले संस्करण में बदलें, या एक अप्रबंधित डिवाइस का उपयोग करें)।
  2. क्लाउड एप्लिकेशन (जैसे portal.office.com) तक पहुंचने का प्रयास करें।
  3. पहुंच अवरुद्ध होनी चाहिए, और उपयोगकर्ता को एक संदेश प्राप्त होना चाहिए जो दर्शाता है कि डिवाइस अनुपालन नहीं है और संसाधन तक नहीं पहुंच सकता है।

3. सशर्त पहुंच रिपोर्ट की निगरानी करें

  1. Microsoft लॉगिन व्यवस्थापन केंद्र में, सुरक्षा > सशर्त पहुंच > रिपोर्ट पर जाएं।
  2. यह देखने के लिए इनपुट लॉग की समीक्षा करें कि कौन सी सशर्त पहुंच नीतियां लागू की गईं और परिणाम (केवल सफलता, विफलता, रिपोर्ट)।

सुरक्षा युक्तियाँ और सर्वोत्तम प्रथाएँ

  • छोटी शुरुआत करें, धीरे-धीरे विस्तार करें: व्यवधानों को कम करने के लिए संगठन-व्यापी विस्तार से पहले परीक्षण समूहों में शून्य विश्वास नीतियों को लागू करें।
  • शिक्षा और संचार: उपयोगकर्ताओं को परिवर्तनों के बारे में स्पष्ट रूप से बताएं और उनके उपकरणों को संगत कैसे रखें और एमएफए का उपयोग कैसे करें, इस पर प्रशिक्षण प्रदान करें।
  • निरंतर निगरानी: किसी भी अंतराल या विसंगतियों की पहचान करने के लिए नियमित रूप से इंट्यून अनुपालन रिपोर्ट और सशर्त पहुंच और पहचान सुरक्षा लॉग की निगरानी करें।
  • कम से कम विशेषाधिकार पहुंच: विशेषाधिकार प्राप्त पहुंच जस्ट-इन-टाइम और जस्ट-इनफ सुनिश्चित करने के लिए पीआईएम (विशेषाधिकार प्राप्त पहचान प्रबंधन) के साथ सशर्त पहुंच नीतियों को मिलाएं।
  • उल्लंघन मानें: उन्नत एंडपॉइंट खतरे का पता लगाने के लिए एंडपॉइंट के लिए माइक्रोसॉफ्ट डिफेंडर और सुरक्षा ऑर्केस्ट्रेशन और स्वचालित प्रतिक्रिया के लिए माइक्रोसॉफ्ट सेंटिनल को कॉन्फ़िगर करें।
  • आवधिक समीक्षा: खतरे के माहौल और व्यावसायिक आवश्यकताओं में बदलाव के अनुकूल अपनी जीरो ट्रस्ट नीतियों की नियमित रूप से समीक्षा करें और उन्हें समायोजित करें।

सामान्य समस्या निवारण

  • अप्रत्याशित रूप से अवरुद्ध पहुंच: यह पहचानने के लिए कि कौन सी नीति पहुंच को अवरुद्ध कर रही है, सशर्त पहुंच साइन-इन लॉग की जांच करें। प्रभावित डिवाइस के लिए Intune अनुपालन नीतियों की जाँच करें।
  • डिवाइस अनुपालनशील नहीं: Intune में अपने डिवाइस की अनुपालन स्थिति जांचें। ऐसा हो सकता है कि डिवाइस को नीतियां प्राप्त नहीं हुई हों, या कुछ कॉन्फ़िगरेशन अनुपालन को रोक रहा हो (उदाहरण के लिए अक्षम एंटीवायरस, पुराना ओएस संस्करण)।
  • नीतिगत विरोध: यह सुनिश्चित करने के लिए सभी सशर्त पहुंच और अनुपालन नीतियों की समीक्षा करें कि कोई विरोधाभासी बहिष्करण या समावेशन नहीं है जो अप्रत्याशित व्यवहार का कारण बन सकता है।
  • सिंक संबंधी समस्याएं: सुनिश्चित करें कि डिवाइस और उपयोगकर्ता क्रमशः Intune और Azure AD के साथ सही ढंग से समन्वयित हो रहे हैं।

निष्कर्ष

वर्तमान डिजिटल परिदृश्य में संगठनों की सुरक्षा के लिए जीरो ट्रस्ट मॉडल लागू करना एक आवश्यक सुरक्षा रणनीति है। पहचान को प्रबंधित करने के लिए माइक्रोसॉफ्ट एंट्रा आईडी और एंडपॉइंट अखंडता सुनिश्चित करने के लिए माइक्रोसॉफ्ट इंट्यून का लाभ उठाकर, कंपनियां एक मजबूत सुरक्षा दृष्टिकोण लागू कर सकती हैं जो स्पष्ट रूप से हर एक्सेस अनुरोध की जांच करती है और कम से कम विशेषाधिकार के सिद्धांत के आधार पर संचालित होती है। कंडीशनल एक्सेस के माध्यम से इन उपकरणों को एकीकृत करने से एक शक्तिशाली, अनुकूली सुरक्षा तैयार होती है, जो यह सुनिश्चित करती है कि केवल विश्वसनीय उपयोगकर्ता और डिवाइस ही कॉर्पोरेट संसाधनों तक पहुंच सकते हैं, चाहे उनका स्थान कुछ भी हो। जीरो ट्रस्ट की यात्रा जारी है और इसके लिए निरंतर निगरानी और परिशोधन की आवश्यकता है, लेकिन जोखिम को कम करने और सुरक्षा को मजबूत करने के संदर्भ में लाभ अमूल्य हैं।

संदर्भ:

[1] माइक्रोसॉफ्ट लर्न। जीरो ट्रस्ट क्या है?. यहां उपलब्ध है: https://learn.microsoft.com/pt-br/security/zero-trust/zero-trust-overview [2] माइक्रोसॉफ्ट लर्न। माइक्रोसॉफ्ट इंट्यून के साथ जीरो ट्रस्ट। यहां उपलब्ध है: https://learn.microsoft.com/en-us/intune/intune-service/fundamentals/zero-trust-with-microsoft-intune [3] माइक्रोसॉफ्ट लर्न। शून्य विश्वास मार्गदर्शक सिद्धांत। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/security/zero-trust/guidance-principles [4] माइक्रोसॉफ्ट लर्न। माइक्रोसॉफ्ट एंटर आईडी के लिए लाइसेंसिंग। यहां उपलब्ध है: https://azure.microsoft.com/pt-br/pricing/details/active-directory/ [5] माइक्रोसॉफ्ट लर्न। पहचान सुरक्षा क्या है?. यहां उपलब्ध है: https://learn.microsoft.com/pt-br/entra/identity/identity-protection/overview-identity-protection