Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Pelarnamn: Skydda klientorganisationer och isolera produktionssystem
Mönsternamn: Ta bort äldre system som riskerar säkerhet
Kontext och problem
Moderna hotaktörer riktar aktivt in sig på ohanterade, äldre eller medarbetarskapade klienter som saknar moderna säkerhetskontroller. Dessa hyresgäster:
- Arbeta utanför centraliserad styrning
- Saknar stark autentisering, villkorlig åtkomst och efterlevnadsövervakning
- Introducera konfigurationsavvikelser och laterala rörelsevägar
- Fortsätter att existera långt efter sin avsedda användning (till exempel övergivna test-/demomiljöer)
I produktionsmiljöer förstärks dessa risker. En enda komprometterad äldre klientorganisation kan användas som startplatta för bredare attacker, vilket undergräver Zero Trust principer och exponerar känsliga system. Verkliga incidenter inkluderar lösenordsspray mot icke-produktionsklienter och missbruk av äldre testappar för att pivotera in i företagsmiljöer.
Hyresgästutbredning ökar attackytan, komplicerar styrningen och saktar ner incidenthanteringen. Att minska och styra innehavarfotavtrycket är en av de största säkerhetsinvesteringarna som de flesta företag kan göra.
Lösning
Microsoft implementerade ett omfattande rensnings- och segmenteringsinitiativ under Secure Future Initiative (SFI) för att eliminera äldre och ohanterade hyresgäster, samtidigt som det återstående beståndet säkerhetshärdas. Viktiga åtgärder ingår:
- Identifiering och rensning i stor skala: Omfattande inventering över Microsofts molnavtryck och borttagning av miljontals oanvända eller osäkra klienter via automatiserade arbetsflöden och tidsbundna skriktester. Microsoft tog bort 6,9 miljoner oanvända och äldre klienter från och med november 2025.
- Segmentering och härdning: Tydlig klassificering av klienter (primära produktionsmiljöer, ytterligare produktionsmiljöer och tillfälliga icke-produktionsmiljöer), tillämpning av villkorsstyrd åtkomst, logisk isolering och säkerhetsbaslinjer som standard.
- Princip för livscykelhantering av klientorganisationer: Automatiska riktlinjer för skapande och 90 dagars utgång för icke-produktions-/tillfälliga klientorganisationer, där tillägget kräver godkännande av vice CISO.
- Modernization: Migrering av äldre plattformar (till exempel ASM → ARM), hemlighetshygien (hanterade identiteter, Key Vault) och eliminering av delade hemligheter.
- Styrt skapande: Policy‑driven skapande av hyresgäster med godkännandearbetsflöden och resursfördelning; standardblockering som standard för förtroende mellan hyresgäster.
Hur klassificerar Microsoft sina klienter?
För att göra risker explicita och kontroller förutsägbara begränsas Microsofts interna klientorganisationer av persona, affärssyfte och riskprofil.
De resulterande klassificeringarna sammanfattas i följande tabell.
| Klass | Exempel | Livscykel | Tvärgående säkerhetsställning | Vanliga kontroller |
|---|---|---|---|---|
|
Primära produktionsmiljöer (kärnklientorganisationer) Primära produktions- och produktivitetsklienter som kör Microsofts mest kritiska tjänster och åtgärder. Strikt styrd med högsta säkerhetsstandarder. |
Microsofts huvudsakliga produktivitetsmiljö stöder daglig drift för vår personal. Miljöer som kör Microsofts molntjänster för våra kunder. |
Långlivade | Strikta, minimala undantag | Endast stark autentisering (FIDO2/Auth-app) JIT-höjning Begränsade behörigheter för gästanvändare Secure Access Workstation (SAW) för administratörer Administratörsgodkänt appmedgivande Appar måste registreras i auktoritativ CMDB Två års loggkvarhållning Centraliserad certifikatlivscykel. |
|
Ytterligare produktionsmiljöer (hjälpklienter) Produktionsscenarier som avsiktligt isolerats från kärnan. Används när isolering minskar risken för primära miljöer eller undviker begränsningar som produktbegränsningar. |
Fusioner och förvärv (till exempel LinkedIn). Användningsfallsspecifika miljöer (till exempel PCI-resurser). |
Långlivade | Strikt, kontrollerat intag och triage. | Samma säkerhetsfält som kärnan. |
|
Tillfälliga icke-produktionsmiljöer (tillfälliga hyresgäster) Kortlivade klienter. |
Tillfälliga miljöer för validering av funktioner. Kortsiktiga miljöer som används för demonstrationer eller felsökning. |
Maximalt 90 dagar med tillägg av vice CISO. | Inga B2B- eller multi-tenant appsökvägar till produktionsmiljöer. | Stark flerfaktorsautentisering Endast FIDO2/Autentiseringsapp Standardregler för CA Microsoft Entra ID P2 eller E5 krävs för avancerade säkerhetsfunktioner. |
|
Icke-sanktionerade hyresgäster (satellithyresgäster) Äldre, icke-överensstämmande, svag tillskrivning. Tidigare förekom ofrivilliga åtkomstvägar. |
NA | Måltillstånd: avveckla | Karantän. Scream-test och accelererad pensionering |
Endast tillfällig inneslutning Migrera/anta efemära eller konvergera till några hjälpklienter där det är motiverat. |
Vägledning
Att utforma rätt Microsoft Entra klientarkitektur är ett strategiskt beslut som balanserar säkerhet, efterlevnad, administrativ komplexitet och användarupplevelse.
- En enskild produktionsklient rekommenderas för enkelhets- och användarupplevelseoptimering, men vissa organisationer (inklusive Microsoft) ställs inför affärs- och tekniska krav som driver införandet av flera klienter.
- Organisationer måste minimera antalet hyresgäster samtidigt som de uppfyller isolerings- och regelbehoven, och använda flera hyresgäster endast där de tillför ett tydligt och avsiktligt värde för att minska risken.
| Användningsfall | Rekommenderad åtgärd | Resource |
|---|---|---|
| Identifiera och klassificera | – Begränsa skapa klientbehörigheter i sanktionerade/hanterade klienter med Microsoft Entra. – Upptäck ditt Microsoft-molnavtryck och skapa en fullständig inventering över Microsofts molnavtryck med hjälp av telemetri för fakturering/prenumeration, M365-inloggning/granskningsloggar och data om appmedgivande. - – Definiera din egen nomenklatur för klientklassificering baserat på dina krav. – Klassificera hyresgäster enligt din organisations kriterier och tillskriv tydlig äganderätt. |
Standardanvändarbehörigheter Upptäck ditt Microsoft-molnavtryck. |
| Placera i karantän och återfå kontrollen | – Placera okända/äldre klientorganisationer i karantän med klientbegränsningar och blockera inkommande förtroende som standard med hjälp av inställningar för åtkomst mellan klientorganisationer. – Använd tidsbundna skriktester för att verifiera affärsberoende och minska falska positiva resultat. – Där du äger klientorganisationen men saknar administratörsbehörighet öppnar du en supportprocess för att återfå åtkomst och återställa till det ursprungliga läget. |
Översikt över åtkomst mellan klientorganisationer Konfigurera klientbegränsningar |
| Framtvinga livscykel och baslinjer | – Framtvinga klassificeringskriterier och säkerhetskontroller via kontrollerade arbetsflöden för att skapa klientorganisationer. – Dessa arbetsflöden bör innehålla mekanismer för att tillskriva ägarskap till enskilda personer i organisationen. – Dra aktivt tillbaka miljöer som inte uppfyller standarder. |
NA |
| Modernisera plattformar och hemligheter | – Migrera från äldre teknikstackar (till exempel ASM → ARM). - Eliminera delade hemligheter. – Prioritera hanterade identiteter. - Lagra hemligheter i Azure Key Vault. |
Arkitekturstrategier för att skydda programhemligheter Rekommendationer för bästa praxis för hanterad identitet |
Utfall
Fördelar
- Minskad attackyta: Eliminerar inaktuella/felkonfigurerade hyresgäster och tar bort oavsiktliga traverseringsvägar
- Inneslutning av kompromiss: Stark isolering och principtillämpning begränsar lateral förflyttning
- Förbättrad styrning: Livscykel- och intagsprinciper skapar en säker metod som standard
- Driftseffektivitet: Mindre teknisk skuld, tydligare ägarskap och enklare åtkomstmodeller
Kompromisser
- Samordning mellan företag för att klassificera, migrera och dra tillbaka klienter
- Investeringar i automatisering för identifiering, klassificering och förfallodatum
- Tillfälliga avbrott för testmiljöer med lågt värde under rensning
- Kulturell förändring för att införa livscykelmönster för hyresgäster (inklusive tidsbundna om tillämpligt) och standardisera undantagshantering.
Viktiga framgångsfaktorer
Spåra och granska, minst kvartalsvis:
- Antal oanvända eller oövervakade hyresgäster som identifierats och tagits bort.
- Andel av klientmiljöer som klassificeras och styrs under standardiserade policyer, med aktuell ägarinformation.
- Migreringshastighet från äldre infrastruktur (till exempel ASM till ARM).
- Minskning av autentiseringsaktivitet från äldre system eller hyresgäster med hög risk.
- Tillämpningsfrekvens av villkorsstyrd åtkomstprinciper och ytterligare kontroller för säkerhet över alla klienttyper.
Sammanfattning
Organisationer som systematiskt identifierar, segmentera och eliminera äldre system och ohanterade klienter förbättrar dramatiskt sin säkerhetsstatus. När företag krymper attackytan, framtvingar livscykelstyrning för klientorganisationer och överensstämmer med Zero Trust arkitektur skapar de motståndskraft mot moderna hot utan att offra flexibilitet där kortvariga klienter är lämpliga.
Genom att ta bort äldre system som riskerar säkerheten kan du förbättra organisationens säkerhetsstatus genom att minska angreppsytorna och eliminera äldre säkerhetsrisker.