שיעור 1ניטור והתראות לזהות: סיכון התחברות, משתמשים בסיכון, יומני ביקורת, יומני Azure AD מומלצים לאיסוףממשו ניטור והתראות לזהות ב-Azure. השתמשו בסיכון התחברות, משתמשים בסיכון, יומני ביקורת ובחרו את יומני Azure AD ו-Entra ID הנכונים לאיסוף ל-SIEM לגילוי, חקירה ודיווחי ציות.
Sign-in logs and audit logs overviewRisky users and risky sign-insIdentity Protection policiesLog collection to SIEM and SentinelAlert tuning and incident workflowsשיעור 2תכנון Privileged Identity Management (PIM): העלאה בזמן אמת, זרימות אישור, הגדרות ביקורתהבינו כיצד לתכנן Azure AD PIM להעלאה בזמן אמת. הגדירו הקצאות זכאים, זרימות אישור, MFA, גישה מוגבלת בזמן, התראות והגדרות ביקורת כדי להפחית הרשאה קבועה ולשפר אחריות.
Eligible vs active role assignmentsJIT activation and MFA enforcementApproval workflows and justificationTime limits and access reviewsPIM alerts, logs, and reportingשיעור 3קבוצות ניהול והיררכיית מנויים לייצור לעומת לא ייצורתכננו היררכיות קבוצות ניהול ומנויים לסביבות ייצור ולא ייצור. החילו שליטה, מדיניות ו-RBAC ברמה הנכונה כדי להפריד תפקידים, לשלוט בעלויות ולסטנדרטיזציה של בסיסי אבטחה.
Root management group strategyProd vs non-prod separationPolicy and RBAC at each layerLanding zones and subscriptionsCost management and chargebackשיעור 4תכנון תפקידים מותאמים אישית: דוגמאות להרשאה מינימלית ומבנה JSONחקרו תכנון תפקידים מותאמים אישית ב-Azure תוך שימוש בעקרונות הרשאה מינימלית. הבינו את JSON להגדרת תפקיד, פעולות ו-notActions, dataActions וכיצד לבנות, לבדוק ולשפר תפקידים שמתאימים לתפקידי מפתחים, תפעול ואבטחה.
When to use custom vs built-in rolesRole definition JSON structureActions, NotActions, DataActionsTesting and validating custom rolesVersioning and documenting rolesשיעור 5תכנון דייר Azure AD ושיקולים רב-דיירלמדו דפוסי תכנון דייר Azure AD, כולל אסטרטגיות דייר יחיד לעומת רב-דייר. הבינו גבולות ספרייה, שיתוף פעולה, שליטה ותכנון למיזוגים, רכישות ותרחישי גישה בין-דיירים.
Single vs multi-tenant trade-offsDirectory and security boundariesCross-tenant access and B2BTenant lifecycle and governanceM&A and divestiture scenariosשיעור 6גישה מותנית למשתמשי אורח חיצוניים: גישה מוגבלת, בקרת סשנים, הגדרות שיתוף B2Bתכננו גישה מותנית למשתמשי אורח חיצוניים ושותפים. הגבילו גישה למשאבים נדרשים, החילו בקרת סשנים והגדירו הגדרות שיתוף B2B כדי לאזן בין אבטחה, שימושיות ודרישות ציות.
Guest user onboarding and lifecycleLimited access and least privilegeSession controls and sign-in riskB2B collaboration policiesTerms of use and consent settingsשיעור 7היקף הקצאת תפקידים ושיטות עבודה מומלצות לגבולות תפקיד (מנוי, קבוצת משאבים, משאב)הבינו היקפי הקצאת תפקידים וגבולות ב-Azure. למדו מתי להקצות תפקידים ברמת קבוצת ניהול, מנוי, קבוצת משאבים או משאב, והחילו שיטות עבודה מומלצות כדי למזער רדיוס פיצוץ והתפשטות הרשאות.
Management group vs subscription scopeResource group and resource scopeDeny assignments and role limitsDesigning minimal blast radiusPeriodic review of role assignmentsשיעור 8אסטרטגיית חשבון שבירת זכוכית: תכנון חשבון, חשבונות גישה חירום, אחסון אישורים וניטורתכננו אסטרטגיית חשבון שבירת זכוכית עמידה. למדו כיצד ליצור חשבונות גישה חירום, להגן על אישורי הזדהות שלהם, לנטר שימוש ולבדוק הליכים כך שגישה קריטית זמינה במהלך תקלות או תצורות שגויות.
Break-glass account design rulesMFA, exclusions, and risk settingsCredential storage and rotationMonitoring and alerting on useTesting and documenting proceduresשיעור 9מדיניות גישה מותנית לעובדים פנימיים: MFA, ציות מכשיר, אפליקציות לקוח מאושרות, אפשרויות ללא סיסמהתכננו מדיניות גישה מותנית לעובדים פנימיים. שלבו MFA, ציות מכשיר, אפליקציות לקוח מאושרות ושיטות ללא סיסמה כדי להגן על גישה תוך שמירה על פרודוקטיביות על פני פרופילי משתמשים וסיכונים שונים.
Baseline protections for all employeesMFA requirements and exclusionsDevice compliance and hybrid joinApproved and modern client appsPasswordless and phishing-resistant authשיעור 10אסטרטגיית גישה מותנית: בלוקי בניית מדיניות והתנהגויות סדר עדיפות מדיניותלמדו כיצד לתכנן אסטרטגיית גישה מותנית באמצעות בלוקי בנייה של מדיניות. הבינו תנאים, בקרות והיגיון הערכה, כולל סדר עדיפויות מדיניות, שכבות ובדיקות כדי למנוע נעילות תוך אכיפת הגנות חזקות.
User, group, and workload identities scopeCloud apps and resource targetingConditions and grant controlsSession controls and sign-in frequencyPolicy evaluation and precedenceשיעור 11יסודות RBAC ב-Azure ומפת תפקידים מובנים לתפקידי מפתחים/תפעול/אבטחהסקרו את יסודות RBAC ב-Azure וכיצד תפקידים מובנים מתאימים לאחריות מפתחים, תפעול ואבטחה. למדו הפרדת תפקידים, הרשאה מינימלית וכיצד RBAC מתקשר עם הרשאות מישור נתונים וסוגי זהות.
Control-plane vs data-plane accessKey built-in roles and scopesMapping roles to Dev/Ops/Sec dutiesSeparation of duties patternsRBAC with managed identitiesשיעור 12הגברת חשבונות מורשים: מדיניות סיסמאות, זהויות מנוהלות לעומת נציגי שירות, הגנת אישוריםלמדו כיצד להגביר חשבונות מורשים ב-Azure AD ו-Entra ID באכיפת מדיניות סיסמאות חזקות, שימוש בזהויות מנוהלות במקום סודות והגנה על אישורים באחסון מאובטח, סיבוב וניטור.
Secure password and lockout policiesManaged identities vs service principalsKey Vault for secret and key storageCredential rotation and lifecycleAdmin workstation and access hygiene
