Настройка Microsoft Entra для повышения безопасности (предварительная версия)

В Microsoft Entra мы группируем наши рекомендации по безопасности в несколько тем на основе безопасной инициативы будущего (SFI). Эта структура позволяет организациям логически разбить проекты на связанные потребляемые блоки.

Tip

Некоторые организации могут принимать эти рекомендации точно так же, как написаны, в то время как другие могут выбрать внесение изменений на основе собственных бизнес-потребностей. В нашем первоначальном выпуске этого руководства мы сосредоточимся на традиционных клиентах рабочей силы. Эти клиенты рабочей силы предназначены для сотрудников, внутренних бизнес-приложений и других организационных ресурсов.

Рекомендуется реализовать все перечисленные ниже элементы управления, где доступны лицензии. Эти шаблоны и методики помогают обеспечить основу для других ресурсов, построенных на основе этого решения. Дополнительные элементы управления будут добавлены в этот документ с течением времени.

Автоматическая оценка

Проверка этого руководства вручную на соответствие конфигурации клиента может занять много времени и подвержена ошибкам. Оценка Zero Trust преобразует этот процесс с автоматизацией для тестирования этих элементов конфигурации безопасности и многое другое. Дополнительные сведения см. в статье Оценка Zero Trust?

Защита удостоверений и секретов

Уменьшите риск, связанный с учетными данными, путем реализации современных стандартов удостоверений.

Проверьте	Минимальная требуемая лицензия
У приложений нет настроенных секретов клиента	Нет (включено с Microsoft Entra ID)
Субъекты-службы не имеют сертификатов или учетных данных, связанных с ними	Нет (включено с Microsoft Entra ID)
У приложений нет сертификатов с истечением срока действия более 180 дней	Нет (включено с Microsoft Entra ID)
Сертификаты приложений должны быть поворачиваться регулярно	Нет (включено с Microsoft Entra ID)
Применение стандартов для секретов и сертификатов приложений	Нет (включено с Microsoft Entra ID)
У приложений служб Майкрософт нет учетных данных	Нет (включено с Microsoft Entra ID)
Параметры согласия пользователя ограничены	Нет (включено с Microsoft Entra ID)
Рабочий процесс согласия администратора включен	Нет (включено с Microsoft Entra ID)
High Global Administrator с привилегированным отношением пользователей	Нет (включено с Microsoft Entra ID)
Административные привилегии тесно ограничены, чтобы предотвратить компрометацию	Microsoft Entra ID P1
права администратора Application ограничены определенными приложениями частного Access	Microsoft Entra Internet Access или Microsoft Entra Private Access
Привилегированные учетные записи — это собственные удостоверения облака	Нет (включено с Microsoft Entra ID)
Все назначения привилегированных ролей активируются только вовремя и не постоянно активны	Microsoft Entra ID P2
All Microsoft Entra назначения привилегированных ролей управляются с помощью PIM	Microsoft Entra ID P2
Включен метод проверки подлинности passkey	Нет (включено с Microsoft Entra ID)
Аттестация ключей безопасности применяется	Нет (включено с Microsoft Entra ID)
У привилегированных учетных записей зарегистрированы фишинговые методы	Microsoft Entra ID P1
Привилегированные встроенные роли Microsoft Entra предназначены для политик условного Access для применения методов, устойчивых к фишингу	Microsoft Entra ID P1
Conditional Access политики принудительной проверки подлинности для частных приложений	Microsoft Entra Частный доступ
приложения Application Proxy требуют предварительной проверки подлинности для блокировки анонимных access	Microsoft Entra ID P1
Требовать уведомления об сбросе пароля для ролей администратора	Microsoft Entra ID P1
Настройка устаревшей политики проверки подлинности	Microsoft Entra ID P1
Temporary access включен	Microsoft Entra ID P1
Ограничение временного доступа к одному использованию	Microsoft Entra ID P1
Миграция из устаревших политик MFA и SSPR	Microsoft Entra ID P1
Запрет администраторам использовать SSPR	Microsoft Entra ID P1
Самостоятельный сброс пароля не использует вопросы безопасности	Microsoft Entra ID P1
Методы проверки подлинности SMS и голосового вызова отключены	Microsoft Entra ID P1
Защита страницы регистрации MFA (мои сведения о безопасности)	Microsoft Entra ID P1
Использование облачной проверки подлинности	Microsoft Entra ID P1
Все пользователи должны зарегистрировать для MFA	Microsoft Entra ID P2
Пользователи настроены надежные методы проверки подлинности	Microsoft Entra ID P1
Уменьшение области поверхности пароля, видимой пользователем	Microsoft Entra ID P1
Действие входа пользователя использует защиту маркеров	Microsoft Entra ID P1
Политики защиты маркеров настроены	Microsoft Entra ID P1
Все действия входа пользователей используют методы проверки подлинности, устойчивые к фишингу	Microsoft Entra ID P1
Все действия входа исходят из управляемых устройств	Microsoft Entra ID P1
Включен метод проверки подлинности ключа безопасности	Нет (включено с Microsoft Entra ID)
Привилегированные роли не назначаются устаревшим удостоверениям	Microsoft Entra ID P2
приложение Microsoft Authenticator отображает контекст входа	Microsoft Entra ID P1
параметр подозрительного действия Microsoft Authenticator отчета о подозрительных действиях включен	Microsoft Entra ID P1
Срок действия пароля отключен	Microsoft Entra ID P1
Пороговое значение смарт-блокировки— 10 или меньше	Microsoft Entra ID P1
Длительность смарт-блокировки имеет значение не менее 60.	Microsoft Entra ID P1
Добавление условий организации в список запрещенных паролей	Microsoft Entra ID P1
Требовать многофакторную проверку подлинности для присоединения к устройству и регистрации устройств с помощью действия пользователя	Microsoft Entra ID P1
Развертывание решения для пароля локального администратора	Microsoft Entra ID P1
Синхронизация Entra Connect настроена с учетными данными субъекта-службы	Нет (включено с Microsoft Entra ID)
Учетная запись синхронизации каталогов заблокирована в определенном именованном расположении	Microsoft Entra ID P1
Нет использования ADAL в клиенте	Нет (включено с Microsoft Entra ID)
Block устаревшего модуля Azure AD PowerShell	Нет (включено с Microsoft Entra ID)
Enable Microsoft Entra ID по умолчанию для бесплатных клиентов	Нет (включено с Microsoft Entra ID)

Защита клиентов и изоляция производственных систем

Проверьте	Минимальная требуемая лицензия
Разрешения на создание новых клиентов ограничены ролью создателя клиента	Нет (включено с Microsoft Entra ID)
Защищенные действия для защиты создания и изменения политики условного Access	Microsoft Entra ID P1
Guest access ограничен утвержденными клиентами	бесплатный Microsoft Entra ID
Гости не назначают роли каталога с высоким уровнем привилегий	бесплатный Microsoft Entra ID Microsoft Entra ID P2 или Управление идентификаторами Майкрософт для PIM
Гости не могут приглашать других гостей	бесплатный Microsoft Entra ID
Guests ограничены access объектами каталога	бесплатный Microsoft Entra ID
Блокировка свойств экземпляра приложения настроена для всех мультитенантных приложений	бесплатный Microsoft Entra ID
У гостей нет длительных сеансов входа	Microsoft Entra ID P1
Guest access защищается строгими методами проверки подлинности	бесплатный Microsoft Entra ID рекомендуется Microsoft Entra ID P1 для условного Access
Самостоятельная регистрация гостей через поток пользователей отключена	бесплатный Microsoft Entra ID
Направляются параметры межтенантного access	бесплатный Microsoft Entra ID рекомендуется Microsoft Entra ID P1 для условного Access
Гости не имеют приложений в клиенте	Нет (включено с Microsoft Entra ID)
У всех гостей есть спонсор	бесплатный Microsoft Entra ID
Неактивные гостевые удостоверения отключены или удалены из клиента	бесплатный Microsoft Entra ID
Все политики управления правами имеют дату окончания срока действия	Microsoft Entra ID P2 или Microsoft ID Governance для управляемых и access проверок
Для всех политик назначения прав, применяемых к внешним пользователям, требуются подключенные организации	Microsoft Entra ID P2 или Microsoft ID Governance для управляемых и access проверок
Для всех политик назначения прав, применяемых к внешним пользователям, требуется утверждение	Microsoft Entra ID P2 или Microsoft ID Governance для управляемых и access проверок
All пакеты управления правами, которые применяются к гостям, имеют срок действия или access проверки, настроенные в политиках назначения	Microsoft Entra ID P2 или Microsoft ID Governance для управляемых и access проверок
Управление локальными администраторами на устройствах, присоединенных к Microsoft Entra	Нет (включено с Microsoft Entra ID)
Ограничить восстановление ключей BitLocker для своих устройств, не являющихся администраторами.	Нет (включено с Microsoft Entra ID)

Защита сетей

Защита периметра сети.

Проверьте	Минимальная требуемая лицензия
Именованные расположения настроены	Microsoft Entra ID P1
Политика ограничений клиента версии 2 настроена	Microsoft Entra ID P1
Internet Access профиль пересылки включен	Microsoft Entra: Интернет-доступ
Политики фильтрации веб-содержимого настроены	Microsoft Entra: Интернет-доступ
Фильтрация веб-содержимого использует правила на основе категорий	Microsoft Entra: Интернет-доступ
Политики фильтрации веб-содержимого связаны с профилями безопасности	Microsoft Entra: Интернет-доступ
фильтрация содержимого Web интегрируется с условным Access	Microsoft Entra: Интернет-доступ
Фильтрация веб-содержимого блокирует категории высокого риска	Microsoft Entra: Интернет-доступ
Проверка TLS включена и правильно настроена для исходящего трафика.	Microsoft Entra: Интернет-доступ
Правила обхода проверки TLS регулярно проверяются	Microsoft Entra: Интернет-доступ
Сертификаты проверки TLS имеют достаточный срок действия	Microsoft Entra: Интернет-доступ
Частота сбоев проверки TLS ниже 1%	Microsoft Entra: Интернет-доступ
Правила пользовательского обхода tls не дублируют назначения обхода системы	Microsoft Entra: Интернет-доступ
Фильтрация аналитики угроз защищает интернет-трафик	Microsoft Entra: Интернет-доступ
Политики передачи файлов настроены для предотвращения кражи данных	Microsoft Entra: Интернет-доступ
Шлюз ИИ защищает корпоративные созданные приложения ИИ от атак внедрения запросов	Microsoft Entra: Интернет-доступ
Global Secure Access облачный брандмауэр защищает интернет-трафик филиала	Microsoft Entra: Интернет-доступ
Интернет-трафик проверяется на всех уровнях защиты защищенного веб-шлюза	Microsoft Entra: Интернет-доступ
проверка Network настраивается с помощью универсальной оценки непрерывной Access	Microsoft Entra Internet Access или Microsoft Entra Private Access
клиент Global Secure Access развертывается на всех управляемых конечных точках	Microsoft Entra Internet Access или Microsoft Entra Private Access
лицензии Global Secure Access доступны в клиенте и назначены пользователям	Microsoft Entra Internet Access или Microsoft Entra Private Access
Microsoft 365 трафик активно проходит через глобальную безопасную Access	Microsoft Entra Suite
Ограничения клиентаUniversal блокируют несанкционированный внешний клиент access	Microsoft Entra: Интернет-доступ
External для совместной работы регулируется явными политиками access клиента	Microsoft Entra ID P1
политики Conditional Access используют соответствующие сетевые элементы управления	Microsoft Entra ID P1
Global Secure Access сигнал для условного Access включен	Microsoft Entra: Интернет-доступ
трафик Network направляется через global Secure Access для применения политик безопасности	Microsoft Entra Internet Access или Microsoft Entra Private Access
Профили перенаправления трафика ограничены соответствующими пользователями и группами для управляемого развертывания	Microsoft Entra Internet Access или Microsoft Entra Private Access
соединители сети Private активны и работоспособны для поддержания Zero Trust access внутренних ресурсов	Microsoft Entra Частный доступ
Соединители частной сети работают под управлением последней версии	Microsoft Entra Частный доступ
At по крайней мере два частных соединителя Access являются активными и работоспособными для каждой группы соединителей	Microsoft Entra Частный доступ
Private DNS настроен для разрешения внутренних имен	Microsoft Entra Частный доступ
трафик DNS для внутренних доменов направляется через частный Access	Microsoft Entra Частный доступ
Intelligent Local Access включен и настроен	Microsoft Entra Частный доступ
Quick Access включен и привязан к соединителю	Microsoft Entra Частный доступ
Quick Access привязан к политике условного Access	Microsoft Entra Частный доступ
сегменты приложений Entra Private Access определяются для применения минимальных привилегий access	Microsoft Entra Частный доступ
Домен контроллера RDP access защищается с помощью фишинговой проверки подлинности через global Secure Access	Microsoft Entra Частный доступ
датчики Private Access применяют строгие политики проверки подлинности на контроллерах домена	Microsoft Entra Частный доступ
Quick Access имеет назначения пользователей или групп	Microsoft Entra Частный доступ
All Private Access приложения имеют назначения пользователей или групп	Microsoft Entra Частный доступ

Защита инженерных систем

Защита ресурсов программного обеспечения и повышение безопасности кода.

Проверьте	Минимальная требуемая лицензия
учетные записи Emergency access настроены соответствующим образом	Microsoft Entra ID P1
Global Administrator активация роли активирует рабочий процесс утверждения	Microsoft Entra ID P2
Global Administrators не access Azure подписки	Нет (включено с Microsoft Entra ID)
Создание приложений и субъектов-служб ограничено привилегированными пользователями	Microsoft Entra ID P1
Inactive приложения не имеют разрешений microsoft Graph API с высоким уровнем привилегий	Microsoft Entra ID P1
Неактивные приложения не имеют встроенных ролей с высоким уровнем привилегий	Microsoft Entra ID P1
App registrations использовать URI безопасного перенаправления	Microsoft Entra ID P1
Субъекты-службы используют URI безопасного перенаправления	Microsoft Entra ID P1
App registrations не должен иметь URI перенаправления домена или перенаправления доменов	Microsoft Entra ID P1
Согласие для конкретного ресурса ограничено	Microsoft Entra ID P1
Удостоверения рабочей нагрузки не назначаются привилегированными ролями	Microsoft Entra ID P1
Корпоративные приложения должны требовать явного назначения или подготовки в области	Microsoft Entra ID P1
Корпоративные приложения имеют владельцев	Нет (включено с Microsoft Entra ID)
Ограничение максимального числа устройств на пользователя до 10	Нет (включено с Microsoft Entra ID)
Кондиционные политики Access для привилегированных рабочих станций Access настроены	Microsoft Entra ID P1

Мониторинг и обнаружение киберугроз

Сбор и анализ журналов безопасности и оповещений.

Проверьте	Минимальная требуемая лицензия
параметры Diagnostic настроены для всех журналов Microsoft Entra	Microsoft Entra ID P1
Активации привилегированных ролей настроены для мониторинга и оповещения	Microsoft Entra ID P2
оповещение Activation для назначений ролей Global Administrator	Microsoft Entra ID P2
Оповещение активации для всех назначений привилегированных ролей	Microsoft Entra ID P2
Привилегированные пользователи войдите с помощью фишинговых методов	Microsoft Entra ID P1
Все пользователи с высоким риском рассматриваются	Microsoft Entra ID P2
Все входы с высоким риском рассматриваются	Microsoft Entra ID P2
Все удостоверений рискованных рабочих нагрузок рассматриваются	Microsoft Entra ID P2
События создания клиента обрабатываются	Microsoft Entra ID P1
Все действия входа пользователей используют надежные методы проверки подлинности	Microsoft Entra ID P1
Рекомендации Microsoft Entra приоритета Microsoft Entra рассматриваются	Microsoft Entra ID P1
Уведомления защиты идентификаторов включены	Microsoft Entra ID P2
Действие входа в систему без устаревшей проверки подлинности	Microsoft Entra ID P1
рекомендации All Microsoft Entra рассматриваются	Microsoft Entra ID P1
действие Network access отображается для операций безопасности для обнаружения угроз и реагирования	Microsoft Entra ID P1
журналы Network access хранятся для анализа безопасности и соответствия требованиям	Microsoft Entra ID P1
Global Secure Access журналы развертывания заполняются и проверяются	Microsoft Entra Internet Access или Microsoft Entra Private Access

Ускорение реагирования и исправления

Улучшение реагирования на инциденты безопасности и взаимодействия с инцидентами.

Проверьте	Минимальная требуемая лицензия
Удостоверения рабочей нагрузки настроены с помощью политик на основе рисков	Идентификатор рабочей нагрузки Microsoft Entra
Ограничение входов с высоким уровнем риска	Microsoft Entra ID P2
Restrict access для пользователей с высоким риском	Microsoft Entra ID P2

Планы развертывания Microsoft Entra
Справочник по операциям Microsoft Entra

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2026-03-27