Skydda privilegierad åtkomst för hybrid- och molndistributioner i Microsoft Entra-ID

Säkerheten för affärstillgångar beror på integriteten för de privilegierade konton som administrerar dina IT-system. Cyberattacker använder stöldattacker för autentiseringsuppgifter för att rikta in sig på administratörskonton och annan privilegierad åtkomst för att försöka få åtkomst till känsliga data.

För molntjänster är förebyggande och svar molntjänstleverantörens och kundens gemensamma ansvarsområden. Mer information om de senaste hoten mot slutpunkter och molnet finns i rapporten Microsoft Säkerhetsinsikter. Den här artikeln kan hjälpa dig att utveckla en översikt för att minska luckor mellan dina nuvarande planer och vägledningen som beskrivs här.

Traditionellt fokuserade organisationens säkerhet på start- och slutpunkterna i ett nätverk som säkerhetsperimeter. SaaS-appar och personliga enheter på Internet har dock gjort den här metoden mindre effektiv. I Microsoft Entra-ID ersätter vi nätverkssäkerhetsperimetern med autentisering i organisationens identitetslager, med användare tilldelade till privilegierade administrativa roller i kontrollen. Deras åtkomst måste skyddas, oavsett om miljön är lokal, molnbaserad eller en hybrid.

För att skydda privilegierad åtkomst krävs ändringar i:

• Processer, administrativa metoder och kunskapshantering
• Tekniska komponenter som värdskydd, kontoskydd och identitetshantering

Skydda din privilegierade åtkomst på ett sätt som hanteras och rapporteras i Microsoft-tjänster du bryr dig om. Om du har lokala administratörskonton kan du läsa vägledningen för lokal och hybridprivilegierad åtkomst i Active Directory i Skydda privilegierad åtkomst.

Utveckla en översikt

Microsoft rekommenderar att du utvecklar och följer en översikt för att skydda privilegierad åtkomst mot cyberangreppare. Du kan alltid justera översikten så att den passar dina befintliga funktioner och specifika krav i din organisation. Varje steg i översikten bör öka kostnaden och svårigheten för angripare att attackera privilegierad åtkomst för dina lokala tillgångar, moln och hybridtillgångar. Microsoft rekommenderar följande fyra översiktssteg. Schemalägg de mest effektiva och snabbaste implementeringarna först. Den här artikeln kan vara din guide, baserat på Microsofts erfarenheter av incident- och svarsimplementering av cyberattacker. Tidslinjerna för den här översikten är approximationer.

• Steg 1 (24–48 timmar): Kritiska objekt som vi rekommenderar att du gör direkt

• Steg 2 (2–4 veckor): Minimera de vanligaste attackteknikerna

• Steg 3 (1–3 månader): Skapa synlighet och skapa fullständig kontroll över administratörsaktivitet

• Steg 4 (sex månader och senare): Fortsätt att bygga skydd för att ytterligare förstärka din säkerhetsplattform

Det här översiktsramverket är utformat för att maximera användningen av Microsoft-tekniker som du kanske redan har distribuerat. Överväg att koppla till alla säkerhetsverktyg från andra leverantörer som du redan har distribuerat eller överväger att distribuera.

Steg 1: Kritiska objekt att göra just nu

Steg 1 i översikten fokuserar på viktiga uppgifter som är snabba och enkla att implementera. Vi rekommenderar att du gör dessa få objekt direkt inom de första 24–48 timmarna för att säkerställa en grundläggande nivå av säker privilegierad åtkomst. Det här steget i översikten för skyddad privilegierad åtkomst innehåller följande åtgärder:

Allmän förberedelse

Använda Microsoft Entra Privileged Identity Management

Vi rekommenderar att du börjar använda Microsoft Entra Privileged Identity Management (PIM) i din Microsoft Entra-produktionsmiljö. När du har börjat använda PIM får du e-postmeddelanden om privilegierade ändringar i åtkomstrollen. Meddelanden ger tidig varning när ytterligare användare läggs till i mycket privilegierade roller.

Microsoft Entra Privileged Identity Management ingår i Microsoft Entra ID P2 eller EMS E5. För att skydda åtkomsten till program och resurser lokalt och i molnet registrerar du dig för den kostnadsfria 90-dagars utvärderingsversionen av Enterprise Mobility + Security. Microsoft Entra Privileged Identity Management och Microsoft Entra ID Protection övervakar säkerhetsaktiviteter med hjälp av Microsoft Entra ID-rapportering, granskning och aviseringar.

När du har börjat använda Microsoft Entra Privileged Identity Management:

1. Logga in på administrationscentret för Microsoft Entra som global administratör.

2. Om du vill växla kataloger där du vill använda Privileged Identity Management väljer du ditt användarnamn i det övre högra hörnet i administrationscentret för Microsoft Entra.

3. Bläddra till Identitetsstyrning>Privileged Identity Management.

Se till att den första personen som använder PIM i din organisation har tilldelats rollerna Säkerhetsadministratör och Privilegierad rolladministratör . Endast privilegierade rolladministratörer kan hantera microsoft Entra-katalogrolltilldelningar för användare. PIM-säkerhetsguiden vägleder dig genom den första identifierings- och tilldelningsupplevelsen. Du kan avsluta guiden utan att göra några ytterligare ändringar just nu.

Identifiera och kategorisera konton som har mycket privilegierade roller

När du har börjat använda Microsoft Entra Privileged Identity Management kan du visa de användare som har följande Microsoft Entra-roller:

• Global administratör för
• Administratör för privilegierad roll
• Exchange-administratör
• SharePoint-administratör

Om du inte har Microsoft Entra Privileged Identity Management i din organisation kan du använda Microsoft Graph PowerShell. Börja med rollen Global administratör eftersom en global administratör har samma behörigheter för alla molntjänster som din organisation har prenumererat på. Dessa behörigheter beviljas oavsett var de tilldelades: i Administrationscenter för Microsoft 365, Microsoft Entra administrationscenter eller med hjälp av Microsoft Graph PowerShell.

Ta bort konton som inte längre behövs i dessa roller. Kategorisera sedan de återstående konton som har tilldelats till administratörsroller:

• Tilldelas administrativa användare, men används även för icke-administrativa ändamål (till exempel personlig e-post)
• Tilldelas administrativa användare och används endast för administrativa ändamål
• Delas mellan flera användare
• För scenarier med nödåtkomst i krossat glas
• För automatiserade skript
• För externa användare

Definiera minst två konton för nödåtkomst

Det är möjligt att en användare av misstag blir utelåst från sin roll. Om till exempel en federerad lokal identitetsprovider inte är tillgänglig kan användarna inte logga in eller aktivera ett befintligt administratörskonto. Du kan förbereda dig för oavsiktlig brist på åtkomst genom att lagra två eller flera konton för nödåtkomst.

Konton för nödåtkomst hjälper till att begränsa privilegierad åtkomst i en Microsoft Entra-organisation. Dessa konton är mycket privilegierade och tilldelas inte till specifika individer. Konton för nödåtkomst är begränsade till nödsituationer för "break glass"-scenarier där normala administrativa konton inte kan användas. Se till att du kontrollerar och minskar användningen av kontot för nödsituationer till den tid som det är nödvändigt för.

Utvärdera de konton som är tilldelade eller berättigade till rollen Global administratör. Om du inte ser några molnbaserade konton med hjälp av domänen *.onmicrosoft.com (för nödåtkomst till "break glass" skapar du dem. Mer information finns i Hantera administrativa konton för nödåtkomst i Microsoft Entra-ID.

Aktivera multifaktorautentisering och registrera alla andra högprivilegierade icke-federerade administratörskonton för en enda användare

Kräv Microsoft Entra-multifaktorautentisering vid inloggning för alla enskilda användare som är permanent tilldelade till en eller flera av Microsoft Entra-administratörsrollerna: Global administratör, Privilegierad rolladministratör, Exchange-administratör och SharePoint-administratör. Använd vägledningen i Framtvinga multifaktorautentisering för dina administratörer och se till att alla dessa användare har registrerat sig på https://aka.ms/mfasetup. Mer information finns i steg 2 och steg 3 i guiden Skydda användar- och enhetsåtkomst i Microsoft 365.

Steg 2: Minimera attacker som används ofta

Steg 2 i färdplanen fokuserar på att mildra de vanligaste attackteknikerna för stöld och missbruk av autentiseringsuppgifter och kan implementeras om cirka 2–4 veckor. Det här steget i översikten för skyddad privilegierad åtkomst innehåller följande åtgärder.

Allmän förberedelse

Göra en inventering av tjänster, ägare och administratörer

Ökningen av "bring your own device" och work from home-principer och tillväxten av trådlös anslutning gör det viktigt att övervaka vem som ansluter till nätverket. En säkerhetsgranskning kan avslöja enheter, program och program i nätverket som din organisation inte stöder och som utgör en hög risk. Mer information finns i Översikt över säkerhetshantering och övervakning i Azure. Se till att du inkluderar alla följande uppgifter i inventeringsprocessen.

• Identifiera de användare som har administrativa roller och de tjänster där de kan hantera.

• Använd Microsoft Entra PIM för att ta reda på vilka användare i din organisation som har administratörsåtkomst till Microsoft Entra-ID.

• Utöver de roller som definierats i Microsoft Entra-ID levereras Microsoft 365 med en uppsättning administratörsroller som du kan tilldela användare i din organisation. Varje administratörsroll mappar till vanliga affärsfunktioner och ger personer i organisationen behörighet att utföra specifika uppgifter i Administrationscenter för Microsoft 365. Använd Administrationscenter för Microsoft 365 för att ta reda på vilka användare i din organisation som har administratörsåtkomst till Microsoft 365, inklusive via roller som inte hanteras i Microsoft Entra-ID. Mer information finns i Om Microsoft 365-administratörsroller och säkerhetsrutiner för Office 365.

• Gör inventeringen i tjänster som din organisation förlitar sig på, till exempel Azure, Intune eller Dynamics 365.

• Se till att dina konton som används i administrationssyfte:

  • Ha fungerande e-postadresser kopplade till dem
  • Har registrerat dig för Microsoft Entra multifaktorautentisering eller använda MFA lokalt

• Be användarna om deras affärsmotivering för administrativ åtkomst.

• Ta bort administratörsåtkomst för de personer och tjänster som inte behöver den.

Identifiera Microsoft-konton i administrativa roller som måste bytas till arbets- eller skolkonton

Om dina första globala administratörer återanvänder sina befintliga autentiseringsuppgifter för Microsoft-kontot när de började använda Microsoft Entra-ID ersätter du Microsoft-kontona med enskilda molnbaserade eller synkroniserade konton.

Se till att separata användarkonton och e-postvidarebefordring för globala administratörskonton

Personliga e-postkonton nätas regelbundet av cyberangreppare, en risk som gör personliga e-postadresser oacceptabla för globala administratörskonton. För att skilja internetrisker från administrativa privilegier skapar du dedikerade konton för varje användare med administratörsbehörighet.

• Se till att skapa separata konton så att användare kan utföra globala administratörsuppgifter.
• Se till att dina globala administratörer inte av misstag öppnar e-postmeddelanden eller kör program med sina administratörskonton.
• Se till att dessa konton har sin e-post vidarebefordrad till en fungerande postlåda.
• Globala administratörskonton (och andra privilegierade grupper) bör vara molnbaserade konton utan kopplingar till lokal Active Directory.

Kontrollera att lösenorden för administrativa konton nyligen har ändrats

Se till att alla användare har loggat in på sina administrativa konton och ändrat sina lösenord minst en gång under de senaste 90 dagarna. Kontrollera också att alla delade konton nyligen har ändrat sina lösenord.

Aktivera synkronisering av lösenordshash

Microsoft Entra Anslut synkroniserar en hash av hashen för en användares lösenord från lokal Active Directory till en molnbaserad Microsoft Entra-organisation. Du kan använda synkronisering av lösenordshash som en säkerhetskopia om du använder federation med Active Directory Federation Services (AD FS) (AD FS). Den här säkerhetskopieringen kan vara användbar om dina lokal Active Directory- eller AD FS-servrar är tillfälligt otillgängliga.

Med synkronisering av lösenordshash kan användare logga in på en tjänst med samma lösenord som de använder för att logga in på sin lokal Active Directory instans. Med synkronisering av lösenordshash kan Identity Protection identifiera komprometterade autentiseringsuppgifter genom att jämföra lösenordshashvärden med lösenord som är kända för att komprometteras. Mer information finns i Implementera synkronisering av lösenordshash med Microsoft Entra Anslut Sync.

Kräv multifaktorautentisering för användare i privilegierade roller och exponerade användare

Microsoft Entra ID rekommenderar att du behöver multifaktorautentisering för alla dina användare. Tänk på användare som skulle ha en betydande inverkan om deras konto komprometterades (till exempel ekonomiansvariga). MFA minskar risken för en attack på grund av ett komprometterat lösenord.

Aktivera:

• MFA använder principer för villkorsstyrd åtkomst för alla användare i din organisation.

Om du använder Windows Hello för företag kan MFA-kravet uppfyllas med hjälp av Windows Hello-inloggningen. Mer information finns i Windows Hello.

Konfigurera identitetsskydd

Microsoft Entra ID Protection är ett algoritmbaserat övervaknings- och rapporteringsverktyg som identifierar potentiella sårbarheter som påverkar organisationens identiteter. Du kan konfigurera automatiserade svar på de misstänkta aktiviteterna och vidta lämpliga åtgärder för att lösa dem. Mer information finns i Microsoft Entra ID Protection.

Hämta din Säkerhetspoäng för Microsoft 365 (om du använder Microsoft 365)

Säkerhetspoäng tittar på dina inställningar och aktiviteter för de Microsoft 365-tjänster som du använder och jämför dem med en baslinje som upprättats av Microsoft. Du får en poäng baserat på hur anpassad du är med säkerhetsrutiner. Alla som har administratörsbehörighet för en Microsoft 365 Business Standard- eller Enterprise-prenumeration kan komma åt säkerhetspoängen på https://security.microsoft.com/securescore.

Läs säkerhets- och efterlevnadsvägledningen för Microsoft 365 (om du använder Microsoft 365)

I planen för säkerhet och efterlevnad beskrivs hur en Office 365-kund kan konfigurera Office 365 och aktivera andra EMS-funktioner. Läs sedan steg 3–6 om hur du skyddar åtkomsten till data och tjänster i Microsoft 365 och guiden för att övervaka säkerhet och efterlevnad i Microsoft 365.

Konfigurera Microsoft 365-aktivitetsövervakning (om du använder Microsoft 365)

Övervaka din organisation för användare som använder Microsoft 365 för att identifiera personal som har ett administratörskonto men kanske inte behöver Microsoft 365-åtkomst eftersom de inte loggar in på dessa portaler. Mer information finns i Aktivitetsrapporter i Administrationscenter för Microsoft 365.

Upprätta ägare av incident-/katastrofhanteringsplan

Att upprätta en lyckad incidenthanteringsfunktion kräver betydande planering och resurser. Du måste kontinuerligt övervaka cyberattacker och fastställa prioriteringar för incidenthantering. Samla in, analysera och rapportera incidentdata för att skapa relationer och upprätta kommunikation med andra interna grupper och planägare. Mer information finns i Microsoft Security Response Center.

Skydda lokala privilegierade administrativa konton, om de inte redan är klara

Om din Microsoft Entra-organisation synkroniseras med lokal Active Directory följer du riktlinjerna i Översikt över säkerhetsprivilegierad åtkomst: I den här fasen ingår:

• Skapa separata administratörskonton för användare som behöver utföra lokala administrativa uppgifter
• Distribuera privilegierade arbetsstationer för Active Directory-administratörer
• Skapa unika lokala administratörslösenord för arbetsstationer och servrar

Ytterligare steg för organisationer som hanterar åtkomst till Azure

Slutför en inventering av prenumerationer

Använd Enterprise-portalen och Azure-portalen för att identifiera de prenumerationer i din organisation som är värd för produktionsprogram.

Ta bort Microsoft-konton från administratörsroller

Microsoft-konton från andra program, till exempel Xbox, Live och Outlook, bör inte användas som administratörskonton för din organisations prenumerationer. Ta bort administratörsstatus från alla Microsoft-konton och ersätt med Microsoft Entra-ID (till exempel chris@contoso.com) arbets- eller skolkonton. För administratörsändamål är beroende av konton som autentiseras i Microsoft Entra-ID och inte i andra tjänster.

Övervaka Azure-aktivitet

Azure-aktivitetsloggen innehåller historik över händelser på prenumerationsnivå i Azure. Den innehåller information om vem som skapade, uppdaterade och tog bort vilka resurser och när dessa händelser inträffade. Mer information finns i Granska och ta emot meddelanden om viktiga åtgärder i din Azure-prenumeration.

Ytterligare steg för organisationer som hanterar åtkomst till andra molnappar via Microsoft Entra-ID

Konfigurera principer för villkorsstyrd åtkomst

Förbereda principer för villkorlig åtkomst för lokala och molnbaserade program. Om du har användare som är anslutna till arbetsplatsen kan du få mer information från Konfigurera lokal villkorlig åtkomst med hjälp av Microsoft Entra-enhetsregistrering.

Steg 3: Ta kontroll över administratörsaktiviteten

Steg 3 bygger på åtgärderna från steg 2 och bör implementeras om cirka 1–3 månader. Det här steget i översikten för skyddad privilegierad åtkomst innehåller följande komponenter.

Allmän förberedelse

Slutför en åtkomstgranskning av användare i administratörsroller

Fler företagsanvändare får privilegierad åtkomst via molntjänster, vilket kan leda till ohanterad åtkomst. Användare kan idag bli globala administratörer för Microsoft 365, Azure-prenumerationsadministratörer eller ha administratörsåtkomst till virtuella datorer eller via SaaS-appar.

Din organisation bör låta alla anställda hantera vanliga affärstransaktioner som oprivilegierade användare och sedan bevilja administratörsrättigheter endast efter behov. Slutför åtkomstgranskningar för att identifiera och bekräfta de användare som är berättigade att aktivera administratörsbehörigheter.

Vi rekommenderar att du gör följande:

1. Ta reda på vilka användare som är Microsoft Entra-administratörer, aktivera administratörsåtkomst på begäran, just-in-time-administratörsåtkomst och rollbaserade säkerhetskontroller.
2. Konvertera användare som inte har någon tydlig motivering för privilegierad administratörsåtkomst till en annan roll (ta bort dem om det inte finns någon berättigad roll).

Fortsätt distributionen av starkare autentisering för alla användare

Kräv högexponerade användare för att ha modern, stark autentisering, till exempel Microsoft Entra multifaktorautentisering eller Windows Hello. Exempel på användare med hög tillgänglighet är:

• C-suite-chefer
• Chefer på hög nivå
• Kritisk IT- och säkerhetspersonal

Använda dedikerade arbetsstationer för administration för Microsoft Entra-ID

Angripare kan försöka rikta in sig på privilegierade konton så att de kan störa datas integritet och äkthet. De använder ofta skadlig kod som ändrar programlogiken eller snokar administratören som anger en autentiseringsuppgift. Arbetsstationer för privilegierad åtkomst (PAW, Privileged Access Workstation) ger tillgång till ett dedikerat operativsystem för känsliga uppgifter som är skyddat mot Internetattacker och hotvektorer. Att separera dessa känsliga uppgifter och konton från arbetsstationer och enheter för daglig användning ger starkt skydd mot:

• Nätfiskeattacker
• Sårbarheter i program och operativsystem
• Personifieringsattacker
• Stöld av autentiseringsuppgifter, till exempel loggning av tangenttryckningar, Pass-the-Hash och Pass-The-Ticket

Genom att distribuera privilegierade arbetsstationer kan du minska risken för att administratörer anger sina autentiseringsuppgifter i en skrivbordsmiljö som inte har förstärkts. Mer information finns i Arbetsstationer för privilegierad åtkomst.

Granska National Institute of Standards and Technology-rekommendationer för hantering av incidenter

National Institute of Standards and Technology's (NIST) innehåller riktlinjer för incidenthantering, särskilt för att analysera incidentrelaterade data och fastställa lämpliga svar på varje incident. Mer information finns i Guiden för hantering av säkerhetsincidenter (SP 800-61, revision 2) (NIST).

Implementera Privileged Identity Management (PIM) för JIT till ytterligare administrativa roller

För Microsoft Entra-ID använder du funktionen Microsoft Entra Privileged Identity Management . Tidsbegränsad aktivering av privilegierade roller fungerar genom att du kan:

• Aktivera administratörsbehörigheter för att utföra en specifik uppgift

• Framtvinga MFA under aktiveringsprocessen

• Använda aviseringar för att informera administratörer om out-of-band-ändringar

• Gör det möjligt för användare att behålla sin privilegierade åtkomst under en förkonfigurerad tid

• Tillåt säkerhetsadministratörer att:

  • Identifiera alla privilegierade identiteter
  • Visa granskningsrapporter
  • Skapa åtkomstgranskningar för att identifiera alla användare som är berättigade att aktivera administratörsbehörigheter

Om du redan använder Microsoft Entra Privileged Identity Management justerar du tidsramar för tidsbundna privilegier efter behov (till exempel underhållsperioder).

Fastställa exponering för lösenordsbaserade inloggningsprotokoll (om du använder Exchange Online)

Vi rekommenderar att du identifierar alla potentiella användare som kan vara katastrofala för organisationen om deras autentiseringsuppgifter komprometterades. För dessa användare inför du starka autentiseringskrav och använder villkorsstyrd åtkomst i Microsoft Entra för att hindra dem från att logga in på sin e-post med användarnamn och lösenord. Du kan blockera äldre autentisering med villkorlig åtkomst och du kan blockera grundläggande autentisering via Exchange Online.

Slutför en granskningsutvärdering av roller för Microsoft 365-roller (om du använder Microsoft 365)

Utvärdera om alla administratörer har rätt roller (ta bort och omtilldela enligt den här utvärderingen).

Granska den metod för hantering av säkerhetsincidenter som används i Microsoft 365 och jämför med din egen organisation

Du kan ladda ned den här rapporten från Security Incident Management i Microsoft 365.

Fortsätt att skydda lokala privilegierade administrativa konton

Om ditt Microsoft Entra-ID är anslutet till lokal Active Directory följer du riktlinjerna i översikten för säkerhetsprivilegierad åtkomst: Steg 2. I det här steget:

• Distribuera privilegierade arbetsstationer för åtkomst till alla administratörer
• Krav på MFA
• Använd Just Enough Admin för underhåll av domänkontrollanter, vilket sänker attackytan för domäner
• Distribuera Advanced Threat Analytics för attackidentifiering

Ytterligare steg för organisationer som hanterar åtkomst till Azure

Upprätta integrerad övervakning

Microsoft Defender för molnet:

• Tillhandahåller integrerad säkerhetsövervakning och principhantering i dina Azure-prenumerationer
• Hjälper till att identifiera hot som annars kan gå obemärkt förbi
• Fungerar med en mängd olika säkerhetslösningar

Inventera dina privilegierade konton i värdbaserade virtuella datorer

Du behöver vanligtvis inte ge användarna obegränsad behörighet till alla dina Azure-prenumerationer eller resurser. Använd Microsoft Entra-administratörsroller för att endast ge åtkomst till de användare som behöver utföra sina jobb. Du kan använda Microsoft Entra-administratörsroller för att låta en administratör endast hantera virtuella datorer i en prenumeration, medan en annan kan hantera SQL-databaser i samma prenumeration. Mer information finns i Vad är rollbaserad åtkomstkontroll i Azure.

Implementera PIM för Microsoft Entra-administratörsroller

Använd Privileged Identity Management med Microsoft Entra-administratörsroller för att hantera, kontrollera och övervaka åtkomst till Azure-resurser. Att använda PIM skyddar genom att sänka exponeringstiden för privilegier och öka din insyn i deras användning via rapporter och aviseringar. Mer information finns i Vad är Microsoft Entra Privileged Identity Management.

Använda Azure-loggintegreringar för att skicka relevanta Azure-loggar till dina SIEM-system

Med Azure-loggintegrering kan du integrera rådataloggar från dina Azure-resurser till organisationens befintliga SIEM-system (Security Information and Event Management). Azure-loggintegrering samlar in Windows-händelser från Windows Loggboken loggar och Azure-resurser från:

• Azure-aktivitetsloggar
• Microsoft Defender för molnet aviseringar
• Azure-resursloggar

Ytterligare steg för organisationer som hanterar åtkomst till andra molnappar via Microsoft Entra-ID

Implementera användaretablering för anslutna appar

Med Microsoft Entra-ID kan du automatisera skapande och underhåll av användaridentiteter i molnappar som Dropbox, Salesforce och ServiceNow. Mer information finns i Automatisera användaretablering och avetablering till SaaS-program med Microsoft Entra-ID.

Integrera informationsskydd

Microsoft Defender för molnet Apps kan du undersöka filer och ange principer baserat på Klassificeringsetiketter för Azure Information Protection, vilket ger bättre synlighet och kontroll över dina molndata. Skanna och klassificera filer i molnet och tillämpa Azure Information Protection-etiketter. Mer information finns i Azure Information Protection-integrering.

Konfigurera villkorlig åtkomst

Konfigurera villkorlig åtkomst baserat på en grupp, plats och programkänslighet för SaaS-appar och Microsoft Entra-anslutna appar.

Övervaka aktivitet i anslutna molnappar

Vi rekommenderar att du använder Microsoft Defender för molnet-appar för att säkerställa att användaråtkomst också skyddas i anslutna program. Den här funktionen skyddar företagsåtkomsten till molnappar och skyddar dina administratörskonton så att du kan:

• Utöka synlighet och kontroll till molnappar
• Skapa principer för åtkomst, aktiviteter och datadelning
• Identifiera automatiskt riskfyllda aktiviteter, onormala beteenden och hot
• Förhindra dataläckage
• Minimera risker och automatiserat skydd mot hot och principtillämpning

SIEM-agenten Defender för molnet Apps integrerar Defender för molnet-appar med SIEM-servern för att möjliggöra centraliserad övervakning av Microsoft 365-aviseringar och aktiviteter. Den körs på servern och hämtar aviseringar och aktiviteter från Defender för molnet-appar och strömmar dem till SIEM-servern. Mer information finns i SIEM-integrering.

Steg 4: Fortsätt bygga försvar

Steg 4 i färdplanen bör genomföras sex månader och senare. Slutför din översikt för att stärka dina privilegierade åtkomstskydd mot potentiella attacker som är kända idag. För morgondagens säkerhetshot rekommenderar vi att du visar säkerhet som en pågående process för att öka kostnaderna och minska framgångsgraden för angripare som riktar in sig på din miljö.

Det är viktigt att skydda privilegierad åtkomst för att upprätta säkerhetsgarantier för dina affärstillgångar. Det bör dock ingå i ett fullständigt säkerhetsprogram som ger löpande säkerhetsgarantier. Det här programmet bör innehålla element som:

• Policy
• Operations
• Informationssäkerhet
• Servrar
• Appar
• Datorer
• Enheter
• Molninfrastruktur

Vi rekommenderar följande metoder när du hanterar konton för privilegierad åtkomst:

• Se till att administratörer utför sin dagliga verksamhet som oprivilegierade användare
• Bevilja endast privilegierad åtkomst när det behövs och ta bort den efteråt (just-in-time)
• Behåll granskningsaktivitetsloggar relaterade till privilegierade konton

Mer information om hur du skapar en fullständig säkerhetsöversikt finns i Microsofts it-arkitekturresurser för molnet. Om du vill samarbeta med Microsoft-tjänster som hjälper dig att implementera någon del av din översikt kontaktar du din Microsoft-representant eller läser Skapa kritiska cyberskydd för att skydda ditt företag.

Det här sista pågående steget i översikten för skyddad privilegierad åtkomst innehåller följande komponenter.

Allmän förberedelse

Granska administratörsroller i Microsoft Entra-ID

Kontrollera om aktuella inbyggda Microsoft Entra-administratörsroller fortfarande är uppdaterade och se till att användarna bara har de roller de behöver. Med Microsoft Entra-ID kan du tilldela separata administratörer för att hantera olika funktioner. Mer information finns i Inbyggda roller i Microsoft Entra.

Granska användare som har administration av Microsoft Entra-anslutna enheter

Mer information finns i Så här konfigurerar du Hybrid-anslutna Microsoft Entra-enheter.

Granska medlemmar i inbyggda Microsoft 365-administratörsroller

Hoppa över det här steget om du inte använder Microsoft 365.

Verifiera planen för incidenthantering

För att förbättra din plan rekommenderar Microsoft att du regelbundet verifierar att din plan fungerar som förväntat:

• Gå igenom din befintliga färdplan för att se vad som missades
• Baserat på postmortemanalysen reviderar du befintliga eller definierar nya metoder
• Se till att din uppdaterade plan och praxis för incidenthantering distribueras i hela organisationen

Ytterligare steg för organisationer som hanterar åtkomst till Azure

Kontrollera om du behöver överföra ägarskapet för en Azure-prenumeration till ett annat konto.

"Break glass": vad man ska göra i en nödsituation

1. Meddela nyckelansvariga och säkerhetsansvariga information om incidenten.

2. Granska din anfallsspelbok.

3. Få åtkomst till din kombination av användarnamn och lösenord för ditt "break glass"-konto för att logga in på Microsoft Entra-ID.

4. Få hjälp från Microsoft genom att öppna en Azure-supportbegäran.

5. Titta på Microsoft Entra-inloggningsrapporterna. Det kan finnas en viss tid mellan en händelse som inträffar och när den ingår i rapporten.

6. Om din lokala infrastruktur är federerad och AD FS-servern inte är tillgänglig för hybridmiljöer kan du tillfälligt växla från federerad autentisering till att använda synkronisering av lösenordshash. Den här växeln återställer domänfederationen till hanterad autentisering tills AD FS-servern blir tillgänglig.

7. Övervaka e-post för privilegierade konton.

8. Se till att du sparar säkerhetskopior av relevanta loggar för potentiell kriminalteknisk och juridisk undersökning.

Mer information om hur Microsoft Office 365 hanterar säkerhetsincidenter finns i Hantering av säkerhetsincidenter i Microsoft Office 365.

Vanliga frågor och svar: Svar för att skydda privilegierad åtkomst

F: Vad gör jag om jag inte har implementerat några komponenter för säker åtkomst ännu?

Svar: Definiera minst två break-glass-konto, tilldela MFA till dina privilegierade administratörskonton och separera användarkonton från globala administratörskonton.

F: Vad är det viktigaste problemet som måste åtgärdas först efter ett intrång?

Svar: Se till att du behöver den starkaste autentiseringen för personer med hög tillgänglighet.

F: Vad händer om våra privilegierade administratörer har inaktiverats?

Svar: Skapa ett globalt administratörskonto som alltid hålls uppdaterat.

F: Vad händer om det bara finns en global administratör kvar och de inte kan nås?

Svar: Använd ett av dina break-glass-konton för att få omedelbar privilegierad åtkomst.

F: Hur kan jag skydda administratörer i min organisation?

Svar: Låt administratörer alltid göra sin dagliga verksamhet som standardanvändare med "oprivilegierade".

F: Vilka är metodtipsen för att skapa administratörskonton i Microsoft Entra-ID?

Svar: Reservera privilegierad åtkomst för specifika administratörsuppgifter.

F: Vilka verktyg finns för att minska beständig administratörsåtkomst?

Svar: Administratörsroller för Privileged Identity Management (PIM) och Microsoft Entra.

F: Vad har Microsoft för position när det gäller att synkronisera administratörskonton till Microsoft Entra-ID?

Svar: Nivå 0-administratörskonton används endast för lokala AD-konton. Sådana konton synkroniseras vanligtvis inte med Microsoft Entra-ID i molnet. Administratörskonton på nivå 0 omfattar konton, grupper och andra tillgångar som har direkt eller indirekt administrativ kontroll över lokal Active Directory skog, domäner, domänkontrollanter och tillgångar.

F: Hur behåller vi administratörer från att tilldela slumpmässig administratörsåtkomst i portalen?

Svar: Använd icke-privilegierade konton för alla användare och de flesta administratörer. Börja med att utveckla ett fotavtryck för organisationen för att avgöra vilka få administratörskonton som ska vara privilegierade. Och övervaka för nyskapade administrativa användare.

Nästa steg

• Microsoft Trust Center för produktsäkerhet – Säkerhetsfunktioner i Microsofts molnprodukter och -tjänster

• Microsofts efterlevnadserbjudanden – Microsofts omfattande uppsättning efterlevnadserbjudanden för molntjänster

• Vägledning om hur du gör en riskbedömning – Hantera säkerhets- och efterlevnadskrav för Microsofts molntjänster

Andra Microsoft Online-tjänster

• Microsoft Intune Security – Intune tillhandahåller funktioner för hantering av mobila enheter, hantering av mobilprogram och datorhantering från molnet.

• Microsoft Dynamics 365-säkerhet – Dynamics 365 är microsofts molnbaserade lösning som förenar funktionerna för hantering av kundrelationer (CRM) och affärsresursplanering (ERP).