Шаг 3. Защита идентификации

В этой статье содержатся расширенные рекомендации для образовательных учреждений по реализации защиты идентификации с лицензией Microsoft 365 A5. В ней рассматриваются условный доступ на основе рисков, расширенная проверка подлинности, фильтры устройств и приложений, защита маркеров и рекомендации по изучению рисков, связанных с удостоверениями. Цель заключается в том, чтобы помочь ит-отделам и группам безопасности защитить удостоверения учащихся, преподавателей и сотрудников, поддерживая соответствие требованиям и современные среды обучения.

Требования

  • лицензия Microsoft 365 A5

Роли и обязанности.

  • ИТ-Администратор
  • Администратор удостоверений
  • OneDrive Администратор
  • Администратор SharePoint
  • EXO Администратор
  • Администратор безопасности
  • Администратор соответствия требованиям

Условный доступ на основе рисков (риск входа, риск пользователя)

Что такое условный доступ на основе рисков?

Условный доступ на основе рисков — это функция безопасности в Microsoft Entra ID Protection, которая динамически оценивает уровень риска для входа и учетных записей пользователей, а затем применяет политики доступа на основе этого риска. Она помогает образовательным учреждениям защищать конфиденциальные данные и системы, автоматически реагируя на подозрительные действия без необходимости постоянного контроля вручную.

Эта возможность особенно важна для образовательных учреждений, где пользователи (студенты, преподаватели, сотрудники и гости) часто обращаются к ресурсам с различных устройств и расположений.

Два основных типа риска:

Тип риска Описание Примеры триггеров Рекомендуемое действие
Риск входа Вероятность того, что конкретная попытка проверки подлинности не является допустимой Незнакомые свойства входа, анонимные IP-адреса, нетипичные поездки, IP-адреса, связанные с вредоносными программами Требовать многофакторную проверку подлинности или блокировать доступ
Риск пользователя Вероятность компрометации учетной записи пользователя Утечка учетных данных, повторяющиеся рискованные входы, подозрительное поведение Требовать безопасного изменения пароля с помощью MFA или блокировать доступ

Как это работает в образовании:

  • Обнаружение в режиме реального времени. защита Microsoft Entra ID анализирует сотни сигналов во время каждого входа для вычисления оценки риска.
  • Принудительное применение политики. В зависимости от уровня риска политики условного доступа могут:
    • Блокировать доступ
    • Требовать многофакторную проверку подлинности (MFA)
    • Требовать безопасный сброс пароля
  • Самостоятельное исправление. Пользователи могут самостоятельно устранять некоторые риски (например, путем выполнения MFA), уменьшая нагрузку на ИТ.

Преимущества для образовательных учреждений:

  • Защищает удостоверения учащихся и преподавателей от фишинга, кражи учетных данных и несанкционированного доступа.
  • Поддерживает гибридное обучение за счет защиты доступа на личных и институциональных устройствах.
  • Сокращает рабочую нагрузку ИТ за счет автоматического обнаружения и исправления рисков.
  • Улучшает соответствие требованиям FERPA, GDPR и другим правилам защиты данных.

Лицензирование и развертывание.

  • Входит в Microsoft 365 A5. Условный доступ на основе рисков входит в Microsoft Entra ID план 2, который входит в состав лицензий A5 для образовательных учреждений.
  • Надстройка для A3. Учреждения, использующие A3, могут приобрести Microsoft Entra ID план 2, чтобы включить эту функцию.
  • Работает со сторонними поставщиками удостоверений: поддерживает среды федеративных удостоверений, распространенные в образовательных учреждениях.

Ограничения для пользователей B2B и гостевых пользователей:

Хотя политики на основе рисков можно применять к пользователям B2B, у них есть ограничения:

  • Гостевые пользователи не могут сбрасывать пароли в каталоге ресурсов.
  • Рискованные гостевые пользователи не отображаются в локальных отчетах о рискованных пользователях.
  • Администраторы не могут закрывать или устранять риски гостевых пользователей в клиенте ресурса

Контекст проверки подлинности (предварительная проверка подлинности)

Что такое контекст проверки подлинности?

Контекст проверки подлинности — это функция в Microsoft Entra условного доступа, которая позволяет выполнять усиленную проверку подлинности— механизм безопасности, который запрашивает у пользователей более надежную проверку подлинности (например, MFA или соответствие устройств) только при доступе к конфиденциальным данным или выполнении действий с высоким риском в приложении.

Вместо применения строгих политик доступа на уровне приложения контекст проверки подлинности обеспечивает детализированное применение в приложении. Это означает, что пользователи могут получать доступ к общим функциям со стандартными учетными данными, но должны соответствовать более высоким требованиям безопасности для привилегированных операций, таких как просмотр записей учащихся, доступ к финансовым данным или изменение систем оценки.

Как это работает в образовании:

  • Доступ на основе ролей. Например, преподавателю, который обращается к общему содержимому Teams, может не потребоваться MFA, но доступ к сайту SharePoint с помощью индивидуальных образовательных программ учащихся (IEP) вызовет повышение.
  • Принудительное применение конфиденциальности данных. Для доступа к конфиденциальным панелям мониторинга Power BI или административным порталам могут потребоваться соответствующие устройства или доверенные IP-адреса.
  • Минимальные трения пользователей: учащиеся и сотрудники не перегружены запросами MFA, если это не требуется, что повышает удобство использования при сохранении безопасности.

Основные возможности:

Функция Описание
Детализированный условный доступ Применение политик к определенным действиям или данным в приложении, а не только к приложению в целом
Пошаговое выполнение проверки подлинности Активация более строгой проверки подлинности (например, MFA, совместимое устройство) только при необходимости
Интеграция разработчика Приложения, использующие OpenID Connect, могут вызывать контекст проверки подлинности для динамического применения политик.
Выравнивание "Никому не доверяй" Поддерживает доступ с минимальными привилегиями и оценку рисков в режиме реального времени.

Варианты использования для образовательных учреждений:

  • Информационные системы учащихся (SIS): требуется MFA при доступе или редактировании записей о здоровье учащихся или дисциплинарных записях.
  • Порталы финансовой помощи. Обеспечение соответствия устройств для сотрудников, обращаюющихся к конфиденциальным финансовым данным.
  • Порталы преподавателей: активируйте шаг при изменении оценок или доступе к записям отдела кадров.

Рекомендации по развертыванию.

  • Определение пакетов доступа и меток конфиденциальности для ресурсов.
  • Используйте политики условного доступа Microsoft Entra для привязки контекста проверки подлинности к определенным действиям.
  • Убедитесь, что приложения интегрированы с OpenID Connect и поддерживают проблемы с утверждениями.

Фильтры устройств и приложений для условного доступа Microsoft Entra

Фильтры устройств и приложений — это расширенные условия в Microsoft Entra условного доступа, которые позволяют ИТ-администраторам нацеливать или исключать определенные устройства или приложения при применении политик доступа. Эти фильтры обеспечивают детальный контроль над тем, кто может получить доступ к чему, откуда и при каких условиях. Это важно для защиты образовательных сред с различными типами устройств и ролями пользователей.

Фильтры устройств:

Фильтры устройств оценивают доступ на основе атрибутов устройств, зарегистрированных в Microsoft Entra ID. К этим атрибутам относятся:

  • device.operatingSystem
  • device.trustType
  • device.extensionAttributes1–15
  • device.isCompliant
  • device.managementType (например, управляемый Intune)

Варианты использования в образовательных учреждениях:

  • Блокировать доступ с неуправляемых устройств учащихся, разрешая соответствующие требованиям ноутбуки преподавателей.
  • Разрешите доступ только с компьютеров, управляемых Intune лабораторией.
  • Исключите телефоны Teams или Surface Hub из требований MFA для учетных записей служб.

Поведение политики:

  • Фильтры применяются только к зарегистрированным устройствам.
  • При использовании extensionAttributes устройство должно быть совместимым или гибридным.
  • Незарегистрированные устройства не оцениваются фильтром и исключаются из принудительного применения политики.

Фильтры приложений (предварительная версия):

Фильтры приложений позволяют политикам условного доступа ориентироваться на определенные приложения на основе настраиваемых атрибутов, назначенных субъектам-службам. Это полезно в следующих случаях:

  • Вы хотите применить разные политики к приложениям с похожими именами или функциями.
  • Необходимо применять более строгие элементы управления для приложений с высоким риском (например, систем классификации, платформы SIS).

Варианты использования в образовательных учреждениях:

  • Требовать MFA для доступа к системам финансовой помощи, но не для порталов общего обучения.
  • Блокировать доступ к устаревшим или неутвержденным приложениям, используемым учащимися.

Интеграция с Microsoft Defender for Cloud Apps:

В образовании эти фильтры часто используются в сочетании с Microsoft Defender for Cloud Apps для:

  • Обнаружение и блокировка теневой ИТ-службы (несанкционированные приложения).
  • Применяйте элементы управления на уровне сеанса (например, блокировать скачивание, отслеживать отправку).
  • Принудительное управление условным доступом к приложениям в режиме реального времени на основе риска устройства или приложения.

Практическое руководство по реализации.

  • Определение политик соответствия устройств в Microsoft Intune.
  • Используйте фильтры устройств, чтобы обеспечить доступ только с совместимых или гибридных устройств.
  • Используйте фильтры приложений для добавления тегов и управления доступом к конфиденциальным приложениям.
  • Объединение с политиками на основе рисков для динамического принудительного применения.

Защита токенов

Что такое защита маркеров?

Защита маркеров — это функция безопасности в Microsoft Entra ID (ранее Azure AD), которая помогает предотвратить кражу маркеров и атаки на воспроизведение путем привязки маркеров проверки подлинности к определенным условиям, таким как устройство, пользователь или контекст сеанса. Это гарантирует, что даже в случае кражи маркера его нельзя будет повторно использовать с другого устройства или другого расположения. Это важно для образовательных учреждений, где учащиеся, преподаватели и сотрудники часто обращаются к облачным ресурсам с личных или общих устройств, что повышает риск компрометации маркеров.

Почему это важно в образовании:

  • Предотвращение бокового перемещения злоумышленниками, которые получают доступ к маркеру.
  • Обеспечьте безопасность гибридного обучения, гарантируя, что маркеры действительны только на доверенных или совместимых устройствах.
  • Поддержка "Никому не доверяй", применяя надежную проверку удостоверений и устройств перед предоставлением доступа к конфиденциальным системам, таким как SIS, LMS или порталам финансовой помощи.

Основные возможности:

Возможность Описание
Привязка маркера Связывает маркеры с определенным устройством или сеансом, предотвращая повторное использование в другом месте
Отзыв сеанса Автоматически делает маркеры недействительными при обнаружении риска (например, вход из новой страны или региона или рискованного IP-адреса).
Интеграция с условным доступом Работает с политиками условного доступа для обеспечения защиты маркеров на основе риска, соответствия устройств или конфиденциальности приложений
Поддержка политик на основе рисков Повышает защиту в сочетании с Microsoft Entra ID защитой и политиками соответствия Intune.

Варианты использования для образовательных учреждений:

  • Блокировать повторное использование маркера с неуправляемых устройств учащихся.
  • Принудительная повторная проверка подлинности, если маркер сеанса используется из новой страны или региона или помеченного IP-адреса.
  • Защита доступа к рабочим нагрузкам Microsoft 365 A5 EDU, включая Teams, SharePoint и Exchange Online.

Руководство по развертыванию.

  • Обеспечение лицензирования. Требуется Microsoft Entra ID план 2 (входит в Microsoft 365 A5).
  • Включение политик условного доступа. Определите правила, которые применяют привязку маркеров и элементы управления сеансами.
  • Используйте Intune и Defender для конечной точки: усиление защиты устройств и обеспечение соответствия перед выдачей маркеров.
  • Обучение ИТ-специалистов. Многие учреждения недостаточно используют эти функции из-за недостаточной осведомленности или обучения.

Уязвимости и рискованные учетные записи

В контексте Microsoft Entra и Defender для образования уязвимости относятся к слабым местам в системах, конфигурациях или программном обеспечении, которые могут использоваться злоумышленниками. Учетные записи риска — это удостоверения пользователей, помеченные из-за подозрительного или скомпрометированного поведения, например утечки учетных данных, необычных входов или действий, связанных с вредоносными программами.

Эти риски критически важны для образования, где учреждения управляют большими динамическими группами студентов, преподавателей и сотрудников, часто с ограниченными ИТ-ресурсами и большим объемом неуправляемых или BYOD-устройств.

Учетные записи с рисками в Microsoft Entra ID Protection:

  • Пользователи, подверженные риску: учетные записи, помеченные из-за утечки учетных данных, повторных рискованных входов или подозрительного поведения.
  • Рискованные входы: попытки проверки подлинности из незнакомых расположений, анонимных IP-адресов или инфраструктуры, связанной с вредоносными программами.
  • Обнаружение рисков: такие события, как невозможное перемещение, нетипичное использование маркера или незнакомые свойства входа.

Администраторы могут исследовать эти риски с помощью отчета о рискованных пользователях в Центр администрирования Microsoft Entra, который содержит подробные сведения о журнале, уровне риска и вариантах исправления, таких как сброс пароля или применение MFA.

Управление уязвимостями Microsoft Defender в образовании:

  • Обнаружение уязвимостей на разных устройствах, в браузерах, встроенном ПО и сертификатах.
  • Определение приоритетов рисков с помощью данных о серьезности, эксплойтируемости и уязвимости.
  • Устраните проблемы с помощью Intune или Endpoint Manager с помощью рабочих процессов одним щелчком.
  • Блокировать уязвимые приложения или предупреждать пользователей перед запуском.

Это полезно в образовательных учреждениях, где неуправляемые устройства и устаревшие системы являются общим явлением и где ИТ-специалистам необходимо сбалансировать безопасность с удобством использования и ограниченным бюджетом.

Проблемы и решения, связанные с образованием:

  • Высокий уровень использования BYOD: 90 % атак программ-шантажистов в EDU начинаются на неуправляемых устройствах.
  • Молодые пользователи. Учащиеся в возрасте от 5 лет могут использовать школьные системы, требующие контроля безопасности, соответствующего возрасту.
  • Масштабирование и отток: частый оборот пользователей и большие размеры клиентов (часто миллионы пользователей) усложняют управление жизненным циклом удостоверений

К решениям относятся:

  • Агенты безопасности BYOD, которые применяют параметры конфиденциальности и безопасности для несовершеннолетних.
  • Безопасные агенты тестирования, которые блокируют устройства во время оценок.
  • Условный доступ с политиками на основе рисков для блокировки или вызова пользователей, которые рискуют.

Лицензирование и интеграция:

  • Microsoft Entra ID план 2 (включенный в Microsoft 365 A5) необходим для полного обнаружения и устранения рисков.
  • Microsoft Defender для конечной точки интегрируется с Microsoft Entra ID, чтобы обеспечить единую видимость уязвимостей и рискованных учетных записей и управление ими.

Исследование событий риска

Исследование событий риска — это структурированный процесс выявления, анализа и реагирования на угрозы безопасности, связанные с удостоверениями, такие как скомпрометированные учетные записи, подозрительные входы или внутренние риски, в образовательных учреждениях. Этот процесс имеет решающее значение для защиты конфиденциальных данных учащихся и преподавателей, поддержания соответствия требованиям и обеспечения непрерывности работы.

Основной процесс исследования событий риска:

  • Отчеты о рисках мониторинга. К ним относятся пользователи с риском, рискованные входы, удостоверения рабочей нагрузки и обнаружение рисков.
  • Фильтрация и анализ событий. Администраторы могут фильтровать данные по уровню риска, типу обнаружения и атрибутам пользователей, чтобы определить приоритеты для расследований.
  • Просмотр журнала рисков. Временная шкала риска каждого пользователя показывает, что вызвало риск (например, утечка учетных данных, незнакомый вход) и какие действия были предприняты (например, сброс пароля, вызов MFA).
  • Действия по исправлению. Администраторы могут подтверждать или закрывать риски, сбрасывать пароли или применять политики условного доступа.

Этот процесс поддерживается скачиваемыми отчетами и интеграцией со средствами SIEM и Microsoft Defender, что обеспечивает более глубокий анализ и автоматизацию.

Рекомендации и инструменты для образовательных учреждений:

  • Модель пятиэтапного исследования:
    • Рассмотрение. Определите область, влияние и серьезность.
    • Сбор доказательств. Сбор и сохранение журналов и артефактов.
    • Анализ первопричин. Определите, как произошел инцидент.
    • Исправление. Содержит и устраните проблему.
    • Обзор. Обновите политики и обучение, чтобы предотвратить повторение.
  • Подчеркивайте соответствие требованиям OSHA и внутренним протоколам безопасности, включая обязательные отчеты и документацию по инцидентам, связанным с данными или физической безопасностью.
  • Управление внутренними рисками Microsoft Purview помогает обнаруживать и исследовать внутренние угрозы, такие как утечки данных или нарушения политики, с помощью машинного обучения и псевдонимизированных данных.

Средства и улучшения:

  • Copilot for Security: предлагает сводку по событиям риска на естественном языке, включая причины повышения уровня риска пользователя и рекомендации по дальнейшим действиям.
  • Оценки по запросу. Помогает заблаговременно выявлять неправильные конфигурации и уязвимости в Microsoft Entra ID средах.

Рекомендации для образовательных учреждений:

  • Начните с пользователей с высоким риском. Определите приоритет пользователей с несколькими обнаружениями или подтвержденными утечками учетных данных.
  • Автоматизация по возможности. Используйте политики условного доступа и защиты идентификации для принудительного применения MFA или блокировки доступа на основе риска.
  • Документирование и общение: ведение четких записей о расследованиях и обмен данными с соответствующими командами.
  • Обучение сотрудников. Убедитесь, что ит-отделы и группы безопасности знакомы с рабочими процессами и инструментами расследования.
  • Last updated on