Planera standardinställningar för säkerhet

  • 2 minuter

Att hantera säkerheten kan vara svårt med vanliga identitetsrelaterade attacker som lösenordsspray, återspelning och nätfiske som blir allt vanligare. Standardinställningar för säkerhet ger säkra standardinställningar som Microsoft hanterar åt organisationer för att skydda kunderna tills organisationer är redo att hantera sin egen identitetssäkerhetshistoria. Standardinställningar för säkerhet ger förkonfigurerade säkerhetsinställningar, till exempel:

  • Kräver att alla användare registrerar sig för multifaktorautentisering.

  • Kräver att administratörer utför multifaktorautentisering.

  • Blockerar äldre autentiseringsprotokoll.

  • Kräva att användare utför multifaktorautentisering vid behov.

  • Skydda privilegierade aktiviteter som åtkomst till Azure Portal.

    Skärmbild av administrationscentret för Microsoft Entra med växlingsknappen för att aktivera standardinställningar för säkerhet.

Tillgänglighet

Microsofts säkerhetsstandarder är tillgängliga för alla. Målet är att säkerställa att alla organisationer har en grundläggande säkerhetsnivå aktiverad utan extra kostnad. Om din klientorganisation skapades den 22 oktober 2019 eller senare kanske säkerhetsstandarderna redan är aktiverade. För att skydda alla användare är säkerhetsstandarder aktiverade för alla nya klienter när de skapas.

Om du vill aktivera eller inaktivera standardinställningar för säkerhet loggar du in på administrationscentret för Microsoft Entra som minst administratör för villkorsstyrd åtkomst, bläddrar sedan tillÖversiktsegenskaper> för Entra-ID> och väljer Hantera standardinställningar för säkerhet.

Vem är det för?

Vem ska använda standardinställningar för säkerhet? Vem ska inte använda säkerhetsstandarder?
Organisationer som vill öka sin säkerhetsstatus men inte vet hur eller var de ska börja Organisationer som för närvarande använder principer för villkorsstyrd åtkomst för att samla signaler, fatta beslut och tillämpa organisationsprinciper
Organisationer som använder den kostnadsfria nivån för Microsoft Entra ID-licensiering Organisation med Microsoft Entra ID Premium-licenser
Organisationer med komplexa säkerhetskrav som garanterar användning av villkorsstyrd åtkomst

Principer som tillämpas

Registrering av enhetlig multifaktorautentisering

Alla användare i din klientorganisation måste registrera sig för multifaktorautentisering (MFA) med hjälp av Microsoft Authenticator-appen. Registrering krävs omedelbart – det finns ingen respitperiod. När användare loggar in efter att säkerhetsstandarder har aktiverats uppmanas de att registrera sig innan de kan komma åt några resurser. MFA-prompten använder nummermatchning, där användarna anger ett tal som visas på skärmen i Microsoft Authenticator-appen, vilket hjälper till att förhindra MFA-trötthetsattacker.

Skydda administratörer

Användare med privilegierad åtkomst ökar ofta åtkomsten till din miljö. På grund av den makt dessa konton har bör du behandla dem med särskild försiktighet. En vanlig metod för att förbättra skyddet av privilegierade konton är att kräva en starkare form av kontoverifiering för inloggning. I Microsoft Entra-ID kan du få en starkare kontoverifiering genom att kräva multifaktorautentisering.

När registreringen med multifaktorautentisering har slutförts måste följande Microsoft Entra-administratörsroller utföra annan autentisering varje gång de loggar in:

  • Global administratör
  • Appadministratör
  • Autentiseringsadministratör
  • Administratör av autentiseringsprincip
  • Faktureringsadministratör
  • Applikationsadministratör för molnet
  • Administratör för villkorsstyrd åtkomst
  • Exchange-administratör
  • Supportadministratör
  • Administratör för identitetsstyrning
  • Lösenordsadministratör
  • Administratör av privilegierad autentisering
  • Privilegierad rolladministratör
  • Säkerhetsadministratör
  • SharePoint-administratör
  • Användaradministratör

Skydda alla användare

Vi tenderar att tro att administratörskonton är de enda konton som behöver extra autentiseringsnivåer. Administratörer har bred åtkomst till känslig information och kan göra ändringar i prenumerationsomfattande inställningar. Men angripare riktar ofta in sig på slutanvändare.

När dessa angripare har fått åtkomst kan de begära åtkomst till privilegierad information för den ursprungliga kontoinnehavarens räkning. De kan till och med ladda ned den fullständiga katalogen för att utföra en nätfiskeattack mot hela organisationen.

En vanlig metod för att förbättra skyddet för alla användare är att kräva en starkare form av kontoverifiering, till exempel multifaktorautentisering, för alla. När användarna har slutfört registreringen av multifaktorautentisering uppmanas de att ange extra autentisering när det behövs. Den här funktionen skyddar alla program som registrerats med Microsoft Entra-ID, inklusive SaaS-program.

Blockera äldre autentisering

För att ge användarna enkel åtkomst till dina molnappar stöder Microsoft Entra-ID olika autentiseringsprotokoll, inklusive äldre autentisering. Äldre autentisering är en autentiseringsbegäran som görs av:

  • Klienter som inte använder modern autentisering (till exempel en Office 2010-klient). Modern autentisering omfattar klienter som implementerar protokoll, till exempel OAuth 2.0, för att stödja funktioner som multifaktorautentisering och smartkort. Äldre autentisering stöder vanligtvis bara mindre säkra mekanismer som lösenord.
  • Klient som använder e-postprotokoll som IMAP, SMTP eller POP3.

I dag kommer de flesta komprometterande inloggningsförsök från äldre autentisering. Äldre autentisering stöder inte multifaktorautentisering. Även om du har en princip för multifaktorautentisering aktiverad i din katalog kan en angripare autentisera med hjälp av ett äldre protokoll och kringgå multifaktorautentisering.

När standardinställningarna för säkerhet har aktiverats i klientorganisationen blockeras alla autentiseringsbegäranden som görs av ett äldre protokoll. Standardinställningar för säkerhet blockerar grundläggande Exchange Active Sync-autentisering.