はじめに:
これは、一連の実験を通じてユーザをガイドしますO365 エンタープライズモビリティとセキュリティ(エンタープライズ・モビリティ・セキュリティ)実用性と安全性の一般的な構成と動作原理を、この一連の実験では、いくつかのベストプラクティスを提案します。この一連の実験は、次のフェーズに分かれています。
- アズールのAD へのセンド・着陸および監査ログAzureのモニター
- ユーザーセルフサービスパスワードリセット&アクセスポリシーの条件は、使用するユーザーを強制的にMFA 二次検証を&アイデンティティ保護構成リスク検出を有効にします
- 使用特権ID管理の確立承認と権限管理の役割
- 使用Intuneのの管理とモバイルデバイス
- 使用Azureの情報の保護は、クラウド内の保護データへ
- 使用Azureの高度なトリート保護の確保が混在する環境が
環境要件:
- O365 エンタープライズE1 / E3 / E5(そこO365 国際Editionのライセンスは可能)。
- E3 EMS / E5 (一部は使用E5の説明の一部を行います)。
- Azureのサブスクリプション
実験内容:
お客様が取得O365を考慮した後、あなたは、グローバル管理者を設定します。通常、我々は、少なくとも二つの永久グローバル管理者アカウントを割り当てる日常運用、保守管理を行い、バックアップのアカウントなど、他のことをお勧めします。主管理者が有効にすることを前提としていMFAを、あなたは第2の携帯電話ネットワークの停止時に検証することができない、あなたが設定はすべて回避するために、バックアップのアカウントが必要ですので、緊急時のバックアップ管理アカウントをログインする必要がありMFA とアクセス制御ポリシーの条件を、その後の実験では、我々はこれを貫通しますポイント。
実験手順:
1. ログインhttps://www.office.comログインを選択し、管理者アカウントとパスワードを入力します。
2. 選択して左クリックのナビゲーションバーでユーザー、アクティブユーザー、追加ユーザーを役割選択し、ここに新しい管理者アカウントを作成し、グローバル管理者は、配布ライセンスは、EMS とO365 、この実験構成[email protected]メインとしてのグローバル管理者、[email protected] スペアグローバル管理者へ。
3. ザ・アズールのAD への送信ログAzureの監視、このステップを実行するための理由があります:
1)予備のグローバル管理者アカウントを、それが緊急の使用であるので、避けMFA および使用アクセス制御ポリシーの条件を、そして世界的な著作権管理を持っている、漏洩したアカウントの不必要な損失を避けるために、我々はこのアカウントが必要ですモニター、安全な状態では通常、必ずアカウントを作ります。
2)Azureのモニターがあるアズール、監視サーバーとアプリケーションの指標を提供する監視サービスAADのログ関連のコンテンツも使用することができ、一緒に監視することができAzureのモニターが監視し、バックアップアカウントのアラートを実装します。
3)バックアップ管理者アカウントに加えて、共感の他のアカウントは、動作を監視します。
管理者アカウントのパスワードとログインhttps://portal.azure.com の左側のナビゲーションバーで見つかった、AzureのActive Directoryの、クリックそれがない場合、診断設定をアズール次のようにアカウントがされている場合は、サブスクリプションアカウントが(表示されますそこアズールのサブスクリプションは、次の手順をスキップすることができます)、をクリックして、新しいサブスクリプションを作成するためにここにスタートこのリンクは、ガイドのために適用されますアズールの試用版サブスクリプション200 ドル月の制限、アプリケーション・プロセスは、結合を必要とビザやマスターをカード手動で支払ったサブスクリプションにアップグレードしていない場合、適切な情報を入力しますが、SMSのヒントは、1ドル必要ない心配を控除されます、バックルは、事前に許可され、月の後に、サブスクリプションが自動的に停止します。
アプリケーションAzureの試用サブスクリプションの終了後、すべてのサービスの左側のナビゲーションバーをクリックして、ログインAnalyticsを検索し、ログ解析をAzureのモニターは、作業のログ解析ユニットを収集するための責任がある、我々は特別なコンテナに収束AADログ管理するために監視する必要があり、我々我々は、データを格納するために使用されるワークスペース(ワークスペース)を作成する必要があります。検索結果のログ解析ワークスペースをクリックします。
ポップアップのインターフェイスでは、ログ解析ワークスペースを作成するには、以下をクリックします。
ワークスペースの名前を入力して、あなたは、新しいリソース・グループを作成します(日本や東南アジアの場合もある)、関連する情報を入力した後、私たちの近くの場所から場所を選択し、[完了]をクリックすることができます。
以下は、優れたインターフェースを作成することです。
为了方便我们查看AAD Log的原生数据,我们同时创建一个存储账号。点击左侧 所有服务,搜索框中输入 存储账户,找到如下图标,点击创建,与上一步创建Log Analytics 工作区相同,输入相关信息,位置和资源组名称选择与上一步中相同的,直到完成。
左侧的导航栏中找到Azure Active Directory,点击诊断设置,点击添加诊断设置。
存储账户选择之前创建的账户, 勾选 发送到Log Analytics, 工作区选择之前创建的, LOG部分将Audit和SignIn 都勾选上。最后点击最上方的 保存。
保存后的界面如下:
回到Azure Active Directory,点击诊断设置上面的日志,点击架构,可以看到之前创建的 AADdeemo工作区已经显示在这里,点击展开 LogManagement, 滚动鼠标,在下面的表中找到AuditLogs”和“SignInLogs”,可以看到上一步设置的两个log已经集成进来了。
找到SignInLogs,点击眼睛状图标,显示此表中的示例记录,可以看到新建了一个查询2,默认把前50条记录给查询出来。我们针对整个日志可以用Kusto语句查询,有兴趣的伙伴可以参考:https://docs.microsoft.com/zh-cn/azure/azure-monitor/log-query/get-started-queries 查询相关内容。
回到Azure Active Directory,点击监视 下面的登陆和审核日志,也分别可以看到相关内容,这里的内容会更加直观,并提供了筛选和导出相关功能。有审计需要可以直接来这里导出。
也可以去之前创建的存储账号里查看日志内容:
接下来我们针对要监控的备用全局管理员账户进行报警设置。回到Azure Active Directory,点击用户->所有用户,选择你要监控的账号,点击进入。
在 配置文件 部分,找到标识->对象ID,复制下来。
在左侧导航栏 所有服务 搜索-> Log Analytics 工作区(可以将搜索结果右侧的五角星点击收藏,这样 Log Analytics 工作区就会显示在左侧的导航栏里) 中点击 警报->新建预警规则。
资源 选择之前创建好的工作区名字, 条件 选择点击Custom Log Search,
搜索查询 填入如下语句:
SigninLogs
| project UserId
| where UserId == "4d12a5e0-f52a-45a9-9fa7-39d78a9732d8"
点击完成后,再选择 操作->添加操作组,按下图配置,电子邮件和电话号码选填要接受警报的联系方式。操作完成后,页面最下方 创建后启用规则 选 【是】,保存。
最后我们重新开启一个浏览器页面,以隐私模式打开,登录https://office.com 后用备用管理员账号(本实验用[email protected] )登录,查看手机和电子邮件是否收到警报通知。