Konfigurace přístupu k identitám a zařízením s nulovou důvěryhodností (Zero Trust).
Dnešní pracovníci vyžadují přístup k aplikacím a prostředkům, které existují za hranicemi tradičních podnikových sítí. Architektury zabezpečení, které k izolaci a omezení přístupu k prostředkům spoléhají na síťové brány firewall a virtuální privátní sítě (VPN), už nestačí.
Pro řešení tohoto nového světa computingu Microsoft důrazně doporučuje model zabezpečení nulová důvěra (Zero Trust), který je založen na těchto hlavních principech:
- Explicitní ověření: Vždy se ověřujte a autorizujete na základě všech dostupných datových bodů. Při tomto ověřování jsou pro přihlášení a průběžné ověřování zásadní nulová důvěra (Zero Trust) zásady přístupu k identitám a zařízením.
- Používejte přístup s nejnižšími oprávněními: Omezte přístup uživatelů pomocí technologie Just-In-Time a Just-Enough-Access (JIT/JEA), adaptivních zásad založených na rizicích a ochrany dat.
- Předpokládat porušení zabezpečení: Minimalizujte poloměr výbuchu a přístup k segmentům. Ověřte komplexní šifrování a využijte analýzy k získání přehledu, řízení detekce hrozeb a vylepšení ochrany.
Tady je celková architektura nulová důvěra (Zero Trust):
nulová důvěra (Zero Trust) identit a zásad přístupu k zařízením řeší zásadu Ověřit explicitně:
- Identity: Když se identita pokusí o přístup k prostředku, ověřte ji pomocí silného ověřování a ujistěte se, že požadovaný přístup vyhovuje a je typický.
- Zařízení (označovaná také jako koncové body): Monitorujte a vynucujte požadavky na stav zařízení a dodržování předpisů pro zabezpečený přístup.
- Aplikace: Použití ovládacích prvků a technologií na:
- Zajistěte odpovídající oprávnění v aplikaci.
- Řízení přístupu na základě analýz v reálném čase
- Monitorování neobvyklého chování
- Řízení akcí uživatelů.
- Ověřte možnosti zabezpečené konfigurace.
Tato série článků popisuje sadu konfigurací a zásad přístupu k identitám a zařízením pomocí Microsoft Entra ID, podmíněného přístupu, Microsoft Intune a dalších funkcí. Tyto konfigurace a zásady poskytují nulová důvěra (Zero Trust) přístup k Microsoftu 365 pro podnikové cloudové aplikace a služby, další služby SaaS a místní aplikace publikované pomocí Microsoft Entra proxy aplikací.
nulová důvěra (Zero Trust) nastavení a zásady přístupu k zařízením se doporučují ve třech úrovních:
- Bodem.
- Podnik.
- Specializované zabezpečení pro prostředí s vysoce regulovanými nebo klasifikovanými daty
Tyto úrovně a jejich odpovídající konfigurace poskytují konzistentní úrovně ochrany nulová důvěra (Zero Trust) napříč vašimi daty, identitami a zařízeními. Tyto možnosti a jejich doporučení:
- Podporují Microsoft 365 E3 a Microsoft 365 E5.
- Jsou v souladu se skóre zabezpečení Microsoftu a skóre identity v Microsoft Entra ID. Dodržování doporučení zvýší tato skóre pro vaši organizaci.
- Pomůže vám implementovat těchto pět kroků pro zabezpečení infrastruktury identit.
Pokud má vaše organizace jedinečné požadavky nebo složitost, použijte jako výchozí bod tato doporučení. Většina organizací ale může tato doporučení implementovat tak, jak je to předepsáno.
Podívejte se na toto video, kde najdete rychlý přehled konfigurací identit a přístupu k zařízením pro Microsoft 365 pro velké organizace.
Poznámka
Microsoft také prodává licence Enterprise Mobility + Security (EMS) pro Office 365 předplatná. Funkce EMS E3 a EMS E5 jsou ekvivalentní funkcím v Microsoft 365 E3 a Microsoft 365 E5. Další informace najdete v tématu Plány EMS.
Zamýšlená cílová skupina
Tato doporučení jsou určená pro podnikové architekty a IT profesionály, kteří jsou obeznámeni s cloudovými službami Microsoftu 365 pro zvýšení produktivity a zabezpečení. Mezi tyto služby patří Microsoft Entra ID (identita), Microsoft Intune (správa zařízení) a Microsoft Purview Information Protection (ochrana dat).
Prostředí zákazníka
Doporučené zásady platí pro podnikové organizace, které působí výhradně v cloudu Microsoftu, i pro zákazníky s hybridní infrastrukturou identit. Struktura hybridní identity je místní Active Directory doménová struktura synchronizovaná s Microsoft Entra ID.
Řada našich doporučení spoléhá na služby, které jsou k dispozici pouze s následujícími licencemi:
- Microsoft 365 E5.
- Microsoft 365 E3 s doplňkem zabezpečení E5.
- EMS E5.
- Microsoft Entra ID licence P2.
Organizacím, které tyto licence nemají, doporučujeme alespoň implementovat výchozí nastavení zabezpečení, které je součástí všech plánů Microsoftu 365.
Upozornění
Na vaši organizaci se můžou vztahovat zákonné nebo jiné požadavky na dodržování předpisů, včetně konkrétních doporučení, která vyžadují, abyste použili zásady, které se liší od těchto doporučených konfigurací. Tyto konfigurace doporučují ovládací prvky využití, které nebyly v minulosti dostupné. Tyto ovládací prvky doporučujeme, protože věříme, že představují rovnováhu mezi zabezpečením a produktivitou.
Udělali jsme maximum pro to, abychom zohlednili širokou škálu požadavků na ochranu organizace, ale nedokážeme zohlednit všechny možné požadavky ani všechny jedinečné aspekty vaší organizace.
Tři úrovně ochrany
Většina organizací má specifické požadavky na zabezpečení a ochranu dat. Tyto požadavky se liší podle odvětví a pracovních funkcí v rámci organizací. Například vaše právní oddělení a správci můžou vyžadovat další ovládací prvky zabezpečení a ochrany informací týkající se e-mailové korespondence, které nejsou vyžadovány pro jiné organizační jednotky.
Každé odvětví má také vlastní sadu specializovaných předpisů. Nepokoušíme se poskytnout seznam všech možných možností zabezpečení ani doporučení pro oborový segment nebo funkci úlohy. Místo toho poskytujeme doporučení pro tři úrovně zabezpečení a ochrany, které je možné použít na základě členitosti vašich potřeb.
- Výchozí bod: Doporučujeme všem zákazníkům stanovit a používat minimální standard pro ochranu dat a také identity a zařízení, která přistupuje k vašim datům. Podle těchto doporučení můžete zajistit silnou výchozí ochranu pro všechny organizace.
- Podnik: Někteří zákazníci mají podmnožinu dat, která musí být chráněna na vyšších úrovních, nebo všechna data musí být chráněna na vyšší úrovni. Zvýšenou ochranu můžete použít u všech nebo konkrétních datových sad v prostředí Microsoftu 365. Doporučujeme chránit identity a zařízení, která přistupuje k citlivým datům, se srovnatelnou úrovní zabezpečení.
- Specializované zabezpečení: Podle potřeby má několik zákazníků malé množství dat, která jsou vysoce klasifikovaná, představují obchodní tajemství nebo jsou regulovaná. Microsoft poskytuje možnosti, které těmto zákazníkům pomůžou splnit tyto požadavky, včetně přidané ochrany identit a zařízení.
V těchto doprovodných materiálech se dozvíte, jak implementovat ochranu nulová důvěra (Zero Trust) pro identity a zařízení pro každou z těchto úrovní ochrany. Tyto pokyny použijte minimálně pro vaši organizaci a upravte zásady tak, aby splňovaly specifické požadavky vaší organizace.
Je důležité používat konzistentní úrovně ochrany napříč identitami, zařízeními a daty. Například ochrana uživatelů s prioritními účty, jako jsou vedoucí pracovníci, vedoucí pracovníci, manažeři a další, by měla zahrnovat stejnou úroveň ochrany jejich identit, zařízení a dat, ke kterým přistupují.
Informace uložené v Microsoftu 365 najdete také v tématu Nasazení ochrany informací pro předpisy o ochraně osobních údajů .
Kompromisy v oblasti zabezpečení a produktivity
Implementace jakékoli strategie zabezpečení vyžaduje kompromisy mezi zabezpečením a produktivitou. Je užitečné vyhodnotit, jak každé rozhodnutí ovlivňuje rovnováhu mezi zabezpečením, funkčností a snadným používáním.
Uvedená doporučení jsou založená na následujících principech:
- Znát své uživatele a být flexibilní s jejich požadavky na zabezpečení a funkce.
- Použijte zásady zabezpečení včas a ujistěte se, že jsou smysluplné.
Služby a koncepty pro nulová důvěra (Zero Trust) identity a ochranu přístupu zařízení
Microsoft 365 pro velké organizace je navržený tak, aby všichni mohli být kreativní a mohli bezpečně spolupracovat.
Tato část obsahuje přehled služeb a možností Microsoftu 365, které jsou důležité pro nulová důvěra (Zero Trust) identitu a přístup k zařízením.
Microsoft Entra ID
Microsoft Entra ID poskytuje úplnou sadu funkcí správy identit. Tyto funkce doporučujeme použít k zabezpečení přístupu.
| Funkce nebo funkce | Popis | Licencování |
|---|---|---|
| Vícefaktorové ověřování (MFA) | Vícefaktorové ověřování vyžaduje, aby uživatelé zadali dva způsoby ověření, například heslo uživatele a oznámení z aplikace Microsoft Authenticator nebo telefonní hovor. Vícefaktorové ověřování výrazně snižuje riziko, že by bylo možné pro přístup k vašemu prostředí použít odcizené přihlašovací údaje. Microsoft 365 používá Microsoft Entra službu vícefaktorového ověřování pro přihlášení založená na vícefaktorovém ověřování. | Microsoft 365 E3 nebo E5 |
| Podmíněný přístup | Microsoft Entra ID vyhodnotí podmínky přihlášení uživatele a pomocí zásad podmíněného přístupu určí povolený přístup. V těchto doprovodných materiálech vám například ukážeme, jak vytvořit zásadu podmíněného přístupu, která bude vyžadovat dodržování předpisů zařízením pro přístup k citlivým datům. Tím se výrazně snižuje riziko, že hacker s vlastním zařízením a odcizenými přihlašovacími údaji bude mít přístup k vašim citlivým datům. Chrání také citlivá data na zařízeních, protože zařízení musí splňovat specifické požadavky na stav a zabezpečení. | Microsoft 365 E3 nebo E5 |
| skupiny Microsoft Entra | Zásady podmíněného přístupu, správa zařízení s Intune a dokonce oprávnění k souborům a webům ve vaší organizaci závisí na přiřazení k uživatelským účtům nebo Microsoft Entra skupinám. Doporučujeme vytvořit Microsoft Entra skupiny, které odpovídají úrovním ochrany, které implementujete. Například vaši vedoucí pracovníci jsou pravděpodobně hodnotnějšími cíli pro hackery. Proto je vhodné přidat uživatelské účty těchto zaměstnanců do skupiny Microsoft Entra a přiřadit tuto skupinu k zásadám podmíněného přístupu a dalším zásadám, které vynucují vyšší úroveň ochrany přístupu. | Microsoft 365 E3 nebo E5 |
| Registrace zařízení | Zařízení zaregistrujete do Microsoft Entra ID, abyste pro zařízení vytvořili identitu. Tato identita se používá k ověření zařízení při přihlášení uživatele a k použití zásad podmíněného přístupu, které vyžadují počítače připojené k doméně nebo počítače dodržující předpisy. V těchto doprovodných materiálech používáme registraci zařízení k automatické registraci počítačů s Windows připojených k doméně. Registrace zařízení je předpokladem pro správu zařízení s Intune. | Microsoft 365 E3 nebo E5 |
| Microsoft Entra ID Protection | Umožňuje detekovat potenciální ohrožení zabezpečení ovlivňující identity vaší organizace a nakonfigurovat zásady automatizované nápravy na nízké, střední a vysoké riziko přihlašování a rizika uživatelů. Tyto doprovodné materiály spoléhají na toto vyhodnocení rizik při použití zásad podmíněného přístupu pro vícefaktorové ověřování. Tyto doprovodné materiály obsahují také zásady podmíněného přístupu, které vyžadují, aby si uživatelé změnili heslo, pokud se u jejich účtu zjistí vysoce riziková aktivita. | Microsoft 365 E5, Microsoft 365 E3 s doplňkem zabezpečení E5, EMS E5 nebo licencemi Microsoft Entra ID P2 |
| Samoobslužné resetování hesla (SSPR) | Umožněte uživatelům bezpečně a bez zásahu helpdesku resetovat hesla tím, že zajistíte ověření více metod ověřování, které může řídit správce. | Microsoft 365 E3 nebo E5 |
| Microsoft Entra ochrana heslem | Detekujte a zablokujte známá slabá hesla a jejich varianty a další slabé termíny, které jsou specifické pro vaši organizaci. Výchozí globální seznamy zakázaných hesel se automaticky použijí pro všechny uživatele v tenantovi Microsoft Entra. Další položky můžete definovat ve vlastním seznamu zakázaných hesel. Když uživatelé změní nebo resetují svá hesla, zaškrtnou se tyto seznamy zakázaných hesel, aby se vynutila použití silných hesel. | Microsoft 365 E3 nebo E5 |
Tady jsou komponenty identity nulová důvěra (Zero Trust) a přístupu k zařízením, včetně Intune a Microsoft Entra objektů, nastavení a podslužeb.
Microsoft Intune
Intune je cloudová služba microsoftu pro správu mobilních zařízení. Tento doprovodný materiál doporučuje správu zařízení na počítačích s Windows s Intune a doporučuje konfigurace zásad dodržování předpisů zařízením. Intune určuje, jestli zařízení vyhovují předpisům, a odesílá tato data do Microsoft Entra ID, které se mají použít při použití zásad podmíněného přístupu.
Intune ochrana aplikací
Intune zásady ochrany aplikací je možné použít k ochraně dat vaší organizace v mobilních aplikacích s registrací zařízení do správy nebo bez nich. Intune pomáhá chránit informace, zajistit, aby vaši zaměstnanci mohli být stále produktivní, a zabránit ztrátě dat. Implementací zásad na úrovni aplikací můžete omezit přístup k prostředkům společnosti a zachovat data pod kontrolou vašeho IT oddělení.
V těchto doprovodných materiálech se dozvíte, jak vytvořit doporučené zásady pro vynucení používání schválených aplikací a určit, jak se tyto aplikace dají používat s obchodními daty.
Microsoft 365
V těchto doprovodných materiálech se dozvíte, jak implementovat sadu zásad pro ochranu přístupu ke cloudovým službám Microsoftu 365, včetně Microsoft Teams, Exchange, SharePointu a OneDrivu. Kromě implementace těchto zásad doporučujeme také zvýšit úroveň ochrany vašeho tenanta pomocí těchto prostředků:
Windows 11 nebo Windows 10 s Microsoft 365 Apps pro velké organizace
Windows 11 nebo Windows 10 s Microsoft 365 Apps pro velké organizace je doporučené klientské prostředí pro počítače. Doporučujeme Windows 11 nebo Windows 10, protože Microsoft Entra je navržený tak, aby poskytoval co nejplynulejší prostředí pro místní i Microsoft Entra ID. Windows 11 nebo Windows 10 také zahrnují pokročilé možnosti zabezpečení, které je možné spravovat prostřednictvím Intune. Microsoft 365 Apps pro velké organizace zahrnuje nejnovější verze aplikací Office. Používají moderní ověřování, které je bezpečnější a vyžaduje podmíněný přístup. Tyto aplikace také zahrnují vylepšené nástroje pro dodržování předpisů a zabezpečení.
Použití těchto funkcí napříč třemi úrovněmi ochrany
Následující tabulka shrnuje naše doporučení pro použití těchto funkcí ve třech úrovních ochrany.
| Ochranný mechanismus | Bodem | Enterprise | Specializované zabezpečení |
|---|---|---|---|
| Vynucení vícefaktorového ověřování | Při středním nebo vyšším riziku přihlášení | Při nízkém nebo vyšším riziku přihlášení | Na všech nových relacích |
| Vynucení změny hesla | Pro vysoce rizikové uživatele | Pro vysoce rizikové uživatele | Pro vysoce rizikové uživatele |
| Vynucení ochrany aplikací Intune | Ano | Ano | Ano |
| Vynucování registrace Intune pro zařízení vlastněná organizací | Vyžadovat kompatibilní počítač nebo počítač připojený k doméně, ale povolit vlastní zařízení (BYOD) telefony a tablety | Vyžadovat vyhovující zařízení nebo zařízení připojené k doméně | Vyžadovat vyhovující zařízení nebo zařízení připojené k doméně |
Vlastnictví zařízení
Výše uvedená tabulka odráží trend mnoha organizací, které podporují kombinaci zařízení vlastněných organizací a osobních zařízení nebo ZAŘÍZENÍ BYOD, aby se mobilní produktivita pracovníkům umožnila. Intune zásady ochrany aplikací zajišťují, aby e-maily byly chráněny před exfiltrací z mobilní aplikace Outlook a dalších mobilních aplikací Office na zařízeních vlastněných organizacích i byOD.
Pokud chcete použít další ochranu a kontrolu, doporučujeme, aby se zařízení vlastněná organizací spravovala pomocí Intune nebo připojených k doméně. V závislosti na citlivosti dat se vaše organizace může rozhodnout nepovolit VLASTNÍ IDENTIFIKÁTORy pro konkrétní skupiny uživatelů nebo konkrétní aplikace.
Nasazení a vaše aplikace
Před konfigurací a zavedením konfigurace identity nulová důvěra (Zero Trust) a přístupu k zařízením pro Microsoft Entra integrované aplikace musíte:
Rozhodněte se, které aplikace používané ve vaší organizaci chcete chránit.
Analyzujte tento seznam aplikací a určete sady zásad, které poskytují odpovídající úrovně ochrany.
Pro aplikaci byste neměli vytvářet samostatné sady zásad, protože jejich správa může být těžkopádná. Microsoft doporučuje seskupovat aplikace, které mají stejné požadavky na ochranu pro stejné uživatele.
Máte například jednu sadu zásad, které zahrnují všechny aplikace Microsoft 365 pro všechny uživatele pro ochranu výchozích bodů. Mít druhou sadu zásad pro všechny citlivé aplikace, například ty, které používají lidské zdroje nebo finanční oddělení, a použít je pro tyto skupiny.
Jakmile určíte sadu zásad pro aplikace, které chcete zabezpečit, postupně je zaváděte pro uživatele a postupně vyřešte problémy. Příklady:
- Nakonfigurujte zásady, které chcete použít pro všechny aplikace Microsoft 365.
- Přidejte just Exchange s požadovanými změnami, zaváďte zásady pro uživatele a pracujte s případnými problémy.
- Přidejte Teams s požadovanými změnami, zaváděte zásady pro uživatele a projděte si všechny problémy.
- Přidejte SharePoint s požadovanými změnami, zaváďte zásady pro uživatele a vyřešte případné problémy.
- Pokračujte v přidávání zbývajících aplikací, dokud nebudete moct s jistotou nakonfigurovat tyto zásady výchozího bodu tak, aby zahrnovaly všechny aplikace Microsoftu 365.
Podobně pro citlivé aplikace vytvořte sadu zásad a přidejte postupně jednu aplikaci. Projděte si všechny problémy, dokud nebudou zahrnuté v sadě citlivých zásad aplikací.
Microsoft doporučuje, abyste nevytvládali sady zásad, které se vztahují na všechny aplikace, protože to může vést k nezamýšleným konfiguracím. Například zásady, které blokují všechny aplikace, můžou uzamknout správce mimo Centrum pro správu Microsoft Entra a vyloučení se nedají nakonfigurovat pro důležité koncové body, jako je Microsoft Graph.
Postup konfigurace identity nulová důvěra (Zero Trust) a přístupu k zařízení
- Nakonfigurujte požadované funkce identit a jejich nastavení.
- Nakonfigurujte běžné zásady podmíněného přístupu a identity.
- Nakonfigurujte zásady podmíněného přístupu pro hosta a externí uživatele.
- Nakonfigurujte zásady podmíněného přístupu pro cloudové aplikace Microsoft 365, jako jsou Microsoft Teams, Exchange a SharePoint, a zásady Microsoft Defender for Cloud Apps.
Po nakonfigurování nulová důvěra (Zero Trust) identity a přístupu k zařízením najdete v průvodci nasazením funkcí Microsoft Entra kontrolní seznam dalších funkcí, které je potřeba zvážit a Microsoft Entra ID Governance pro ochranu, monitorování a audit přístupu.
Další krok
Předpoklady pro implementaci zásad přístupu nulová důvěra (Zero Trust) identit a zařízení
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro