Uživatelé
| Úlohy | Výstupy |
|---|---|
| – Implementujte plán komunikace uživatele. – Zkontrolujte identitu uživatele. - Odhlaste se a aktualizujte procedurální dokumentaci. |
• Komunikační plán byl dokončen. • Aktualizovaný seznam komponent a konfigurací identit • Procedurální dokumentace k testování, nápravě a výsledkům |
Implementace plánu komunikace uživatele
Ve fázi Příprava jste vytvořili plán komunikace a sadu konceptů e-mailů, které teď použijete k informování uživatelů o nadcházejících změnách, které mohou očekávat při migraci jejich systému na Windows 11, a jak mohou získat pomoc, pokud je potřeba.
Teď je čas odeslat tyto komunikace a zajistit, aby vaši uživatelé byli informovaní a připravení.
Návod
Doporučená dodávka:
Komunikace doručená uživatelům.
Kontrola požadavků na identitu uživatele
Ve fázi Plánu jste identifikovali všechny změny identity uživatele, které byly potřeba k podpoře požadavků na zabezpečení a přístup k prostředkům. V průběhu fází nasazení byste měli pravidelně kontrolovat a ověřovat, jestli jsou kontroly identit správně nakonfigurované a aktivně vynucované pro uživatele.
Pomocí Microsoft Entra monitorování a zdraví zkontrolujte aktivitu související s identitou, chování při přihlašování a signály stavu tenanta, a pomáhá při zjišťování problémů, které by mohly mít vliv na přístup nebo uživatelské prostředí.
Projděte si bezpečnostní skóre zabezpečení Identity a vyhodnoťte, jak úzce odpovídá konfigurace vaší identity doporučeným postupům zabezpečení Microsoft a ke sledování vylepšení v průběhu času.
Ověřte, že chování ověřování odpovídá vašemu návrhu, a to kontrolou přehledu ověřování Microsoft Entra, včetně nakonfigurovaných metod ověřování a toků přihlašování.
Můžete také zvážit kontrolu klíčových identit a ovládacích prvků zařízení, například:
Ověřování/řízení identit:
- Windows Hello pro firmy: zabezpečené ověřování bez hesla
- Klíče zabezpečení FIDO2: bez hesla, hardwarové ověřování
- Zásady Microsoft Entra Podmíněný přístup: vynucují požadavky na přístup zařízení a identit
- Zásady síly ověřování: Konfigurace a vynucení silného ověřování
- Skupina zabezpečení chráněných uživatelů: Vynucování rozšířených ochrany u vysoce rizikových účtů
Kontrolní mechanismy zabezpečení zařízení/platformy:
- Ochrana místní autority zabezpečení (LSA): Chrání přihlašovací údaje v paměti.
- ochrana přihlašovacích údajů Windows Defender Credential Guard: hardwarově izolovaná ochrana přihlašovacích údajů
- Remote Credential Guard: Chrání přihlašovací údaje během relací vzdálené plochy.
- Trusted Platform Module (TPM) 2.0: kořen důvěryhodnosti hardwaru
- Zabezpečené spouštění: Zajišťuje pouze důvěryhodné načtení operačního systému.
- Virtualization-Based Security (VBS): Izoluje citlivé části operačního systému.
- Integrita paměti (HVCI): Chrání paměť jádra před manipulací.
Implementujte a zdokumentujte všechny požadované změny. Před použitím změn souvisejících s identitou zkontrolujte, jestli je potřeba schválení účastníků.
Návod
Doporučená dodávka:
Aktualizovaný seznam komponent a konfigurací identit
Odhlášení a aktualizace procedurální dokumentace
Při rozhodování v této fázi je zdokumentujte ve snadno sdíletelném formátu pro účely sledování, vytváření sestav a kontinuity. Získejte schválení těchto dodávek od všech lidí identifikovaných v matici RACI připojené k připravenosti uživatelů. Než přejdete do další fáze nasazení, vyhledejte pomoc a vyřešte případné mezery.
| Úlohy | Výstupy |
|---|---|
| – Implementujte plán komunikace uživatele. – Zkontrolujte identitu uživatele. - Odhlaste se a aktualizujte procedurální dokumentaci. |
• Komunikační plán byl dokončen. • Aktualizovaný seznam komponent a konfigurací identit • Procedurální dokumentace k testování, nápravě a výsledkům |