Ensure that a phishing-resistant Multi-factor Authentication Policy Exists for High-Privileged Users

Prečo je to dôležité

Vysokoprivilégovaní používatelia, ako sú globálni administrátori a bezpečnostní administrátori, sú primárnymi cieľmi krádeže poverení a phishingových útokov. Bez odolnosti voči phishingu pri Multi-Factor Authentication môže jediný kompromitovaný účet viesť k širokému prístupu k citlivým údajom a kritickým systémom. Presadzovanie autentifikácie odolnej voči phishingu pre tieto roly je nevyhnutné na splnenie princípov Zero Trust a zníženie rizika prevzatia účtu.

Čo Aether365 kontroluje

Táto kontrola overuje, či je nakonfigurovaná podmienená politika prístupu (Conditional Access policy) na vyžadovanie viacfaktorovej autentifikácie odolnej voči phishingu pre vysokoprivilégovaných používateľov. Zobrazuje sa v paneli Aether365 v rámci kontrol entra-id a označuje akékoľvek medzery v plnení požiadaviek CIS kontrolného bodu 5.2.2.5.

Ako to opraviť

1. Prihláste sa do Azure Portal (portal.azure.com) a otvorte Microsoft Entra ID.
2. V ľavom navigačnom menu vyberte Security.
3. V sekcii Security vyberte Conditional Access.
4. Kliknite na + New policy na vytvorenie novej politiky podmieneného prístupu alebo upravte existujúcu.
5. Priraďte politiku k rolám vysokoprivilégovaných používateľov (napríklad Global Administrator, Privileged Role Administrator, Exchange Administrator).
6. V časti Cloud apps or actions vyberte All cloud apps.
7. V časti Conditions nakonfigurujte podmienky podľa potreby (napríklad riziko používateľa alebo platforma zariadenia).
8. V časti Grant vyberte Require multifactor authentication a vyžadujte metódu autentifikácie odolnú voči phishingu (napríklad FIDO2 bezpečnostné kľúče, Windows Hello for Business alebo certifikátová autentifikácia).
9. Uložte politiku a najprv ju povoľte v režime report-only na otestovanie vplyvu, potom nastavte na On.

Súlad s predpismi

• CIS Microsoft 365 Foundations Benchmark 3.1.0 Sekcia 5.2.2.5 (E3 Level 2)
• CISA Zero Trust Maturity Model
• Microsoft Secure Score odporúčania pre správu identít

Súvisiace zdroje

• Conditional Access policy for admin MFA
• Security emergency access accounts
• Troubleshoot Conditional Access using the What If tool
• Plan a Conditional Access deployment
• Azure security benchmark IM-7: Restrict resource access based on conditions

Microsoft references

• Howto conditional access policy admin mfa
• Security emergency access
• Troubleshoot conditional access what if
• Plan conditional access
• Security controls v3 identity management