Пять шагов по защите инфраструктуры идентификации

Если вы читаете этот документ, значит вы понимаете значимость безопасности. Скорее всего, вы уже несете ответственность за обеспечение безопасности вашей организации. Если вам нужно убедить других в важности безопасности, отправьте их читать последний Отчет о цифровой защите Microsoft.

Этот документ поможет вам получить более безопасную настройку с помощью возможностей Microsoft Entra ID с помощью пятишагового контрольного списка для улучшения защиты вашей организации от кибератак.

Этот контрольный список помогает быстро развертывать критические рекомендуемые действия для защиты организации немедленно, объясняя, как:

• Укрепите свои репутационные данные
• Уменьшение области направления атак
• автоматизация реагирования на угрозы;
• Используйте возможности облачных интеллектуальных систем.
• включение возможности самообслуживания для пользователей.

Рекомендации в этом документе согласованы с Identity Secure Score, автоматической оценкой конфигурации безопасности удостоверений клиента Microsoft Entra. Организации могут использовать страницу оценки безопасности удостоверений в Microsoft Entra admin center, чтобы найти пробелы в текущей конфигурации безопасности, чтобы убедиться, что они соответствуют текущим Microsoft рекомендациям по обеспечению безопасности. Реализация каждой рекомендации на странице "Оценка безопасности" увеличивает оценку и позволяет отслеживать ход выполнения, а также сравнивать реализацию с другими аналогичными организациями размера.

окно портала Azure с оценкой безопасности идентификаци и некоторыми рекомендациями.

Перед началом работы: защита привилегированных учетных записей с помощью многофакторной идентификации

Перед выполнением задач в этом контрольном списке убедитесь, что во время чтения этого списка ваша безопасность не пострадает. В Microsoft Entra мы наблюдаем 50 миллионов атак паролей ежедневно, но только часть пользователей и администраторов используют надежные проверки подлинности, такие как многофакторная проверка подлинности (MFA). Эти статистические данные основываются на данных за август 2021 г. В Microsoft Entra ID пользователи с привилегированными ролями, такими как администраторы, являются основой доверия для создания и управления остальной частью среды. Чтобы свести к минимуму последствия компрометации, реализуйте следующие методы.

Злоумышленники, получившие доступ к привилегированным учетным записям, могут причинить значительный ущерб, поэтому очень важно защитить эти учетные записи, прежде чем продолжать работу. Включите и требуйте многофакторную проверку подлинности (MFA) Microsoft Entra для всех администраторов в вашей организации с помощью стандартов безопасности Microsoft Entra или условного доступа. Это крайне важно.

Все готово? Начнем работу по контрольному списку.

Шаг 1. Укрепление учетных данных

Хотя наблюдаются и атаки других типов, включая фишинг согласия и атаки на удостоверения, не принадлежащие человеку, атаки на основе пароля на удостоверения пользователей по-прежнему являются наиболее распространенным вектором компрометации удостоверений. Широко распространённые кампании по целевому фишингу и атакам на пароли продолжают успешно использоваться злоумышленниками против организаций, которые не реализуют многофакторную проверку подлинности (MFA) или другую защиту от этой распространённой тактики.

Вам как организации необходимо убедиться, что ваша идентификация проверяется и защищается с помощью многофакторной аутентификации везде. В 2020 году докладом Федерального бюро расследований (ФБР) Центра жалоб на преступления в Интернете (IC3) фишинг был определен в качестве основного вида преступления для жалоб жертв. По сравнению с предыдущим годом количество отчетов удвоилось. Фишинг представляет значительную угрозу для предприятий и частных лиц, а фишинг учетных данных использовался во многих наиболее вредоносных атаках прошлого года. Microsoft Entra многофакторной проверки подлинности (MFA) помогает защитить доступ к данным и приложениям, предоставляя другой уровень безопасности с помощью второй формы проверки подлинности. Организации могут включить многофакторную проверку подлинности с условным доступом, чтобы решение соответствовало их нуждам. Ознакомьтесь с этим руководством по развертыванию, чтобы узнать, как спланировать, реализовать и развернуть многофакторную аутентификацию Microsoft Entra.

В организации должна действовать строгая проверка подлинности.

Чтобы легко включить базовый уровень безопасности идентификации, можно использовать активацию одним кликом с параметрами безопасности по умолчанию Microsoft Entra. По умолчанию безопасность применяет Microsoft Entra многофакторную проверку подлинности для всех пользователей в клиенте и блокирует входы из устаревших протоколов на уровне клиента.

Если у вашей организации есть лицензии Microsoft Entra ID P1 или P2, вы также можете использовать Аналитика и отчеты по условному доступу для выявления пробелов в вашей конфигурации и покрытии. С помощью этих рекомендаций можно легко заполнить этот пробел, создав политику с использованием новых шаблонов условного доступа. Шаблоны Conditional Access предназначены для упрощения развертывания новых политик, которые соответствуют лучшим практикам, рекомендованным Microsoft, что позволяет легко развертывать общие политики для защиты идентификаций и устройств.

Начните с применения запрета к часто атакуемым паролям, откажитесь от традиционных требований к сложности, отключите правила истечения срока действия.

Во многих организациях используются традиционные требования к сложности и правила истечения срока действия пароля. Исследования Microsoft показывают, а Национальный институт стандартов и технологий (NIST) в специальной публикации 800-63B, Руководящие принципы цифровой идентичности, указывает, что эти правила заставляют пользователей выбирать пароли, которые проще угадать. Мы рекомендуем использовать Microsoft Entra защиту паролей функцию динамического запрещенного пароля, используя текущее поведение злоумышленника, чтобы запретить пользователям задавать пароли, которые можно легко угадать. Эта возможность всегда доступна при создании пользователей в облаке, но теперь доступна для гибридных организаций при развертывании Microsoft Entra защиты паролей для Windows Server Active Directory. Кроме того, рекомендуем удалить политики истечения срока действия. Изменение пароля не дает никаких преимуществ автономности, так как киберпреступники почти всегда используют учетные данные сразу же после их компрометации. См. статью Установка политики истечения срока действия пароля для организации.

Защита от утечки учетных данных и добавление устойчивости к сбоям

Самый простой и рекомендуемый способ включения облачной проверки подлинности для локальных объектов каталога в Microsoft Entra ID — включить синхронизацию хеша паролей (PHS). Если ваша организация использует гибридное решение для управления идентификацией с проверкой подлинности с пропуском или федерацией, необходимо включить синхронизацию хэшей паролей по следующим двум причинам.

• Отчет Пользователи с компрометированными учетными данными в Microsoft Entra ID предупреждает об общедоступных парах имени пользователя и пароля. Невероятное количество паролей пропадает в результате фишинга, применения вредоносного ПО и повторного использования паролей на сайтах сторонних производителей, которые через какое-то время подвергаются угрозам. Microsoft находит многие из этих учетных данных, попавших в утечку, и сообщает вам в этом отчете, если они соответствуют учетным данным в вашей организации – но только если вы включите синхронизацию хэша пароля password или имеете облачные удостоверения.
• Если произойдет локальный сбой, например атака программы-шантажистов, можно переключиться на облачную аутентификацию, используя синхронизацию хэша паролей. Этот резервный метод аутентификации позволяет продолжать пользоваться приложениями, настроенными для аутентификации с помощью Microsoft Entra ID, включая Microsoft 365. В этом случае ИТ-сотрудники не должны прибегать к теневым ИТ-учетным записям или личным учетным записям электронной почты, чтобы предоставить общий доступ к данным до устранения локального сбоя.

Пароли никогда не хранятся в чистом тексте или шифруются с помощью обратимого алгоритма в Microsoft Entra ID. Для получения дополнительной информации о фактическом процессе синхронизации хэша паролей изучите раздел Подробное описание принципа действия синхронизации хэшированных паролей.

Внедрение интеллектуальной блокировки экстрасети AD FS

Умная блокировка помогает блокировать злоумышленников, которые пытаются угадать пароли пользователей или используют методы грубой силы для входа. Умная блокировка может распознавать входы от действительных пользователей и обрабатывать их иначе, чем попытки входа от злоумышленников и других неизвестных источников. Доступ для злоумышленников блокируется. При этом обычные пользователи могут спокойно получать доступ к учетным записям и продолжать работу. Организации, которые настраивают приложения для проверки подлинности через Microsoft Entra ID, получают выгоду от умной блокировки Microsoft Entra. В развернутых федеративных системах с использованием AD FS 2016 и AD FS 2019 можно обеспечить аналогичные преимущества с помощью функций блокировки экстрасети и смарт-блокировки экстрасети AD FS.

Шаг 2. Уменьшение области поверхности атаки

Учитывая широкую распространённость случаев компрометации паролей, критически важно минимизировать поверхность атаки в вашей организации. Отключите использование старых, менее безопасных протоколов, ограничение точек входа, переход на облачную проверку подлинности, более значительное управление административным доступом к ресурсам и использование Zero Trust принципов безопасности.

Использование облачной проверки подлинности

Учетные данные являются основным вектором атаки. Методики в этом блоге могут уменьшить область атаки с помощью облачной проверки подлинности, развертывания MFA и использования методов проверки подлинности без пароля. Вы можете развернуть такие методы без пароля, как Windows Hello for Business, вход телефона с помощью приложения Microsoft Authenticator или FIDO.

Блокировать устаревшую проверку подлинности

Приложения, использующие собственные устаревшие методы для проверки подлинности с помощью Microsoft Entra ID и доступа к корпоративным данным, представляют еще один риск для организаций. Примеры приложений, использующих устаревшую аутентификацию, включают клиентов SMTP, POP3 и IMAP4. Устаревшие приложения проверки подлинности проходят проверку подлинности от имени пользователя и не позволяют Microsoft Entra ID выполнять расширенные оценки безопасности. Альтернативная современная проверка подлинности снижает риск безопасности, так как она поддерживает многофакторную проверку подлинности и условный доступ.

Рекомендуем сделать следующее:

1. Обнаружьте устаревшую проверку подлинности в вашей организации с помощью журналов входа Microsoft Entra и рабочих книг Log Analytics.
2. Настройте SharePoint Online и Exchange Online для использования современной проверки подлинности.
3. Если у вас есть Microsoft Entra ID лицензии P1 или P2, используйте политики условного доступа для блокировки устаревшей проверки подлинности. Для уровня "Бесплатный" Microsoft Entra ID используйте значения безопасности по умолчанию Microsoft Entra.
4. Заблокируйте устаревшую проверку подлинности, если вы используете AD FS.
5. Блокировать устаревшую проверку подлинности с помощью Exchange Server 2019.
6. Отключите устаревшую проверку подлинности в Exchange Online.

Дополнительные сведения см. в статье Блокирование устаревших протоколов проверки подлинности в Microsoft Entra ID.

Блокировка недопустимых точек входа для проверки подлинности

Используя принцип явной проверки, вы должны уменьшить влияние скомпрометированных учетных данных пользователей, когда это происходит. Для каждого приложения в вашей среде рассмотрите применимые варианты использования: какие группы, сети, устройства и другие элементы следует авторизовать, а затем заблокируйте остальные. С помощью Microsoft Entra Conditional Access вы можете контролировать, как авторизованные пользователи получают доступ к своим приложениям и ресурсам на основе определенных условий, которые вы определяете.

Дополнительные сведения об использовании условного доступа для облачных приложений и действий пользователей см. в разделе Условный доступ: облачные приложения, действия и контекст проверки подлинности.

Проверка ролей администратора и управление ими

Одним из столпов концепции Zero Trust является необходимость свести к минимуму вероятность того, что скомпрометированная учетная запись может получить или сохранять привилегированную роль. Этот элемент управления можно реализовать, назначив удостоверению наименьший уровень привилегий. Если вы не знакомы с ролями Microsoft Entra, эта статья поможет вам их понять.

Привилегированные роли в Microsoft Entra ID должны быть облачными учетными записями, чтобы изолировать их от локальных сред и не использовать локальные хранилища паролей для хранения учетных данных.

Управление доступом на основе привилегий

Privileged Identity Management (PIM) обеспечивает активацию роли на основе времени и утверждения, чтобы снизить риски чрезмерного, ненужного или неправильного доступа к важным ресурсам. Эти ресурсы включают ресурсы в Microsoft Entra ID, Azure и других Microsoft веб-службах, таких как Microsoft 365 или Microsoft Intune.

Microsoft Entra Privileged Identity Management (PIM) помогает свести к минимуму привилегии учетной записи, помогая вам:

• идентификация пользователей с назначенными административными ролями и управление ими;
• определение ролей с неиспользуемыми или избыточными привилегиями, которые следует удалить;
• Установите правила, чтобы убедиться, что привилегированные роли защищены многофакторной проверкой подлинности.
• Установите правила, чтобы привилегированные роли назначались только на время выполнения привилегированной задачи.

Включите Microsoft Entra PIM, а затем просмотрите пользователей, которым назначены административные роли, и удалите ненужные учетные записи в этих ролях. Остальных привилегированных пользователей переместите из категории имеющих постоянные привилегии в категорию с возможностью получения привилегий. Наконец, установите соответствующие политики, согласно которым при возникновении необходимости доступ к привилегированным ролям осуществляется в безопасном режиме с необходимым управлением изменениями.

Microsoft Entra встроенные и пользовательские роли основаны на понятиях, используемых в системе управления доступом, основанной на ролях для ресурсов Azure (ролей Azure). Различие между этими двумя системами управления доступом на основе ролей:

• Роли Microsoft Entra контролируют доступ к ресурсам Microsoft Entra, таким как пользователи, группы и приложения, с помощью Microsoft Graph API.
• Роли Azure контролируют доступ к ресурсам Azure, таким как виртуальные машины или хранилище, используя управление ресурсами Azure.

Для обеих систем используются схожие определения и назначения ролей. Однако разрешения ролей Microsoft Entra нельзя использовать в настраиваемых ролях Azure и наоборот. В рамках развертывания процесса управления привилегированными учетными записями следуйте передовой практике и создайте по крайней мере две аварийные учетные записи, чтобы гарантировать сохранение доступа к Microsoft Entra ID в случае блокировки основного доступа.

Дополнительные сведения см. в статье План развертывания Privileged Identity Management и защиты привилегированного доступа.

Ограничение операций предоставления согласия пользователем

Важно понимать различные сценарии согласия приложений Microsoft Entra, типы разрешений и согласия, а также их влияние на обеспечение безопасности вашей организации. Несмотря на то, что пользователи могут предоставлять согласие самостоятельно, позволяют пользователям легко получать полезные приложения, которые интегрируются с Microsoft 365, Azure и другими службами, это может представлять риск, если он не используется и тщательно отслеживается.

Microsoft рекомендует ограничить согласие пользователя, чтобы разрешить согласие конечных пользователей только для приложений от проверенных издателей и только для разрешений, которые вы выбрали. Если согласие конечного пользователя ограничено, предыдущие предоставления согласия по-прежнему будут соблюдаться, но все будущие операции, связанные с согласием, должен выполнять администратор. В ограниченных случаях пользователи могут запрашивать согласие администратора через рабочий процесс запроса на согласие администратора или через собственные процессы поддержки. Перед отключением возможности пользователя предоставлять свое согласие воспользуйтесь нашими рекомендациями, чтобы спланировать это изменение в организации. Для приложений, которым вы хотите разрешить доступ всем пользователям, рассмотрите возможность предоставления согласия от имени всех пользователей, что гарантирует, что пользователи, которые еще не предоставили индивидуальное согласие, могут получить доступ к приложению. Если предоставлять доступ к этим приложениям всем пользователям во всех сценариях не требуется, используйте назначения приложений и условный доступ, чтобы ограничить доступ пользователей к определенным приложениям.

Убедитесь, что пользователи могут запросить утверждение администратора для новых приложений, чтобы уменьшить количество пользователей, свести к минимуму объем поддержки и предотвратить регистрацию пользователей для приложений с использованием учетных данных, отличных от Microsoft Entra. После того как вы отрегулируете и стабилизируете операции на предоставление согласия, администраторы должны регулярно выполнять аудит приложений и разрешений, на которые предоставляется согласие.

Дополнительные сведения см. в статье Microsoft Entra рамка согласия.

Шаг 3. Автоматизация реагирования на угрозы

Microsoft Entra ID имеет множество возможностей, которые автоматически перехватывают атаки, чтобы удалить задержку между обнаружением и ответом. Сократив время внедрения злоумышленников в среду, можно уменьшить расходы и риски. Ниже приведены рекомендуемые к выполнению конкретные действия.

Дополнительные сведения см. в статье Настройка и включение политик риска.

Реализация политики рисков при входе

Риск входа означает вероятность того, что владелец удостоверения не авторизовал запрос проверки подлинности. Политику на основе рисков для входа можно реализовать, добавив условие риска для входа в политики условного доступа. Такое условие оценивает уровень риска для конкретного пользователя или группы. На основе уровня риска (высокий или средний или низкий), политику можно настроить для блокировки доступа или принудительной многофакторной проверки подлинности. Рекомендуется принудительно выполнить многофакторную проверку подлинности на средних или более рискованных входах.

Реализация политики безопасности управления рисками пользователей

Риск пользователя указывает на вероятность компрометации идентификации пользователя и вычисляется на основе обнаружений рисков, связанных с удостоверением пользователя. Политику на основе рисков пользователей можно реализовать, добавив условие риска пользователей в политики условного доступа. Такое условие оценивает уровень риска для конкретного пользователя. На основе низкого, среднего, высокого уровня риска политика может быть настроена для блокировки доступа или требования безопасного изменения пароля с помощью многофакторной проверки подлинности. Рекомендация Microsoft состоит в том, чтобы требовать безопасного изменения пароля для пользователей в зоне высокого риска.

В функцию обнаружения рисков пользователя входит проверка того, совпадают ли учетные данные пользователя с учетными данными, утечка которых произошла из-за действий киберпреступников. Для оптимальной работы важно реализовать синхронизацию хэша паролей с Microsoft Entra Connect Sync.

Интеграция Microsoft Defender XDR с Microsoft Entra ID Protection

Чтобы Защита идентификации могла обеспечить максимальное возможное обнаружение рисков, необходимо получить максимальное возможное количество сигналов. Поэтому важно интегрировать полный набор служб Microsoft Defender XDR:

• Microsoft Defender for Endpoint (средство защиты для конечных точек)
• Microsoft Defender для Office 365
• Microsoft Defender for Identity
• Microsoft Defender для облачных приложений

Дополнительные сведения о Microsoft Защита от угроз и важности интеграции различных доменов см. в следующем кратком видео.

Настройка мониторинга и оповещения

Мониторинг и аудит журналов важен для обнаружения подозрительного поведения. На портале Azure есть несколько способов интеграции журналов Microsoft Entra с другими средствами, такими как Microsoft Sentinel, Azure Monitor и другие средства SIEM. Дополнительные сведения см. в руководстве по операциям безопасности Microsoft Entra.

Шаг 4. Использование облачной аналитики

Аудит и ведение журнала событий безопасности и связанные с ними оповещения являются важными составляющими эффективной стратегии защиты. Журналы безопасности и отчеты предоставляют электронную запись подозрительных действий и помогают обнаруживать шаблоны, которые могут указывать на попытку или успешный внешний проникновение сети, а также внутренние атаки. Аудит можно использовать для отслеживания действий пользователей, соблюдения требований нормативных документов, выполнения экспертизы и многого другого. Оповещения содержат уведомления о событиях безопасности. Убедитесь, что у вас есть политика хранения журналов для журналов входа и журналов аудита для Microsoft Entra ID путем экспорта в Azure Monitor или средства SIEM.

Мониторьте Microsoft Entra ID

В службах и функциях Microsoft Azure предоставляются настраиваемые параметры для аудита безопасности и ведения журнала, которые помогут выявить и устранить пробелы в ваших политиках и механизмах безопасности и предотвратить нарушения. Вы можете использовать ведение журнала Azure и аудит и использовать отчеты о действиях аудита в Центре администрирования Microsoft Entra. Дополнительные сведения о мониторинге учетных записей пользователей, привилегированных учетных записей, приложений и устройств см. в руководстве по операциям безопасности Microsoft Entra.

Мониторинг Microsoft Entra Connect Health в гибридных средах

Мониторинг AD FS с Microsoft Entra Connect Health предоставляет более подробные сведения о потенциальных проблемах и видимость атак в инфраструктуре AD FS. Теперь вы можете просматривать операции входа в ADFS, чтобы расширить возможности мониторинга. Microsoft Entra Connect Health предоставляет оповещения с подробными сведениями, шагами разрешения и ссылками на связанную документацию; аналитика использования для нескольких метрик, связанных с трафиком проверки подлинности; мониторинг производительности и отчеты. Используйте книгу сопряженных с риском IP-адресов для ADFS, которая поможет определить норму для вашей среды и реализовать оповещение при обнаружении изменений. Вся гибридная инфраструктура должна отслеживаться как ресурс уровня 0. Подробные рекомендации по мониторингу этих ресурсов можно найти в статье Руководство по операциям обеспечения безопасности для инфраструктуры.

Следите за событиями Microsoft Entra ID Protection

Microsoft Entra ID Protection предоставляет два важных отчета, которые следует отслеживать ежедневно:

1. Отчеты о рискованных входах показывают действия пользователей, которые следует исследовать, чтобы определить, выполнил ли вход законный владелец.
2. Отчеты о рискованных пользователях могут быть скомпрометированы, например утечка учетных данных, обнаруженных или вход пользователей из разных расположений, что приводит к невозможному событию путешествия.

Аудит приложений и разрешения, предоставленные с согласием

Пользователи могут быть обмануны в переходе к скомпрометированному веб-сайту или приложениям, которые получают доступ к своим сведениям профиля и данным пользователей, таким как их электронная почта. Злоумышленник может использовать полученные разрешения для шифрования содержимого почтового ящика и потребовать выкуп за восстановление ваших данных почтового ящика. Администраторы должны проверять разрешения пользователей и выполнять их аудит. Помимо аудита разрешений, предоставленных пользователями, можно обнаруживать рискованные или нежелательные приложения OAuth в средах премиум-класса.

Шаг 5. Включение самообслуживания конечных пользователей

Как можно больше вы хотите сбалансировать безопасность с производительностью. Придерживаясь мысли о формировании основы для безопасности, вы можете устранить разногласия в своей организации, предоставив пользователям широкие возможности работы с одновременным сохранением бдительности и сокращением операционных издержек.

Реализация самостоятельного сброса пароля

Microsoft Entra ID сброс пароля с самобслуживанием (SSPR) предоставляет простое средство, позволяющее ИТ-администраторам разрешить пользователям сбрасывать или разблокировать пароли и учетные записи без вмешательства службы поддержки или администратора. Система включает подробные отчеты, отслеживающие моменты, когда пользователи сбрасывают пароли, а также уведомления для оповещения вас о злоупотреблении или недопустимом использовании.

Реализация самостоятельного доступа к группам и приложениям

Microsoft Entra ID может разрешить неадминистраторам управлять доступом к ресурсам, с помощью групп безопасности, групп Microsoft 365, ролей приложений и каталогов пакетов доступа. Самостоятельное управление группами позволяет владельцам групп управлять собственными группами без назначения административной роли. Пользователи также могут создавать группы Microsoft 365 и управлять ими, не опираясь на администраторов для обработки своих запросов, а неиспользуемые группы истекают автоматически. Microsoft Entra управление правами дополнительно обеспечивает делегирование и видимость с комплексными рабочими процессами запросов на доступ и автоматическим истечением срока действия. Вы можете делегировать неадминистраторам возможность настраивать собственные пакеты доступа для групп, команд, приложений и веб-сайтов SharePoint, которыми они владеют, с настраиваемыми политиками, определяющими, кто должен утверждать доступ, включая настройку руководителей сотрудников и спонсоров бизнес-партнеров как утверждающих.

Реализация проверок доступа Microsoft Entra

С помощью Microsoft Entra проверки доступа вы можете управлять членством в пакетах и группах, доступом к корпоративным приложениям и назначениям привилегированных ролей, чтобы обеспечить соответствие стандартам безопасности. Согласно регулярному контролю со стороны самих пользователей, владельцев ресурсов и других проверяющих пользователи не получают прав доступа в течение длительных периодов, когда доступ им не нужен.

Реализация автоматической подготовки пользователей

Создание и удаление — это процессы, обеспечивающие согласованность цифровых удостоверений в нескольких системах. Эти процессы обычно применяются как часть управления жизненным циклом удостоверений.

Производство — это процесс создания идентификатора в целевой системе на основе определенных условий. Удаление доступа — это процесс удаления удостоверения из целевой системы, когда условия больше не выполняются. Синхронизация — это процесс поддержания подготовленного объекта в актуальном состоянии, чтобы между исходным и целевым объектом не было отличий.

Microsoft Entra ID в настоящее время предоставляет три области автоматической конфигурации. В их число входят:

• Предоставление из внешней системы учета, не связанной с каталогом, в Microsoft Entra ID через управляемую HR подготовку.
• Подготовка ресурсов из Microsoft Entra ID в приложения с помощью подготовки приложений
• Подготовка между Microsoft Entra ID и Active Directory Domain Services через настройку между каталогами

Узнайте больше здесь: Что такое обеспечение с помощью Microsoft Entra ID?

Итоги

Существует множество аспектов безопасной инфраструктуры удостоверений, но этот пятишаговый контрольный список помогает быстро реализовать безопасную и безопасную инфраструктуру удостоверений:

• Укрепите свои репутационные данные
• Уменьшение области направления атак
• автоматизация реагирования на угрозы;
• Используйте возможности облачных интеллектуальных систем.
• включение возможности самообслуживания для пользователей.

Мы ценим то, насколько серьезно вы относитесь к вопросам безопасности и надеемся, что этот документ будет полезен при разработке стратегии для защиты вашей организации.

Следующие шаги

Если вам нужна помощь в планировании и развертывании рекомендаций, ознакомьтесь с планами развертывания проекта Microsoft Entra ID для получения помощи.

Если вы уверены, что все эти шаги завершены, используйте Identity Secure Score от Microsoft, чтобы быть в курсе последних передовых практик и угроз безопасности.