Microsoft Entra ID – Rizika delegované správy

V minulém roce se pro nás Entra ID stala prioritou. Zrušili jsme on-premové Active Directory, počítače jsme napojili na Entra ID, GPO jsme nahradili Intunem a ESET jsme vyměnili za Microsoft Defender for Endpoint (viz Přecházíme do Azure Active Directory).

Stejně tak i čas, který mám na výzkum a přednášení, se snažím směřovat na problematiku zabezpečení Office/Microsoft 365. Tenhle rok pro vás budu mít zajímavá témata z Entra ID na CYB3R DAYS 2024 i německou konferenci Troopers, kde budu uvádět přednáškou panelovou diskuzi. Zároveň se hlásím i na BlackHat USA a DEF CON – mám dobrý výzkum/téma, ale vzhledem k tomu, o jak prestižní akci se jedná, je to spíše „kdyby náhodou“. V každém případě to budu zkoušet i další roky, účastnit se je můj sen.

Entra ID a delegovaná správa (GDAP)

Před pár měsíci mne oslovil náš partner TD Synnex, jestli bychom spolu nepřipravili nějaký workshop/webinář pro jejich partnery. Hned mne napadlo téma delegované správy (GDAP).

Téměř u každého zákazníka, co auditujeme, ji vidíme špatně nastavenou/využitou. Zákazník pak má v prostředí místo svých pár administrátorských účtů klidně i desítky/stovky dalších administrátorů, o kterých nemá ponětí (ani netuší zdali k bezpečnosti mají stejně pečlivý přístup jako on sám). Přičemž spousta dodavatelů tento přístup ani nepotřebuje (a i ve svém zájmu by jej neměli chtít, pokud není třeba).

Přednáška je vhodná jak pro Microsoft partnery – oni jsou ti, kteří delegovanou správu využívají. Tak i zákazníky, aby si dokázali zkontrolovat/zauditovat své prostředí a snížili pravděpodobnost, že je někdo hackne v rámci „útoku na dodavatelský řetězec“.

Slajdy k přednášce máte zde: MartinHaller-EntraID-GDAP .

Závěr

Pokud vás napadá nějaké zajímavé téma ohledně Entra ID, na které se podívat příště, budu rád za podnět.

A přeji vám, přátelé, ať jsou vaše sítě bezpečné.

Martin