Microsoft 365, Vše

Výchozí nastavení zabezpečení

Zveřejnil author-avatar
0
výchozí nastavení

Pokud uvažujete o zlepšení zabezpečení ve vaší organizaci a nevíte, kde začít, pak je tento článek přesně pro vás. Výchozí zabezpečení Microsoft Azure AD je sada základních nastavení navržená tak, aby zavedla základní zabezpečení bez dalších nákladů.

Nedávné změny ve výchozím zabezpečení

Pokud jste vytvořili nové prostředí Microsoft 365 koncem roku 2019, pak mohou být ve vašem prostředí povolena výchozí nastavení zabezpečení. Z důvodu vyšší bezpečnosti Microsoft toto nastavení povoluje při tvorbě prostředí. Dle průzkumů Microsoftu může dvoufaktorová autentizace snížit riziko kompromitace identity až o 99,9 %.

Ovšem i přesto mnoho uživatelů stále dvoufázové ověření deaktivuji či zcela odmítá.

1. Dopady zapnutí výchozího nastavení zabezpečení

Blokování staršího ověřování

Legacy nebo „Basic“ Authentication je termín, který Microsoft používá k popisu starších metod ověřování, v tomto případě metody uživatelského jména a hesla. Obvykle jej používá aplikace, která vyžaduje přihlašovací token jménem uživatele (IMAP, POP3, SMTP). Phishingové útoky jsou právě teď v módě, a jakmile útočník získá přihlašovací údaje uživatele, může stále obejít  MFA (dvoufaktorové ověřování), pokud je povoleno starší ověřování, protože MFA není podporováno se starším ověřováním. Zakázání/blokování je o něco složitější, protože organizace stále používají aplikace, které používají „základní“ ověřování.

Ochrana privilegovaných akcí

Přístup k Azure Portal, Azure PowerShell nebo Azure CLI bude vyžadovat další ověření.

Ochrana všech uživatelů (včetně administrátorů)

Všichni uživatelé se musí zaregistrovat k MFA

Mají 14 dní na registraci – do té doby lze hlášku přeskakovat. Jediná možnost MFA je „Upozornění prostřednictvím mobilní aplikace“ (s využitím aplikace Microsoft Authenticator, kterou si každý uživatel stáhne do svého telefonu.) Pokud potřebujete více metod ověřování, povolte podmíněný přístup.

Licenční podmínky pro výchozí zabezpečení

  • žádné – je zdarma k použití pro všechny uživatele
výchozí nastavení

Pro většinu organizací nabízejí výchozí hodnoty zabezpečení dobrou úroveň zabezpečení přihlášení. Pokud však vaše organizace musí splňovat přísnější požadavky, můžete místo toho použít zásady podmíněného přístupu.

2. Nastavení podmíněného přístupu

Pokud má vaše společnost vyšší požadavky na zabezpečení nebo potřebujete podrobnější kontrolu nad svými bezpečnostními zásadami, pak doporučujeme využít podmíněný přístup namísto výchozího zabezpečení. Pomocí podmíněného přístupu můžete definovat zásady, které reagují na události přihlášení a požadují další akce předtím, než uživatel získá přístup k aplikaci (službě).

Zásady můžete zacílit na konkrétní uživatele či skupiny. Je možné nastavit vyžadování MFA pro uživatele s administrativními rolemi. Dále můžete vytvářet důvěryhodné IP adresy, které lze použít při nastavení (můžete specifikovat rozsahy IP celé země/oblasti, ze kterých mají ostatní uživatelé povolený/blokovaný přístup). Méně restriktivní rozhodnutí mimo blokací mohou být například:

  • vyžadovat vícefaktorové ověření
  • vyžadovat sílu ověření
  • vyžadovat schválenou klientskou aplikaci atp.

Podmíněný přístup má několik výhod, včetně:

  • Zvýšení produktivity – každý uživatel se může přihlásit pomocí MFA pouze tehdy, když to je to vyžádáno zásadou
  • Snížení rizika detekcí neobvyklých vzorců aktivity a zasíláním upozornění, když nastanou
  • Zlepšení souladu prostřednictvím auditu přístupu k aplikacím a předložením podmínek použití pro souhlas uživatele při vstupu
  • Snížení nákladů snížením závislosti na zákaznických řešeních třetích stran pro zabezpečení
  • Přiblížení k prostředí nulové důvěry

Licenčního podmínky podmíněného přístupu:

  • Azure Active Directory Premium P1 nebo P2
  • Microsoft 365 Business Premium
  • Microsoft 365 E3 nebo E5
  • Enterprise Mobility & Security E3 nebo E5

Pro nastavení podmíněného přístupu je třeba, aby všichni uživatelé splňovali licenční podmínky.

Než začnete vytvářet zásady podmíněného přístupu, bude třeba vypnout výchozí nastavení zabezpečení – nelze mít aktivní oboje. 

výchozí nastavení

Zabezpečení závěrem

Rádi bychom vás vybídli k vážnému zvážení mezi dvěma dostupnými variantami – výchozím zabezpečením a nastavením podmíněného přístupu. Bezpečnost má zcela klíčový význam, a proto s pevným přesvědčením doporučujeme, abyste se rozhodli pro jednu z těchto možností. Vaše ochrana je naší prioritou. Pokud byste potřebovali jakoukoliv bližší vysvětlení či asistenci při nastavení, neváhejte nás prosím kontaktovat.

Bezpečnostní opatření nejsou zanedbatelná a jsou klíčová pro ochranu vašich dat.

Novější
EEA – Nová struktura předplatného Microsoft 365
Zpět na seznam
Starší Sdílené kanály v MS Teams a spolupráce s hosty

Napsat komentář