सुरक्षा को मजबूत करने के लिए Azure AD में सशर्त पहुंच लागू करना

05/01/2024

इस तकनीकी और शैक्षिक लेख का उद्देश्य Microsoft Entra ID (पूर्व में Azure सक्रिय निर्देशिका) में सशर्त पहुंच को लागू करने और अनुकूलित करने में सुरक्षा विश्लेषकों, आईटी प्रशासकों और सिस्टम इंजीनियरों का मार्गदर्शन करना है। कंडीशनल एक्सेस माइक्रोसॉफ्ट का प्रमुख जीरो ट्रस्ट नीति प्रवर्तन तंत्र है, जो संगठनों को उपयोगकर्ता की पहचान, स्थान, डिवाइस स्वास्थ्य और सत्र जोखिम जैसी वास्तविक समय स्थितियों के आधार पर संसाधनों तक पहुंच को नियंत्रित करने में सक्षम बनाता है [1]।

परिचय

आज के सुरक्षा परिदृश्य में, जहां साइबर खतरे परिष्कृत हैं और दूरस्थ कार्य प्रचलित है, पारंपरिक नेटवर्क परिधि सुरक्षा अब पर्याप्त नहीं है। Azure AD कंडीशनल एक्सेस संगठनों को स्थैतिक सुरक्षा दृष्टिकोण से गतिशील, अनुकूली दृष्टिकोण की ओर जाने में सक्षम बनाता है जहां प्रत्येक एक्सेस प्रयास का मूल्यांकन दिए जाने से पहले किया जाता है। यह सुनिश्चित करता है कि विशिष्ट परिस्थितियों में केवल विश्वसनीय उपयोगकर्ताओं और उपकरणों तक ही पहुंच प्रदान की जाती है, जिससे कंपनी के डेटा और एप्लिकेशन की अधिक प्रभावी ढंग से सुरक्षा होती है [2]।

यह व्यावहारिक मार्गदर्शिका सशर्त पहुंच नीतियों को बनाने और कॉन्फ़िगर करने को कवर करेगी, जिसमें मल्टी-फैक्टर प्रमाणीकरण (एमएफए), समर्थित डिवाइस, विश्वसनीय स्थान और विरासत प्रमाणीकरण अवरोधन की आवश्यकता शामिल है। चरण-दर-चरण निर्देश, कॉन्फ़िगरेशन उदाहरण और सत्यापन विधियां प्रदान की जाएंगी ताकि पाठक अपने संगठन की सुरक्षा स्थिति को लागू और मजबूत कर सकें, यह सुनिश्चित कर सकें कि संसाधनों तक पहुंच सुरक्षित और अनुपालनपूर्ण है।

सशर्त पहुंच क्यों महत्वपूर्ण है?

• जीरो ट्रस्ट: यह जीरो ट्रस्ट मॉडल को लागू करने के लिए नीति इंजन है, जो प्रत्येक एक्सेस अनुरोध को स्पष्ट रूप से सत्यापित करता है।
• अनुकूली नियंत्रण: वास्तविक समय जोखिम संकेतों के आधार पर पहुंच नीतियों को गतिशील रूप से अनुकूलित करने की अनुमति देता है।
• व्यापक सुरक्षा: क्लाउड और ऑन-प्रिमाइसेस में पहचान, डिवाइस, डेटा और एप्लिकेशन की सुरक्षा करता है।
• एमएफए और डिवाइस अनुपालन: एमएफए को लागू करना आसान बनाता है और पहुंच के लिए अनुपालक या एज़्योर एडी-ज्वाइन्ड डिवाइस की आवश्यकता होती है।
• जोखिम में कमी: क्रेडेंशियल चोरी, अनधिकृत उपकरणों से पहुंच और संदिग्ध स्थानों से पहुंच जैसे जोखिमों को कम करने में मदद करता है।

पूर्वावश्यकताएँ

Azure AD में सशर्त पहुंच लागू करने के लिए, आपको निम्नलिखित वस्तुओं की आवश्यकता होगी:

1. लाइसेंसिंग: एक Microsoft नामांकन आईडी प्रीमियम P1 या P2 (पूर्व में Azure AD प्रीमियम P1 या P2) लाइसेंस। सशर्त पहुंच इन लाइसेंसों की एक अनूठी विशेषता है [3]।
2. प्रशासनिक पहुंच: माइक्रोसॉफ्ट एंट्रा एडमिन सेंटर (https://entra.microsoft.com) में कंडीशनल एक्सेस एडमिनिस्ट्रेटर, सिक्योरिटी एडमिनिस्ट्रेटर या ग्लोबल एडमिनिस्ट्रेटर की भूमिका वाला एक खाता।
3. उपयोगकर्ता और समूह: नीतियों का परीक्षण करने के लिए Microsoft Entra ID में उपयोगकर्ता और सुरक्षा समूह।
4. मल्टी-फैक्टर ऑथेंटिकेशन (एमएफए) कॉन्फ़िगर किया गया: जिन नीतियों के लिए एमएफए की आवश्यकता होती है, उनके लिए उपयोगकर्ताओं को एमएफए कॉन्फ़िगर और पंजीकृत होना चाहिए।
5. प्रबंधित डिवाइस (वैकल्पिक): उन नीतियों के लिए जिनके लिए समर्थित या Azure AD/हाइब्रिड-ज्वाइन्ड डिवाइस की आवश्यकता होती है, डिवाइस को Microsoft Intune या Azure AD-जॉइन्ड द्वारा प्रबंधित किया जाना चाहिए।

चरण दर चरण: सशर्त पहुंच नीतियों को कॉन्फ़िगर करना

आइए सुरक्षा को मजबूत करने के लिए कुछ आवश्यक सशर्त पहुंच नीतियां बनाएं।

1. माइक्रोसॉफ्ट पोर्टल तक पहुंच, व्यवस्थापन केंद्र दर्ज करें

1. अपना ब्राउज़र खोलें और https://entra.microsoft.com पर जाएँ।
2. उस खाते से लॉग इन करें जिसके पास आवश्यक अनुमतियाँ हैं।
3. बाएं नेविगेशन फलक में, सुरक्षा > सशर्त पहुंच चुनें।

2. सभी उपयोगकर्ताओं के लिए एमएफए की आवश्यकता के लिए एक नीति बनाना (आपातकालीन खातों को छोड़कर)

यह अधिकांश संगठनों के लिए एक मौलिक नीति है, जो यह सुनिश्चित करती है कि आपातकालीन/ब्रेक-ग्लास एक्सेस खातों को छोड़कर सभी एक्सेस प्रयासों के लिए एमएफए आवश्यक है।

1. सशर्त पहुंच पृष्ठ पर, नई नीति > नई नीति बनाएं पर क्लिक करें।
2. नाम: 01 - सभी उपयोगकर्ताओं के लिए एमएफए की आवश्यकता है।

3. असाइनमेंट > पहचान उपयोगकर्ता या कार्यभार:

   • शामिल में, सभी उपयोगकर्ता चुनें।
   • हटाएं के अंतर्गत, उपयोगकर्ता और समूह चुनें और अपने एमर एक्सेस खाते जोड़ेंएजेंसी/ब्रेक-ग्लास (अत्यधिक संरक्षित खाते जिनका उपयोग एमएफए विफलता या निर्देशिका अनुपलब्धता के मामले में किरायेदार तक पहुंचने के लिए किया जा सकता है)।

4. क्लाउड संसाधन या क्रियाएँ:

   • शामिल करें के अंतर्गत, सभी क्लाउड ऐप्स चुनें।

5. अनुदान:

   • पहुँच प्रदान करें चुनें।
   • जांचें बहु-कारक प्रमाणीकरण की आवश्यकता है।
   • चयन पर क्लिक करें।

6. नीति सक्षम करें: 'केवल रिपोर्ट करें' (लागू करने से पहले प्रभाव का परीक्षण करने के लिए) या 'सक्षम' चुनें।

   • टिप: पॉलिसी को लागू किए बिना, संभावित अवांछित ब्लॉकों के लिए इनपुट लॉग की जांच किए बिना इसके प्रभाव की निगरानी के लिए हमेशा केवल रिपोर्ट करें से शुरुआत करें।
7. बनाएँ पर क्लिक करें।

3. लीगेसी प्रमाणीकरण को अवरुद्ध करने के लिए एक नीति बनाना

लीगेसी प्रमाणीकरण (जैसे पीओपी, आईएमएपी, एसएमटीपी, बेसिक प्रमाणीकरण) एमएफए का समर्थन नहीं करता है और हमलों के लिए एक सामान्य वेक्टर है। इसे ब्लॉक करना बेहद जरूरी है.

1. सशर्त पहुंच पृष्ठ पर, नई नीति > नई नीति बनाएं पर क्लिक करें।
2. नाम: 02 - ब्लॉक लिगेसी प्रमाणीकरण।
3. असाइनमेंट > उपयोगकर्ताओं या कार्यभार की पहचान करें: सभी उपयोगकर्ता चुनें (आपके आपातकालीन खातों को छोड़कर)।
4. क्लाउड संसाधन या क्रियाएँ: सभी क्लाउड एप्लिकेशन चुनें।

5. शर्तें > ग्राहक अनुप्रयोग:

   • क्लाइंट एप्लिकेशन को हां पर सेट करें।
   • एक्सचेंज एक्टिवसिंक क्लाइंट्स और अन्य क्लाइंट्स की जाँच करें।

6. पहुंच नियंत्रण > अनुदान:

   • एक्सेस ब्लॉक करें चुनें।
   • चयन पर क्लिक करें।

7. नीति सक्षम करें: 'केवल रिपोर्ट करें' या 'सक्षम' चुनें।

8. बनाएँ पर क्लिक करें।

4. महत्वपूर्ण अनुप्रयोगों तक पहुंच के लिए संगत डिवाइस की आवश्यकता के लिए एक नीति बनाना

यह नीति सुनिश्चित करती है कि केवल वे डिवाइस जो सुरक्षा मानकों को पूरा करते हैं (उदाहरण के लिए, Intune द्वारा प्रबंधित) संवेदनशील ऐप्स तक पहुंच सकते हैं।

1. सशर्त पहुंच पृष्ठ पर, नई नीति > नई नीति बनाएं पर क्लिक करें।
2. नाम: 03 - महत्वपूर्ण अनुप्रयोगों के लिए संगत डिवाइस की आवश्यकता है।
3. असाइनमेंट > उपयोगकर्ताओं या कार्यभार की पहचान करें: सभी उपयोगकर्ता (या एक विशिष्ट समूह) का चयन करें।

4. क्लाउड संसाधन या क्रियाएँ:

   • शामिल करें के अंतर्गत, एप्लिकेशन चुनें चुनें और महत्वपूर्ण एप्लिकेशन चुनें (उदाहरण के लिए SharePoint Online, Dynamics 365, लाइन-ऑफ-बिजनेस एप्लिकेशन)।

5. अनुदान:

   • पहुँच प्रदान करें चुनें।
   • जांचें डिवाइस को समर्थित के रूप में चिह्नित करना आवश्यक है।
   • चयन पर क्लिक करें।

6. नीति सक्षम करें: 'केवल रिपोर्ट करें' या 'सक्षम' चुनें।

7. बनाएँ पर क्लिक करें।

5. अविश्वसनीय स्थानों से पहुंच को अवरुद्ध करने के लिए एक नीति बनाना

यह नीति हमलों के स्रोत माने जाने वाले भौगोलिक क्षेत्रों या आईपी पतों से पहुंच से बचाने में मदद करती है।

1. सबसे पहले, आपको विश्वसनीय स्थानों (जैसे कंपनी कार्यालय, वीपीएन) को परिभाषित करने के लिए Azure AD में नामांकित स्थान (नामांकित स्थान) बनाने की आवश्यकता है।

   • Microsoft लॉगिन व्यवस्थापन केंद्र में, सुरक्षा > सशर्त पहुंच > नामांकित स्थान पर जाएं।
   • अपने विश्वसनीय स्थान सेट करने के लिए नए देश/क्षेत्र स्थान या नए आईपी रेंज स्थान पर क्लिक करें।

2. सशर्त पहुंच पृष्ठ पर, नई नीति > नई नीति बनाएं पर क्लिक करें।

3. नाम: 04 - अविश्वसनीय स्थानों से पहुंच को अवरुद्ध करें।
4. असाइनमेंट > उपयोगकर्ताओं या कार्यभार की पहचान करें: सभी उपयोगकर्ता चुनें।
5. क्लाउड संसाधन या क्रियाएँ: सभी क्लाउड एप्लिकेशन चुनें।

6. शर्तें > स्थान:

   • स्थान को हां पर सेट करें।
   • शामिल में, कोई भी स्थान चुनें।
   • बहिष्कृत के अंतर्गत, चयनित स्थान चुनें और नामांकित स्थान चुनें जिन्हें आपने विश्वसनीय के रूप में परिभाषित किया है।

7. पहुंच नियंत्रण > अनुदान:

   • एक्सेस ब्लॉक करें चुनें।
   • चयन पर क्लिक करें।
8. नीति सक्षम करें: 'केवल रिपोर्ट करें' या 'सक्षम' चुनें।
9. बनाएँ पर क्लिक करें।

सत्यापन और परीक्षण

सशर्त पहुंच नीतियों को मान्य करना यह सुनिश्चित करने के लिए महत्वपूर्ण है कि वे अपेक्षा के अनुरूप काम करती हैं और अवांछित रुकावटों का कारण नहीं बनती हैं।

1. "व्हाट इफ़" टूल का उपयोग करना

"व्हाट इफ़" टूल आपको किसी विशिष्ट उपयोगकर्ता या परिदृश्य पर आपकी सशर्त पहुंच नीतियों के प्रभाव का अनुकरण करने की अनुमति देता है।

1. सशर्त पहुंच पृष्ठ पर, क्लिक करेंऔर यदि.
2. परीक्षण परिदृश्य (उपयोगकर्ता, एप्लिकेशन, आईपी पता, डिवाइस, आदि) कॉन्फ़िगर करें।
3. यह देखने के लिए कि कौन सी नीतियां लागू की जाएंगी और परिणाम (पहुंच प्रदान करें या अवरुद्ध करें) क्या होगा यदि पर क्लिक करें।

2. इनपुट लॉग की जाँच करना

इनबाउंड लॉग प्रत्येक एक्सेस प्रयास के बारे में विस्तृत जानकारी प्रदान करते हैं, जिसमें सशर्त एक्सेस नीतियों का मूल्यांकन किया गया और परिणाम शामिल हैं।

1. माइक्रोसॉफ्ट लॉगिन एडमिन सेंटर में, निगरानी और स्वास्थ्य > इनबाउंड लॉग्स पर जाएं।
2. पहुंच प्रयासों की जांच करने के लिए उपयोगकर्ता, एप्लिकेशन या स्थिति (जैसे विफल) के आधार पर लॉग फ़िल्टर करें।
3. सशर्त पहुंच टैब सहित विवरण देखने के लिए लॉग प्रविष्टि पर क्लिक करें, जो लागू नीतियों और परिणाम को दिखाएगा।

3. परीक्षण उपयोगकर्ताओं के साथ वास्तविक परीक्षण

नीतियों के अपेक्षित व्यवहार की पुष्टि करने के लिए विभिन्न परिदृश्यों में परीक्षण उपयोगकर्ताओं के साथ परीक्षण करें (उदाहरण के लिए, एक अविश्वसनीय स्थान से पहुंच, एक असमर्थित डिवाइस के साथ, एमएफए के बिना)।

सुरक्षा युक्तियाँ और सर्वोत्तम प्रथाएँ

• सावधानीपूर्वक योजना*: अपने संगठन की आवश्यकताओं और शून्य विश्वास सिद्धांतों के आधार पर अपनी सशर्त पहुंच नीतियों की योजना बनाएं। नीतियों के एक छोटे समूह से शुरुआत करें और धीरे-धीरे विस्तार करें।
• **केवल रिपोर्ट मोड: हमेशा नई नीतियों को सक्षम मोड में लागू करने से पहले उनके प्रभाव का आकलन करने और समायोजित करने के लिए केवल रिपोर्ट मोड में तैनात करें।
• आपातकालीन खाते: आकस्मिक तालाबंदी से बचने के लिए हमेशा सभी सशर्त पहुंच नीतियों से आपातकालीन/ब्रेक-ग्लास पहुंच खातों को बाहर रखें।
• ब्लॉक लिगेसी प्रमाणीकरण: हमले की सतह को कम करने के लिए यह सबसे प्रभावी नीतियों में से एक है।
• सभी उपयोगकर्ताओं के लिए एमएफए की आवश्यकता: पहचान की सुरक्षा के लिए एक आवश्यक नीति।
• प्रबंधित डिवाइस: संवेदनशील संसाधनों तक पहुंचने के लिए डिवाइस को प्रबंधित करने की आवश्यकता होती है (Azure AD शामिल या Intune-सक्षम)।
• नामांकित स्थान: विश्वसनीय नेटवर्क को परिभाषित करने और अविश्वसनीय स्थानों से पहुंच को अवरुद्ध करने के लिए नामित स्थानों का उपयोग करें।
• निरंतर समीक्षा और समायोजन: खतरे के माहौल और व्यावसायिक आवश्यकताओं में बदलाव के अनुकूल अपनी सशर्त पहुंच नीतियों की नियमित रूप से समीक्षा और समायोजन करें।
• दस्तावेज़ीकरण: अपनी सशर्त पहुंच नीतियों का स्पष्ट दस्तावेज़ीकरण बनाए रखें, जिसमें उनका उद्देश्य, दायरा और कोई भी बहिष्करण शामिल है।

सामान्य समस्या निवारण

• अप्रत्याशित रूप से ब्लॉक किए गए उपयोगकर्ता: कौन सी नीति ब्लॉक का कारण बन रही है, इसकी पहचान करने के लिए "व्हाट इफ़" टूल और साइन-इन लॉग का उपयोग करें। पॉलिसी समावेशन और बहिष्करण की जाँच करें।
• नीतियां लागू नहीं: जांचें कि पॉलिसी सक्षम मोड में है और उपयोगकर्ता और एप्लिकेशन पॉलिसी के दायरे में हैं। यह देखने के लिए कि क्या नीति का मूल्यांकन किया गया था, इनपुट लॉग की जाँच करें।
• एमएफए मुद्दे: सुनिश्चित करें कि उपयोगकर्ताओं के पास पंजीकृत एमएफए विधियां हैं। एमएफए प्रदाताओं के साथ कनेक्टिविटी समस्याओं की जाँच करें।
• अनुपालक डिवाइस समस्याएँ*: Intune में अपने डिवाइस की अनुपालन स्थिति की जाँच करें। सुनिश्चित करें कि डिवाइस Azure AD Intune से जुड़ा या पंजीकृत है।
• नीतिगत विरोध: सशर्त पहुंच सभी नीतियों का मूल्यांकन करती है और सबसे अधिक प्रतिबंधात्मक नीतियों को लागू करती है। यदि परस्पर विरोधी नीतियां हैं, तो वांछित व्यवहार सुनिश्चित करने के लिए उन्हें समायोजित करें।

निष्कर्ष

Azure AD में सशर्त पहुंच को लागू करना जीरो ट्रस्ट मॉडल पर आधारित एक मजबूत और अनुकूली सुरक्षा वास्तुकला के निर्माण के लिए एक मूलभूत स्तंभ है। संगठनों को विभिन्न स्थितियों के आधार पर विस्तृत पहुंच नीतियां निर्धारित करने में सक्षम बनाकर, सशर्त पहुंच साइबर खतरों के खिलाफ पहचान और संसाधनों की सुरक्षा को महत्वपूर्ण रूप से मजबूत करती है। कठोर परीक्षण और समीक्षा और अनुकूलन के निरंतर चक्र के साथ संयुक्त रणनीतिक नीति विन्यास, सुरक्षा टीमों को यह सुनिश्चित करने के लिए सशक्त बनाता है कि पहुंच हमेशा सत्यापित, न्यूनतम विशेषाधिकार प्राप्त और जोखिम के संदर्भ में अनुकूलित हो। सशर्त पहुंच के साथ, कंपनियां अपने उपयोगकर्ताओं को कहीं से भी और किसी भी डिवाइस पर सुरक्षित और उत्पादक रूप से काम करने के लिए सशक्त बनाते हुए अपनी सबसे मूल्यवान संपत्तियों की रक्षा कर सकती हैं।

---

संदर्भ:

[1] माइक्रोसॉफ्ट लर्न। सशर्त पहुंच क्या है?। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/overview [2] माइक्रोसॉफ्ट लर्न। सशर्त पहुंच के कार्यान्वयन की योजना बनाएं। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/plan-conditional-access [3] माइक्रोसॉफ्ट लर्न। सशर्त पहुंच के लिए लाइसेंस आवश्यकताएँ। यहां उपलब्ध है: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/overview#license-requirements