Microsoft 365 Security, Compliance, and Identity Administration - itnett/FTD02H-N GitHub Wiki

Microsoft 365 Security, Compliance, and Identity Administration

Implementing and Managing Identity and Access in Azure

Part 1: Planning for Hybrid Identity

Planning Your Hybrid Environment

A hybrid identity environment integrates on-premises and cloud-based identities. Key considerations include understanding your organization's identity landscape, defining the scope of integration, and ensuring security and compliance. This involves planning the architecture, network connectivity, and data flow between your on-premises environment and Azure AD.

Authentication Methods in Azure AD

  • Password Hash Synchronization (PHS): Syncs the hash of user passwords from on-premises AD to Azure AD, allowing users to use the same password for both environments.
  • Pass-through Authentication (PTA): Directly validates user passwords against the on-premises AD, ensuring password verification happens on-premises.
  • Federation: Uses an on-premises identity provider (such as ADFS) to authenticate users, providing SSO capabilities.

Multi-Factor Authentication (MFA)

MFA enhances security by requiring multiple verification methods. Azure AD MFA can use mobile apps, SMS, phone calls, or biometrics as additional authentication factors, ensuring that even if a password is compromised, access is still protected.

Self-Service Password Reset (SSPR)

SSPR allows users to reset their own passwords without IT intervention, improving user experience and reducing helpdesk workload. It integrates with Azure AD and can be configured with policies to enforce security measures, such as requiring multiple authentication methods for a password reset.

Conditional Access

Conditional Access policies control access to resources based on specific conditions such as user location, device state, and risk level. These policies enforce security requirements dynamically, ensuring that only authorized and compliant devices and users can access sensitive resources.

Passwordless Authentication

Passwordless authentication methods, like Windows Hello for Business, FIDO2 security keys, and the Microsoft Authenticator app, enhance security by eliminating passwords, which are a common attack vector. These methods use biometrics, PINs, and other secure means for user authentication.

Synchronization Methods with Azure AD Connect

Password Hash Synchronization (PHS)

Synchronizes hashed user passwords from on-premises AD to Azure AD, enabling seamless sign-in experiences across environments without the need for additional infrastructure.

Pass-through Authentication (PTA)

Allows users to authenticate directly against the on-premises AD, with Azure AD acting as a proxy. This method doesn't require password hashes to be stored in the cloud.

Federation

Enables integration with on-premises identity providers like ADFS, allowing users to authenticate using their on-premises credentials and providing single sign-on capabilities.

Azure AD Seamless Single Sign-On (SSO)

Provides seamless access to cloud applications by automatically signing users in when they are on corporate devices and connected to the corporate network, without requiring additional prompts for credentials.

Azure AD Connect Cloud Sync

A lightweight solution that syncs directory objects between on-premises AD and Azure AD, optimized for performance and scalability. It's suitable for scenarios where a simpler synchronization method is needed.

Event Monitoring and Troubleshooting in Azure AD Connect

Monitoring tools and logging capabilities in Azure AD Connect help administrators track synchronization activities, identify issues, and troubleshoot problems efficiently. Event logs and diagnostic tools provide insights into the synchronization process and help ensure a smooth operation.

Summary

Implementing and managing identity and access in a hybrid environment requires careful planning and the use of various tools and methods provided by Azure AD. From authentication and synchronization methods to enhancing security with MFA and Conditional Access, Azure AD offers a comprehensive set of features to ensure secure and efficient identity management.

Questions

  • What are the benefits of using passwordless authentication?
  • How does Azure AD Connect support hybrid identity scenarios?
  • What are the key considerations when planning a hybrid identity environment?

Further Reading

Implementering og Administrering av Identitet og Tilgang i Azure

Del 1: Planlegging av Hybrid Identitet

Planlegging av Din Hybride Miljø

Et hybrid identitetsmiljø integrerer identiteter både på stedet og i skyen. Viktige hensyn inkluderer forståelse av organisasjonens identitetslandskap, definere omfanget av integrasjonen, og sikre sikkerhet og samsvar. Dette innebærer planlegging av arkitekturen, nettverkstilkobling, og datastrøm mellom ditt lokale miljø og Azure AD.

Autentiseringsmetoder i Azure AD

  • Passord-hash-synkronisering (PHS): Synkroniserer hash av brukernes passord fra lokal AD til Azure AD, slik at brukerne kan bruke det samme passordet for begge miljøer.
  • Pass-through-autentisering (PTA): Validerer brukernes passord direkte mot lokal AD, slik at passordverifikasjonen skjer lokalt.
  • Føderasjon: Bruker en lokal identitetsleverandør (som ADFS) for å autentisere brukere, og gir enkel pålogging (SSO).

Multifaktorautentisering (MFA)

MFA forbedrer sikkerheten ved å kreve flere verifikasjonsmetoder. Azure AD MFA kan bruke mobilapper, SMS, telefonsamtaler eller biometrikk som ekstra autentiseringsfaktorer, noe som sikrer at tilgang er beskyttet selv om et passord blir kompromittert.

Selvbetjent Passordtilbakestilling (SSPR)

SSPR lar brukere tilbakestille sine egne passord uten IT-innblanding, noe som forbedrer brukeropplevelsen og reduserer arbeidsmengden for hjelpedesken. Det integreres med Azure AD og kan konfigureres med policyer for å håndheve sikkerhetstiltak, som å kreve flere autentiseringsmetoder for en passordtilbakestilling.

Betinget Tilgang

Betingede tilgangspolicyer kontrollerer tilgang til ressurser basert på spesifikke forhold som brukerens plassering, enhetstilstand og risikonivå. Disse policyene håndhever sikkerhetskrav dynamisk, og sikrer at bare autoriserte og samsvarende enheter og brukere kan få tilgang til sensitive ressurser.

Passordløs Autentisering

Passordløse autentiseringsmetoder, som Windows Hello for Business, FIDO2 sikkerhetsnøkler og Microsoft Authenticator-appen, forbedrer sikkerheten ved å eliminere passord, som ofte er et vanlig angrepsvektor. Disse metodene bruker biometrikk, PIN-koder og andre sikre midler for brukerautentisering.

Synkroniseringsmetoder med Azure AD Connect

Passord-hash-synkronisering (PHS)

Synkroniserer hash av brukernes passord fra lokal AD til Azure AD, som muliggjør sømløse påloggingsopplevelser på tvers av miljøer uten behov for ekstra infrastruktur.

Pass-through-autentisering (PTA)

Lar brukere autentisere direkte mot lokal AD, med Azure AD som fungerer som en proxy. Denne metoden krever ikke at passord-hashene lagres i skyen.

Føderasjon

Muliggjør integrasjon med lokale identitetsleverandører som ADFS, slik at brukere kan autentisere seg med sine lokale legitimasjoner og gir enkel pålogging.

Azure AD Seamless Single Sign-On (SSO)

Gir sømløs tilgang til skyapplikasjoner ved automatisk å logge inn brukere når de er på bedriftsenheter og koblet til bedriftsnettverket, uten å kreve ekstra oppfordringer for legitimasjon.

Azure AD Connect Cloud Sync

En lettvektsløsning som synkroniserer katalogobjekter mellom lokal AD og Azure AD, optimalisert for ytelse og skalerbarhet. Den er egnet for scenarier der en enklere synkroniseringsmetode er nødvendig.

Hendelsesovervåking og Feilsøking i Azure AD Connect

Overvåkingsverktøy og loggingsmuligheter i Azure AD Connect hjelper administratorer med å spore synkroniseringsaktiviteter, identifisere problemer og feilsøke effektivt. Hendelseslogger og diagnostiske verktøy gir innsikt i synkroniseringsprosessen og bidrar til å sikre en jevn drift.

Sammendrag

Implementering og administrering av identitet og tilgang i et hybrid miljø krever nøye planlegging og bruk av ulike verktøy og metoder levert av Azure AD. Fra autentiserings- og synkroniseringsmetoder til forbedring av sikkerheten med MFA og betinget tilgang, tilbyr Azure AD et omfattende sett med funksjoner for å sikre sikker og effektiv identitetsadministrasjon.

Spørsmål

  • Hva er fordelene med å bruke passordløs autentisering?
  • Hvordan støtter Azure AD Connect hybrid identitetsscenarier?
  • Hva er de viktigste hensynene når man planlegger et hybrid identitetsmiljø?

Videre Lesing

Videre Lesing

For mer informasjon, vennligst se følgende lenker:

Autentisering og Sikkerhet i Azure

Del 2: Autentisering og Sikkerhet

Implementering av Dynamisk Gruppetilhørighet i Azure AD

Dynamiske grupper i Azure AD oppdateres automatisk basert på bruker- eller enhetsegenskaper. Dette gjør administrasjonen enklere og mer effektiv.

Opprette en Dynamisk Gruppe i Azure AD med Azure-portalen

Du kan opprette en dynamisk gruppe ved å bruke Azure-portalen ved å definere regler basert på bruker- eller enhetsegenskaper. Disse reglene avgjør hvem som blir med i gruppen automatisk.

Opprette Dynamiske Grupper med Azure AD PowerShell

Azure AD PowerShell gir deg muligheten til å administrere dynamiske grupper via skript, noe som er nyttig for automatisering og komplekse konfigurasjoner.

Bruke Gruppebasert Lisensiering i Azure AD

Med gruppebasert lisensiering kan du tildele lisenser til en hel gruppe i stedet for individuelle brukere. Dette forenkler lisenshåndtering og sikrer at alle gruppemedlemmer har riktig tilgang.

Implementering av Passordhåndtering

Konfigurere Selvbetjent Passordtilbakestilling (SSPR)

SSPR lar brukere tilbakestille sine egne passord uten IT-hjelp. Dette forbedrer brukeropplevelsen og reduserer arbeidsmengden for IT-avdelingen.

Registrere for SSPR

Brukere må registrere seg for SSPR ved å oppgi alternative kontaktmetoder som telefonnummer eller e-postadresse. Dette gjør det mulig for dem å tilbakestille passordet sitt hvis de glemmer det.

Bruke SSPR til å Tilbakestille Passord

Når SSPR er konfigurert, kan brukere tilbakestille sine passord ved å bekrefte sin identitet gjennom de registrerte kontaktmetodene.

Kombinert Registrering for SSPR og MFA

Ved å kombinere registreringen for SSPR og multifaktorautentisering (MFA), kan brukere registrere seg for begge tjenester samtidig, noe som forbedrer sikkerheten og brukeropplevelsen.

Implementering og Administrering av Eksterne Identiteter

Azure AD kan håndtere eksterne identiteter, slik at partnere, leverandører og andre tredjeparter kan få tilgang til ressursene dine med deres egne påloggingsinformasjon. Dette gjøres gjennom Azure AD B2B (Business to Business) og B2C (Business to Consumer).

Implementering og Administrering av MFA

Aktivere MFA

MFA gir et ekstra sikkerhetslag ved å kreve mer enn én form for verifikasjon. Dette reduserer risikoen for uautorisert tilgang betydelig.

Tjenesteinnstillinger

Du kan konfigurere MFA-tjenesteinnstillinger for å definere hvordan MFA skal brukes i din organisasjon, inkludert valg av autentiseringsmetoder og policyer.

Konfigurere Sekundære Autentiseringsmetoder

Sekundære autentiseringsmetoder som telefon, e-post, og sikkerhetsnøkler kan konfigureres for å gi brukere flere alternativer for MFA.

Planlegging og Implementering av Enhetsautentiseringsmetoder

Autentiseringsmetoder som Windows Hello for Business og FIDO2 sikkerhetsnøkler kan implementeres for å gi brukerne sikre og praktiske måter å logge inn på enhetene sine.

Sammendrag

Å implementere og administrere autentisering og sikkerhet i Azure AD inkluderer bruk av dynamiske grupper, gruppebasert lisensiering, passordhåndtering, eksterne identiteter og MFA. Disse verktøyene og metodene hjelper til med å sikre at organisasjonens ressurser er beskyttet mot uautorisert tilgang.

Spørsmål

  • Hva er fordelene med dynamisk gruppetilhørighet i Azure AD?
  • Hvordan kan SSPR forbedre brukeropplevelsen og redusere IT-arbeidsmengden?
  • Hva er viktigheten av å bruke MFA i en organisasjon?

Videre Lesing

For mer informasjon, vennligst se følgende lenker:

Videre Lesing

For mer informasjon om emnene som er dekket i dette kapitlet, vennligst se følgende lenker:

Disse lenkene gir detaljerte instruksjoner og informasjon om oppretting og administrasjon av grupper, passordhåndtering, multifaktorautentisering, og autentiseringsmetoder i Azure AD.

Implementering av Betingede Tilgangspolicyer

Del 3: Implementering av Betingede Tilgangspolicyer

Forklaring av Betinget Tilgang

Betinget tilgang er en funksjon i Azure AD som gjør det mulig for organisasjoner å kontrollere hvordan og når brukere får tilgang til bedriftsressurser. Det fungerer som en gatekeeper, hvor tilgang bestemmes basert på spesifikke betingelser som brukerens plassering, enhetens tilstand, og risikonivå.

Opprette en Enkel Betinget Tilgangspolicy

Du kan opprette en enkel betinget tilgangspolicy ved å bruke Azure-portalen. Dette innebærer å definere hvem policyen gjelder for (brukere eller grupper), hvilke apper policyen skal gjelde for, og hvilke betingelser som må være oppfylt for å gi tilgang, for eksempel MFA eller godkjente enheter.

Betinget Tilgang og Microsoft Intune

Microsoft Intune integreres med Azure AD for å administrere og håndheve betinget tilgang for enheter. Dette sørger for at bare kompatible og sikre enheter får tilgang til bedriftsressurser.

Introduksjon til Typer Betinget Tilgang

Enhetsbasert Betinget Tilgang

Enhetsbasert betinget tilgang sikrer at bare spesifikke enheter som oppfyller bestemte krav (for eksempel å være Intune-kompatible eller ha bestemte sikkerhetskonfigurasjoner) får tilgang til bedriftsressurser.

App-basert Betinget Tilgang

App-basert betinget tilgang kontrollerer tilgang basert på hvilken app brukeren prøver å få tilgang til. Dette kan brukes til å beskytte sensitive applikasjoner ved å kreve ekstra sikkerhetstiltak, som MFA.

Overvåking av Betingede Tilgangshendelser

Det er viktig å overvåke hendelser relatert til betinget tilgang for å sikre at policyer fungerer som forventet og for å oppdage uautoriserte tilgangsforsøk. Azure AD gir verktøy for å se rapporter og logge hendelser knyttet til betinget tilgang.

Sammendrag

Betingede tilgangspolicyer gir en kraftig mekanisme for å beskytte bedriftsressurser ved å kontrollere tilgang basert på bestemte betingelser. Gjennom integrasjon med Intune kan organisasjoner sikre at bare kompatible og sikre enheter får tilgang. Å overvåke betingede tilgangshendelser hjelper med å opprettholde sikkerheten og sikre at policyer håndheves effektivt.

Spørsmål

  • Hvordan kan betinget tilgang forbedre sikkerheten i en organisasjon?
  • Hva er forskjellen mellom enhetsbasert og app-basert betinget tilgang?
  • Hvorfor er det viktig å overvåke betingede tilgangshendelser?

Videre Lesing

For mer informasjon, vennligst se følgende lenker:

Videre Lesing

For mer informasjon om emnene som er dekket i dette kapitlet, vennligst se følgende lenker:

Disse lenkene gir detaljerte instruksjoner og informasjon om implementering og administrering av betingede tilgangspolicyer, enhets- og app-basert tilgang, og overvåking av samsvarspolicyer i Azure AD og Intune.

Administrering av Roller og Identitetsstyring

Del 4: Administrering av Roller og Identitetsstyring

Planlegging og Konfigurering av Privileged Identity Management (PIM)

Planlegging av PIM

Privileged Identity Management (PIM) i Azure AD hjelper med å administrere, kontrollere og overvåke tilgang til viktige ressurser i organisasjonen. Planleggingsfasen inkluderer:

  • Identifisering av hvilke roller og ressurser som trenger beskyttelse.
  • Definere kriterier for hvem som skal få tildelt privilegerte roller.
  • Bestemme hvordan godkjenningsprosessen for midlertidige privilegerte roller skal se ut.
  • Utforme varslings- og overvåkingsstrategier for å fange opp mistenkelige aktiviteter.
Konfigurering av PIM

Konfigurering av PIM innebærer:

  • Aktivere PIM for Azure AD-roller.
  • Definere retningslinjer for aktivering av roller, som kan inkludere krav til flerfaktorautentisering (MFA), begrenset tidsperiode for rolleaktivering, og godkjenning fra en administrator.
  • Konfigurere varsler for å få beskjed om aktivering av roller og andre viktige hendelser.
  • Implementere revisjoner og overvåkingsmekanismer for å sikre samsvar og sikkerhet.
Overvåking av PIM

Overvåking av PIM involverer kontinuerlig evaluering av bruk av privilegerte roller. Dette inkluderer:

  • Gjennomgå loggdata og generere rapporter for å sikre at roller brukes i henhold til policyer.
  • Identifisere og håndtere uvanlige eller mistenkelige aktiviteter.
  • Tilpasse varslingsinnstillinger basert på overvåkingsresultater for å forbedre sikkerheten.

Planlegging og Konfigurering av Rettighetsstyring

Planlegging av Rettighetsstyring

Rettighetsstyring innebærer å definere hvordan tilganger til ressurser skal administreres. Planlegging inkluderer:

  • Identifisere hvilke ressurser som krever rettighetsstyring.
  • Bestemme tilgangskrav og -policyer.
  • Definere prosesser for forespørsel og godkjenning av tilgang.
  • Planlegge automatisering av tilgangsadministrasjon for å redusere administrativ byrde.
Konfigurering av Rettighetsstyring

Konfigurering av rettighetsstyring inkluderer:

  • Opprette tilgangspakker som grupperer sammen ressurser og tilganger.
  • Definere policyer for hvordan brukere kan be om tilgang og hvem som kan godkjenne forespørsler.
  • Automatisere tilgangen ved bruk av tidsbegrensede tilganger og automatiske fornyelser.

Planlegging og Konfigurering av Tilgangsanmeldelser

Planlegging av Tilgangsanmeldelser

Planleggingen innebærer å bestemme hvordan og hvor ofte tilgangsanmeldelser skal gjennomføres for å sikre at brukere bare har tilgang til nødvendige ressurser. Dette inkluderer:

  • Definere omfanget av anmeldelsene.
  • Bestemme hyppigheten av gjennomgangene.
  • Identifisere hvem som skal utføre anmeldelsene (f.eks. eiere av ressurser eller roller).
Konfigurering av Tilgangsanmeldelser

Konfigurering av tilgangsanmeldelser inkluderer:

  • Opprette anmeldelseskampanjer i Azure AD.
  • Definere kriterier for vurdering av tilganger.
  • Automatisere prosessen slik at brukere får varsler om å gjennomgå og bekrefte eller tilbakekalle tilganger.

Sammendrag

Administrering av roller og identitetsstyring gjennom PIM, rettighetsstyring og tilgangsanmeldelser er avgjørende for å opprettholde sikkerhet og samsvar i en organisasjon. PIM gir kontroll over privilegerte roller, rettighetsstyring forenkler tilgangshåndtering, og tilgangsanmeldelser sikrer at brukere har passende tilganger.

Spørsmål

  • Hvordan kan PIM bidra til å øke sikkerheten i din organisasjon?
  • Hva er fordelene med å automatisere tilgangsanmeldelser?
  • Hvordan sikrer rettighetsstyring at tilgangene i organisasjonen din er riktig administrert?

Videre Lesing

For mer informasjon, vennligst se følgende lenker:

Videre Lesing

For mer informasjon om emnene som er dekket i dette kapitlet, vennligst se følgende lenker:

Disse lenkene gir detaljerte instruksjoner og informasjon om administrasjon av privilegerte identiteter, rettighetsstyring og tilgangsanmeldelser i Azure AD.

Azure AD Identity Protection

Del 5: Azure AD Identity Protection

Forståelse av Identity Protection

Azure AD Identity Protection bruker maskinlæring og heuristikk for å identifisere potensielle sikkerhetstrusler og risikofaktorer knyttet til brukerkontoer og pålogginger. Dette hjelper med å beskytte organisasjonen mot kompromitterte kontoer og uautorisert tilgang.

Beskytte Brukere med Risiko- og Registreringspolicyer

Risiko- og registreringspolicyer bidrar til å styrke sikkerheten ved å identifisere og respondere på risikofylte aktiviteter. Dette inkluderer å oppdage mistenkelige påloggingsforsøk og administrere MFA-registrering.

Konfigurering av Brukerrisiko- og Påloggingsrisikopolicyer

  • Brukerrisiko: Identifiserer kontoer som er kompromittert eller har høy sannsynlighet for å bli kompromittert. Policyer kan automatisk kreve at brukere tilbakestiller passordet eller utfører MFA.
  • Påloggingsrisiko: Vurderer risikoen for individuelle påloggingsforsøk basert på ulike faktorer som lokasjon, IP-adresse og enhetens helsetilstand. Risikable påloggingsforsøk kan kreve ytterligere autentisering.

Konfigurering av MFA Registreringspolicyer

MFA-registreringspolicyer sikrer at brukere registrerer seg for MFA, noe som er avgjørende for å beskytte kontoene deres. Disse policyene kan påtvinge registrering ved første pålogging eller i henhold til bestemte tidsplaner.

Konfigurering av Varslingsalternativer

Varslingsalternativer gir administratorer muligheten til å overvåke og respondere på risikohendelser i sanntid.

  • Brukere i risiko oppdaget varsler: Varsler når en bruker er identifisert som risikabel.
  • Ukentlig oversikt: Sender en oppsummering av risikohendelser hver uke.

Håndtering og Løsning av Risikohendelser

Undersøke Brukere i Risiko

Administratorer kan undersøke detaljer om brukere som er flagget som risikable, inkludert hvilke aktiviteter som utløste risikoen, og ta nødvendige tiltak som å tilbakestille passord eller kreve MFA.

Undersøke Risikable Pålogginger

Risikable pålogginger vurderes basert på flere faktorer. Administratorer kan se på detaljer som IP-adresse, geografisk plassering og tidspunkt for å avgjøre om påloggingen er legitim eller mistenkelig.

Undersøke Risikooppdagelser

Risk detections gir innsikt i hvordan og hvorfor en bruker eller pålogging ble vurdert som risikabel. Dette inkluderer informasjon om kjente kompromitterte kontoer, uvanlige påloggingsmønstre, og andre faktorer som påvirker risikovurderingen.

Risikable Arbeidsbelastningsidentiteter (forhåndsvisning)

Dette er en ny funksjon i forhåndsvisning som lar organisasjoner håndtere risiko knyttet til identiteter som brukes i applikasjoner og tjenester. Dette gir en ekstra sikkerhetslag for å beskytte mot kompromitterte arbeidsbelastninger.

Risikobaserte Betingede Tilgangspolicyer

Betingede tilgangspolicyer basert på risikovurdering gir muligheten til å tilpasse responsen på risikohendelser. For eksempel kan policyer kreve MFA for høy risiko-pålogginger eller blokkere tilgang helt.

Sammendrag

Azure AD Identity Protection gir verktøy for å oppdage, overvåke og respondere på sikkerhetsrisikoer. Ved å konfigurere risiko- og registreringspolicyer, varsler og betingede tilgangspolicyer, kan organisasjoner beskytte brukerkontoer og pålogginger mot potensielle trusler.

Spørsmål

  • Hvordan kan risikobaserte policyer forbedre sikkerheten i din organisasjon?
  • Hva er fordelene med å ha ukentlige risikooversikter?
  • Hvordan kan du bruke risikooppdagelser til å forbedre sikkerhetstiltakene dine?

Videre Lesing

For mer informasjon, vennligst se følgende lenker:

Disse lenkene gir detaljerte instruksjoner og informasjon om administrasjon av identitetsbeskyttelse, risikohåndtering, og sikkerhetsforbedringer i Azure AD.

Videre Lesing

For mer informasjon om emnene som er dekket i dette kapitlet, vennligst se følgende lenker:

Disse lenkene gir detaljerte instruksjoner og informasjon om administrasjon av identitetsbeskyttelse, risikohåndtering og sikkerhetsforbedringer i Azure AD.