Microsoft Security, Compliance, and Identity Fundamentals
अंतिम समीक्षा: मई 2026
SC-900 परीक्षा द्वारा परखे जाने वाले architectural patterns का स्कैन-योग्य संदर्भ। ऊपर से नीचे पढ़ें या किसी section पर जाएं।
एक सुरक्षा मॉडल लागू करें जो उल्लंघन को मानता है और प्रत्येक अनुरोध के लिए सत्यापन की आवश्यकता होती है।
Zero Trust सुरक्षा मॉडल अपनाएं।
क्यों: तीन मुख्य सिद्धांतों पर काम करता है: स्पष्ट रूप से सत्यापित करें, न्यूनतम विशेषाधिकार पहुंच का उपयोग करें, और उल्लंघन को मानें। यह एक रणनीतिक दृष्टिकोण है, कोई एक उत्पाद नहीं।
क्लाउड सेवाओं के लिए सुरक्षा स्वामित्व सीमाओं को परिभाषित करें।
Shared Responsibility Model लागू करें। ग्राहक हमेशा इसके लिए जिम्मेदार होता है: जानकारी और डेटा, डिवाइस (एंडपॉइंट्स), खाते और पहचान।
क्यों: क्लाउड प्रदाता की जिम्मेदारी IaaS से PaaS से SaaS तक बढ़ती है, लेकिन ग्राहक हमेशा अपने डेटा और पहुंच प्रबंधन के लिए जिम्मेदारी रखता है।
एकल सुरक्षा परत की विफलता से बचाव करें।
भौतिक, पहचान, परिधि, नेटवर्क, कंप्यूट, ऐप और डेटा परतों में एक बहु-स्तरीय सुरक्षा रणनीति (Defense in Depth) लागू करें।
क्यों: एक परत में सेंधमारी को बाद की परतों द्वारा धीमा या नियंत्रित किया जाता है, जिससे हमले का समग्र जोखिम और प्रभाव कम हो जाता है।
उपयोगकर्ता की पहचान सत्यापित करने और उन्हें अनुमतियां प्रदान करने के बीच अंतर करें।
पहचान सत्यापित करने के लिए Authentication (AuthN) का उपयोग करें (साबित करें कि आप वही हैं जो आप कहते हैं)। एक प्रमाणित पहचान के पहुंच अधिकारों (आपको क्या करने की अनुमति है) को निर्धारित करने के लिए Authorization (AuthZ) का उपयोग करें।
क्यों: Authentication हमेशा Authorization से पहले होना चाहिए। एक उपयोगकर्ता प्रमाणित हो सकता है लेकिन उसे किसी विशिष्ट संसाधन तक पहुंचने के लिए अधिकृत नहीं किया जा सकता है।
डेटा की गोपनीयता को तब सुरक्षित रखें जब वह संग्रहीत हो और जब उसे प्रेषित किया जा रहा हो।
संग्रहीत डेटा के लिए Encryption at Rest का उपयोग करें (जैसे, डिस्क पर, डेटाबेस में)। नेटवर्क पर चल रहे डेटा के लिए Encryption in Transit का उपयोग करें (जैसे, TLS/SSL)।
क्यों: विभिन्न खतरे वाले वैक्टरों से सुरक्षा करता है। Encryption at rest स्टोरेज मीडिया की भौतिक चोरी को कम करता है, जबकि Encryption in Transit चोरी-छिपे सुनने से रोकता है।
एकल नियंत्रण तल से क्लाउड और ऑन-प्रिमाइसेस संसाधनों के लिए उपयोगकर्ता पहचान और पहुंच का प्रबंधन करें।
Microsoft Entra ID को केंद्रीकृत पहचान प्रदाता के रूप में उपयोग करें।
क्यों: पहचान के लिए सत्य का एक स्रोत प्रदान करता है, जिससे हाइब्रिड वातावरण में Single Sign-On (SSO), multi-factor authentication (MFA) और सुसंगत पहुंच नीतियों को सक्षम किया जा सके।
एप्लिकेशन और डेटा के लिए गतिशील, जोखिम-आधारित पहुंच नियंत्रण लागू करें।
Microsoft Entra Conditional Access नीतियों को कॉन्फ़िगर करें।
क्यों: यह Zero Trust नीति इंजन है। यह MFA की आवश्यकता, सत्र पहुंच को सीमित करने, या पहुंच को अवरुद्ध करने जैसे निर्णयों को लागू करने के लिए संकेतों (उपयोगकर्ता, स्थान, डिवाइस स्वास्थ्य, जोखिम) का मूल्यांकन करता है।
स्थायी प्रशासनिक विशेषाधिकारों से जुड़े सुरक्षा जोखिमों को कम करें।
Azure और Microsoft 365 भूमिकाओं के लिए Microsoft Entra Privileged Identity Management (PIM) लागू करें।
क्यों: Just-In-Time (JIT) एक्सेस प्रदान करता है, जिसमें उपयोगकर्ताओं को आवश्यकता पड़ने पर भूमिकाएं सक्रिय करने की आवश्यकता होती है। सक्रियण के लिए MFA, औचित्य और/या अनुमोदन की आवश्यकता हो सकती है, जिससे हमले की सतह काफी कम हो जाती है। Entra ID P2 की आवश्यकता है।
फ़िशिंग और पासवर्ड स्प्रे जैसे पासवर्ड-आधारित हमले वाले वैक्टरों को खत्म करें।
Windows Hello for Business, FIDO2 सुरक्षा कुंजियों, या Microsoft Authenticator ऐप जैसे पासवर्ड रहित प्रमाणीकरण विधियों को लागू करें।
क्यों: बायोमेट्रिक्स या भौतिक डिवाइस से जुड़ी क्रिप्टोग्राफिक कुंजियों पर निर्भर होकर पासवर्ड का अधिक सुरक्षित और उपयोगकर्ता-अनुकूल विकल्प प्रदान करता है।
उपयोगकर्ताओं को ऑन-प्रिमाइसेस और क्लाउड संसाधनों दोनों के लिए एक एकल पहचान प्रदान करें।
Microsoft Entra Connect का उपयोग करके ऑन-प्रिमाइसेस Active Directory को Microsoft Entra ID के साथ सिंक्रनाइज़ करें।
क्यों: एक सामान्य उपयोगकर्ता पहचान बनाता है, जिससे हाइब्रिड वातावरण में सहज Single Sign-On (SSO) और सुसंगत पहुंच प्रबंधन सक्षम होता है।
बाहरी भागीदारों को उनके लिए खाते बनाए और प्रबंधित किए बिना कंपनी संसाधनों तक पहुंचने की अनुमति दें।
Microsoft Entra B2B (Business-to-Business) सहयोग का उपयोग करें।
क्यों: बाहरी उपयोगकर्ताओं को मेहमानों के रूप में आमंत्रित करता है जो अपनी कॉर्पोरेट या सामाजिक पहचान का उपयोग प्रमाणीकरण के लिए करते हैं, जिससे प्रशासनिक ओवरहेड और सुरक्षा जोखिम कम होते हैं।
पहचान-आधारित खतरों का सक्रिय रूप से पता लगाएं और स्वचालित रूप से प्रतिक्रिया दें।
Microsoft Entra ID Protection सक्षम करें।
क्यों: पहचान जोखिमों (जैसे, लीक हुए क्रेडेंशियल्स, अज्ञात IP से साइन-इन) का पता लगाने के लिए मशीन लर्निंग का उपयोग करता है। जोखिम संकेतों का उपयोग Conditional Access में स्वचालित प्रतिक्रियाओं को ट्रिगर करने के लिए किया जा सकता है जैसे पासवर्ड रीसेट या MFA को मजबूर करना।
Azure-होस्टेड एप्लिकेशनों को कोड में क्रेडेंशियल्स का प्रबंधन किए बिना अन्य Azure संसाधनों तक पहुंचने में सक्षम करें।
Azure संसाधन (जैसे, VM, App Service) को एक Managed Identity असाइन करें।
क्यों: डेवलपर्स के लिए रहस्य, कनेक्शन स्ट्रिंग, या प्रमाणपत्रों को संभालने की आवश्यकता को समाप्त करता है। Azure स्वचालित रूप से पहचान के जीवनचक्र का प्रबंधन करता है।
हेल्पडेस्क के कार्यभार को कम करें और उपयोगकर्ताओं को अपने स्वयं के खाता लॉकआउट या भूले हुए पासवर्ड को हल करने के लिए सशक्त करें।
Microsoft Entra ID में Self-Service Password Reset (SSPR) कॉन्फ़िगर करें।
क्यों: उपयोगकर्ताओं को पूर्व-पंजीकृत तरीकों (जैसे, फोन, ऑथेंटिकेटर ऐप, सुरक्षा प्रश्न) का उपयोग करके अपनी पहचान सत्यापित करने के बाद अपने पासवर्ड को सुरक्षित रूप से रीसेट करने की अनुमति देता है।
समय-समय पर यह सत्यापित करें कि एप्लिकेशनों और विशेषाधिकार प्राप्त भूमिकाओं तक उपयोगकर्ता पहुंच अभी भी आवश्यक है।
आवर्ती Microsoft Entra Access Reviews शेड्यूल करें।
क्यों: पहुंच समीक्षा प्रक्रिया को स्वचालित करता है, यह सुनिश्चित करता है कि अनावश्यक पहुंच अधिकारों को हटाकर समय के साथ न्यूनतम विशेषाधिकार का सिद्धांत बना रहे।
खतरे का पता लगाने और घटना प्रतिक्रिया को स्वचालित करने के लिए पूरे उद्यम से सुरक्षा डेटा को एकत्रित करें।
Microsoft Sentinel परिनियोजित करें।
क्यों: डेटा संग्रह और विश्लेषण के लिए क्लाउड-नेटिव Security Information and Event Management (SIEM) के रूप में कार्य करता है, और स्वचालित कार्यों के लिए Playbooks का उपयोग करके एक Security Orchestration, Automation, and Response (SOAR) प्लेटफॉर्म के रूप में कार्य करता है।
क्लाउड संसाधनों की सुरक्षा कॉन्फ़िगरेशन का लगातार मूल्यांकन और सख्त करें।
Microsoft Defender for Cloud का उपयोग इसकी Cloud Security Posture Management (CSPM) क्षमताओं के लिए करें।
क्यों: एक Secure Score, कार्रवाई योग्य सुरक्षा सिफारिशें प्रदान करता है, और समग्र सुरक्षा मुद्रा में सुधार के लिए नियामक मानकों के खिलाफ अनुपालन को ट्रैक करता है।
VMs, कंटेनरों और डेटाबेस जैसे क्लाउड और हाइब्रिड वर्कलोड को उन्नत खतरों से बचाएं।
Microsoft Defender for Cloud के भीतर विशिष्ट Defender योजनाओं (Cloud Workload Protection - CWP) को सक्षम करें।
क्यों: उन्नत, वर्कलोड-विशिष्ट खतरे का पता लगाने और सुरक्षा क्षमताएं प्रदान करता है, जैसे सर्वर के लिए एंडपॉइंट डिटेक्शन और कंटेनर रजिस्ट्रियों के लिए भेद्यता स्कैनिंग।
एंडपॉइंट्स, ईमेल, पहचान और क्लाउड ऐप्स तक फैले जटिल हमलों की जांच करें और उनका जवाब दें।
Microsoft 365 Defender का उपयोग करें।
क्यों: एक Extended Detection and Response (XDR) समाधान प्रदान करता है जो कई Microsoft Defender उत्पादों से अलर्ट को एक ही घटना में सहसंबंधित करता है, एक एकीकृत जांच और प्रतिक्रिया अनुभव प्रदान करता है।
उपयोगकर्ता उपकरणों (एंडपॉइंट्स) को मैलवेयर, रैंसमवेयर और अन्य परिष्कृत हमलों से बचाएं।
Microsoft Defender for Endpoint परिनियोजित करें।
क्यों: एंडपॉइंट्स को सुरक्षित करने के लिए निवारक सुरक्षा, उल्लंघन के बाद का पता लगाने (EDR), स्वचालित जांच और प्रतिक्रिया क्षमताएं प्रदान करता है।
ईमेल और सहयोग उपकरणों में फ़िशिंग, व्यावसायिक ईमेल समझौता और दुर्भावनापूर्ण अटैचमेंट से बचाव करें।
Microsoft Defender for Office 365 लागू करें।
क्यों: Microsoft 365 सेवाओं के लिए Safe Attachments (डिटोनेशन चैंबर) और Safe Links (URL पुनर्लेखन और स्कैनिंग) जैसी उन्नत खतरे सुरक्षा सुविधाएँ प्रदान करता है।
ऑन-प्रिमाइसेस Active Directory इंफ्रास्ट्रक्चर को लक्षित हमलों का पता लगाएं।
Microsoft Defender for Identity परिनियोजित करें।
क्यों: उन्नत खतरों, समझौता की गई पहचानों, और दुर्भावनापूर्ण अंदरूनी कार्यों का पता लगाने के लिए ऑन-प्रिमाइसेस AD संकेतों की निगरानी करता है जो अक्सर बड़े उल्लंघनों के अग्रदूत होते हैं।
कर्मचारियों द्वारा उपयोग किए जाने वाले अनधिकृत क्लाउड एप्लिकेशनों ("shadow IT") का पता लगाएं और स्वीकृत एप्लिकेशनों में डेटा प्रवाह को नियंत्रित करें।
Microsoft Defender for Cloud Apps का उपयोग करें।
क्यों: क्लाउड ऐप उपयोग में दृश्यता प्रदान करने, जोखिम का आकलन करने, नीतियों को लागू करने और क्लाउड में खतरों से बचाव के लिए एक Cloud Access Security Broker (CASB) के रूप में कार्य करता है।
एक वर्चुअल नेटवर्क के भीतर Azure संसाधनों के बीच नेटवर्क ट्रैफिक को नियंत्रित करें।
सबनेट और/या नेटवर्क इंटरफेस पर Network Security Groups (NSGs) लागू करें।
क्यों: IP पते, पोर्ट और प्रोटोकॉल के आधार पर ट्रैफिक को अनुमति देने या अस्वीकार करने के लिए एक बुनियादी, स्टेटफुल पैकेट-फ़िल्टरिंग फ़ायरवॉल के रूप में कार्य करता है। यह एक मौलिक नेटवर्क सुरक्षा नियंत्रण है।
एक बुद्धिमान, प्रबंधित फ़ायरवॉल सेवा के साथ सभी वर्चुअल नेटवर्क संसाधनों को केंद्रीय रूप से सुरक्षित करें।
हब VNet में Azure Firewall परिनियोजित करें।
क्यों: एक पूरी तरह से प्रबंधित, क्लाउड-नेटिव फ़ायरवॉल-एज़-ए-सर्विस जो खतरे की खुफिया-आधारित फ़िल्टरिंग, उच्च उपलब्धता और अप्रतिबंधित स्केलेबिलिटी प्रदान करता है।
Azure में सार्वजनिक-सामना वाले एप्लिकेशनों को Distributed Denial of Service हमलों से अभिभूत होने से बचाएं।
वर्चुअल नेटवर्क पर Azure DDoS Protection Standard सक्षम करें।
क्यों: डिफ़ॉल्ट इंफ्रास्ट्रक्चर-स्तरीय सुरक्षा से परे, अनुकूली ट्यूनिंग, हमला विश्लेषण और लागत सुरक्षा सहित उन्नत शमन क्षमताएं प्रदान करता है।
सार्वजनिक इंटरनेट पर प्रबंधन पोर्ट को उजागर किए बिना Azure VMs तक सुरक्षित RDP और SSH पहुंच प्रदान करें।
वर्चुअल नेटवर्क में Azure Bastion परिनियोजित करें।
क्यों: Azure पोर्टल के माध्यम से TLS पर VMs के लिए एक सुरक्षित, ब्राउज़र-आधारित कनेक्शन प्रदान करता है, जिससे VMs पर सार्वजनिक IP पते की आवश्यकता समाप्त हो जाती है और हमले की सतह कम हो जाती है।
संवेदनशील दस्तावेजों और ईमेल को उनकी सामग्री के आधार पर वर्गीकृत और सुरक्षित करें, चाहे वे कहीं भी संग्रहीत या भेजे गए हों।
Sensitivity Labels के साथ Microsoft Purview Information Protection का उपयोग करें।
क्यों: लेबल स्थायी सुरक्षा (एन्क्रिप्शन, सामग्री मार्किंग, पहुंच प्रतिबंध) लागू करते हैं जो डेटा के साथ यात्रा करता है, यह सुनिश्चित करता है कि यह अपने पूरे जीवनचक्र में संरक्षित रहे।
उपयोगकर्ताओं को गलती से या जानबूझकर संवेदनशील जानकारी (जैसे, क्रेडिट कार्ड नंबर, PII) संगठन के बाहर साझा करने से रोकें।
Microsoft Purview Data Loss Prevention (DLP) नीतियों को कॉन्फ़िगर करें।
क्यों: DLP नीतियां Microsoft 365 सेवाओं, एंडपॉइंट्स और क्लाउड ऐप्स में संवेदनशील सामग्री पर पहचान, निगरानी और स्वचालित रूप से सुरक्षात्मक क्रियाएं लागू करती हैं।
GDPR, HIPAA, और ISO 27001 जैसे उद्योग नियमों और मानकों के साथ अनुपालन का आकलन, प्रबंधन और ट्रैक करें।
Microsoft Purview Compliance Manager का उपयोग करें।
क्यों: अनुपालन स्कोर, पूर्व-निर्मित मूल्यांकन टेम्पलेट, और अनुपालन प्रबंधन को सरल बनाने के लिए अनुशंसित सुधार कार्यों के साथ एक केंद्रीकृत डैशबोर्ड प्रदान करता है।
आवश्यक अवधि के लिए सामग्री को स्वचालित रूप से बनाए रखें और जब व्यावसायिक या नियामक कारणों से इसकी आवश्यकता न हो तो उसे हटा दें।
रिटेंशन नीतियों और रिटेंशन लेबल का उपयोग करके Microsoft Purview Data Lifecycle Management लागू करें।
क्यों: सामग्री जीवनचक्र का प्रबंधन करने, जोखिम को कम करने और विनियमों का अनुपालन करने के लिए Microsoft 365 में डेटा शासन नीतियों को लागू करता है।
एक कानूनी मामले में Microsoft 365 से इलेक्ट्रॉनिक डेटा की पहचान, संरक्षण और संग्रह की आवश्यकता होती है।
Microsoft Purview eDiscovery (Standard या Premium) का उपयोग करें।
क्यों: प्रासंगिक सामग्री खोजने, संशोधन या विलोपन को रोकने के लिए इसे कानूनी रोक पर रखने, और कानूनी समीक्षा के लिए इसे निर्यात करने के उपकरण प्रदान करता है।
कर्मचारियों द्वारा संभावित डेटा चोरी या सुरक्षा नीति उल्लंघनों का पता लगाएं और जांच करें।
Microsoft Purview Insider Risk Management कॉन्फ़िगर करें।
क्यों: संभावित जोखिम भरे अंदरूनी गतिविधियों की पहचान करने के लिए Microsoft 365 से विभिन्न संकेतों को सहसंबंधित करता है और उनकी जांच करने और उन पर कार्य करने के लिए वर्कफ़्लो प्रदान करता है।
एक विनियमित कंपनी को हितों के टकराव से बचने के लिए विशिष्ट विभागों (जैसे, व्यापारी और विश्लेषक) के बीच संचार को रोकने की आवश्यकता है।
Microsoft Purview Information Barriers लागू करें।
क्यों: Microsoft Teams, SharePoint, और OneDrive में परिभाषित उपयोगकर्ता समूहों के बीच संचार और सहयोग को प्रतिबंधित करने वाली नीतियों को लागू करता है।
ऑन-प्रिमाइसेस, मल्टीक्लाउड और SaaS वातावरण में सभी डेटा संपत्तियों का एक व्यापक, अप-टू-डेट मानचित्र बनाएं।
Microsoft Purview Data Map और Data Catalog का उपयोग करें।
क्यों: प्रभावी शासन के लिए डेटा एस्टेट का एक समग्र दृश्य प्रदान करने के लिए डेटा खोज, संवेदनशील डेटा वर्गीकरण और वंश ट्रैकिंग को स्वचालित करता है।
कंपनी संचार में अनुचित संदेशों (जैसे, उत्पीड़न, रहस्यों को साझा करना) का पता लगाएं, कैप्चर करें और उन पर कार्रवाई करें।
Microsoft Purview Communication Compliance परिनियोजित करें।
क्यों: समीक्षा के लिए ईमेल, Teams और अन्य चैनलों में नीति उल्लंघनों का पता लगाने के लिए मशीन लर्निंग का उपयोग करके संचार जोखिमों को कम करने में मदद करता है।
सुनिश्चित करें कि Microsoft समर्थन इंजीनियर आपकी स्पष्ट, ऑडिट करने योग्य अनुमति के बिना आपके संगठन के डेटा तक नहीं पहुंच सकते हैं।
Microsoft 365 या Azure के लिए Customer Lockbox सक्षम करें।
क्यों: Microsoft इंजीनियरों से डेटा पहुंच अनुरोधों को अनुमोदित या अस्वीकृत करने के लिए ग्राहकों को एक इंटरफ़ेस प्रदान करता है, जिससे आपको दुर्लभ समर्थन परिदृश्यों में अंतिम नियंत्रण मिलता है।
Microsoft 365 में उपयोगकर्ता और व्यवस्थापक गतिविधियों की समीक्षा करके एक सुरक्षा घटना या अनुपालन समस्या की जांच करें।
Microsoft Purview Audit (Standard या Premium) लॉग खोजें।
क्यों: फॉरेंसिक जांच के लिए Exchange Online, SharePoint Online, OneDrive और Entra ID जैसी सेवाओं में गतिविधियों का एक एकीकृत ऑडिट ट्रेल प्रदान करता है।
