Ensure that a phishing-resistant Multi-factor Authentication Policy Exists for High-Privileged Users

Защо това е важно

Потребителите с високи привилегии, като глобални администратори и администратори по сигурността, са основни цели за кражба на идентификационни данни и фишинг атаки. Без устойчива на фишинг многофакторна автентикация, един компрометиран акаунт може да доведе до широк достъп до чувствителни данни и критични системи. Прилагането на устойчива на фишинг автентикация за тези роли е от съществено значение за спазване на принципите на Zero Trust и намаляване на риска от превземане на акаунти.

Какво проверява Aether365

Тази проверка установява дали е конфигурирана политика за условен достъп, която изисква устойчива на фишинг многофакторна автентикация за потребители с високи привилегии. Тя се появява в таблото за управление на Aether365 в раздела за вашите entra-id проверки и отбелязва всякакви пропуски в изпълнението на контрола CIS 5.2.2.5.

Как да отстраните проблема

1. Влезте в Azure Portal (portal.azure.com) и отворете Microsoft Entra ID.
2. В лявото навигационно меню изберете Security.
3. Под Security изберете Conditional Access.
4. Кликнете върху + New policy, за да създадете нова политика за условен достъп, или редактирайте съществуваща.
5. Задайте политиката за роли на потребители с високи привилегии (например Global Administrator, Privileged Role Administrator, Exchange Administrator).
6. Под Cloud apps or actions изберете All cloud apps.
7. Под Conditions конфигурирайте условия според нуждите (например риск за потребителя или платформа на устройството).
8. Под Grant изберете Require multifactor authentication и изисквайте метод за автентикация, устойчив на фишинг (например FIDO2 ключове за сигурност, Windows Hello for Business или сертификатно базирана автентикация).
9. Запазете политиката и я активирайте първо в режим report-only, за да тествате въздействието, след което я задайте на On.

Съответствие

• CIS Microsoft 365 Foundations Benchmark 3.1.0, раздел 5.2.2.5 (E3 Level 2)
• CISA Zero Trust Maturity Model
• Препоръки на Microsoft Secure Score за управление на идентичността

Свързани ресурси

• Conditional Access policy for admin MFA
• Security emergency access accounts
• Troubleshoot Conditional Access using the What If tool
• Plan a Conditional Access deployment
• Azure security benchmark IM-7: Restrict resource access based on conditions

Microsoft references

• Howto conditional access policy admin mfa
• Security emergency access
• Troubleshoot conditional access what if
• Plan conditional access
• Security controls v3 identity management