Předpoklady pro implementaci zásad přístupu nulová důvěra (Zero Trust) identit a zařízení
Tento článek popisuje požadavky, které musí správci splnit, aby mohli používat doporučené zásady nulová důvěra (Zero Trust) identit a přístupu zařízení a aby mohli používat podmíněný přístup. Popisuje také doporučené výchozí hodnoty pro konfiguraci klientských platforem pro nejlepší jednotné přihlašování (SSO).
Požadavky
Před použitím doporučených zásad nulová důvěra (Zero Trust) identit a přístupu zařízení musí vaše organizace splňovat požadavky. Požadavky na různé uvedené modely identit a ověřování se liší:
- Jenom v cloudu
- Hybridní ověřování se synchronizací hodnot hash hesel (PHS)
- Hybridní s předávacím ověřováním (PTA)
- Federované
Následující tabulka podrobně popisuje požadované funkce a jejich konfiguraci, které platí pro všechny modely identit, s výjimkou uvedených případů.
| Konfigurace | Výjimky | Licencování |
|---|---|---|
| Nakonfigurujte PHS. Tato funkce musí být povolená, aby bylo možné detekovat uniklé přihlašovací údaje a pracovat s nimi při podmíněném přístupu založeném na riziku. Poznámka: To se vyžaduje bez ohledu na to, jestli vaše organizace používá federované ověřování. | Jenom v cloudu | Microsoft 365 E3 nebo E5 |
| Povolte bezproblémové jednotné přihlašování pro automatické přihlašování uživatelů, kteří jsou na zařízeních organizace připojených k síti vaší organizace. | Pouze cloudové a federované | Microsoft 365 E3 nebo E5 |
| Nakonfigurujte pojmenovaná umístění. Microsoft Entra ID Protection shromažďuje a analyzuje všechna dostupná data relací, aby vygenerovala rizikové skóre. Doporučujeme zadat rozsahy veřejných IP adres vaší organizace pro vaši síť v konfiguraci Microsoft Entra ID pojmenovaných umístění. Provoz přicházející z těchto rozsahů má nižší rizikové skóre a provoz mimo prostředí organizace má vyšší rizikové skóre. | Microsoft 365 E3 nebo E5 | |
| Zaregistrujte všechny uživatele pro samoobslužné resetování hesla (SSPR) a vícefaktorové ověřování (MFA) Doporučujeme předem zaregistrovat uživatele pro Microsoft Entra vícefaktorové ověřování. Microsoft Entra ID Protection k dalšímu ověření zabezpečení využívá vícefaktorové ověřování Microsoft Entra. Kromě toho doporučujeme, aby si uživatelé na svých zařízeních nainstalovali aplikaci Microsoft Authenticator a aplikaci Microsoft Portál společnosti. Ty je možné nainstalovat z App Storu pro každou platformu. | Microsoft 365 E3 nebo E5 | |
| Naplánujte Microsoft Entra implementaci hybridního připojení. Podmíněný přístup zajistí, aby zařízení, která se připojují k aplikacím, byla připojená k doméně nebo dodržovala předpisy. Aby se to podporovalo na počítačích s Windows, musí být zařízení zaregistrované v Microsoft Entra ID. Tento článek popisuje, jak nakonfigurovat automatickou registraci zařízení. | Jenom v cloudu | Microsoft 365 E3 nebo E5 |
| Připravte svůj tým podpory. Vytvořte plán pro uživatele, kteří nemůžou dokončit vícefaktorové ověřování. Může to být jejich přidání do skupiny vyloučení zásad nebo registrace nových informací o vícefaktorovém ověřování. Než provedete některou z těchto změn citlivých na zabezpečení, musíte se ujistit, že žádost provádí skutečný uživatel. Vyžadování pomoci se schválením od manažerů uživatelů je efektivní krok. | Microsoft 365 E3 nebo E5 | |
| Nakonfigurujte zpětný zápis hesla do místní služby AD. Zpětný zápis hesla umožňuje Microsoft Entra ID vyžadovat, aby uživatelé při zjištění vysoce rizikového ohrožení zabezpečení účtu změnili svá místní hesla. Tuto funkci můžete povolit pomocí nástroje Microsoft Entra Connect jedním ze dvou způsobů: buď povolit zpětný zápis hesla na obrazovce volitelných funkcí nastavení Microsoft Entra Connect, nebo ho povolit prostřednictvím Windows PowerShell. | Jenom v cloudu | Microsoft 365 E3 nebo E5 |
| Nakonfigurujte ochranu Microsoft Entra heslem. Microsoft Entra Ochrana heslem detekuje a blokuje známá slabá hesla a jejich varianty a může také blokovat další slabé termíny, které jsou specifické pro vaši organizaci. Výchozí globální seznamy zakázaných hesel se automaticky použijí pro všechny uživatele v tenantovi Microsoft Entra. Další položky můžete definovat ve vlastním seznamu zakázaných hesel. Když uživatelé změní nebo resetují svá hesla, zaškrtnou se tyto seznamy zakázaných hesel, aby se vynutila použití silných hesel. | Microsoft 365 E3 nebo E5 | |
| Povolte Microsoft Entra ID Protection. Microsoft Entra ID Protection umožňuje detekovat potenciální ohrožení zabezpečení ovlivňující identity vaší organizace a nakonfigurovat zásady automatizované nápravy na nízké, střední a vysoké riziko přihlášení a rizika uživatelů. | Microsoft 365 E5 nebo Microsoft 365 E3 s doplňkem Zabezpečení E5 | |
| Povolte moderní ověřování pro Exchange Online a pro Skype pro firmy Online. Moderní ověřování je předpokladem pro použití vícefaktorového ověřování. Moderní ověřování je ve výchozím nastavení povolené pro klienty Office 2016 a 2019, SharePoint a OneDrive pro firmy. | Microsoft 365 E3 nebo E5 | |
| Povolte průběžné vyhodnocování přístupu pro Microsoft Entra ID. Průběžné vyhodnocování přístupu proaktivně ukončuje aktivní uživatelské relace a vynucuje změny zásad tenanta téměř v reálném čase. | Microsoft 365 E3 nebo E5 |
Doporučené konfigurace klientů
Tato část popisuje výchozí konfigurace klientů platformy, které doporučujeme k zajištění nejlepšího prostředí jednotného přihlašování pro vaše uživatele, a také technické předpoklady pro podmíněný přístup.
Zařízení s Windows
Doporučujeme Windows 11 nebo Windows 10 (verze 2004 nebo novější), protože Azure je navržený tak, aby poskytoval co nejplynulejší možnosti jednotného přihlašování pro místní i Microsoft Entra ID. Pracovní nebo školní zařízení by měla být nakonfigurovaná tak, aby se připojovala přímo k Microsoft Entra ID nebo pokud organizace používá místní připojení k doméně AD, měla by být tato zařízení nakonfigurovaná tak, aby se automaticky a bezobslužně registrovala u Microsoft Entra ID.
U zařízení s Windows BYOD můžou uživatelé použít možnost Přidat pracovní nebo školní účet. Upozorňujeme, že uživatelé prohlížeče Google Chrome na Windows 11 nebo Windows 10 zařízeních si musí nainstalovat rozšíření, aby získali stejné bezproblémové přihlašování jako uživatelé Microsoft Edge. Pokud má vaše organizace zařízení Windows 8 nebo 8.1 připojená k doméně, můžete také nainstalovat microsoft Workplace Join pro počítače, které nejsou Windows 10. Stáhněte si balíček a zaregistrujte zařízení do Microsoft Entra ID.
Zařízení s iOSem
Před nasazením zásad podmíněného přístupu nebo vícefaktorového ověřování doporučujeme nainstalovat aplikaci Microsoft Authenticator na uživatelská zařízení. Aplikace by se měla nainstalovat minimálně tehdy, když se uživatelům zobrazí výzva k registraci zařízení v Microsoft Entra ID přidáním pracovního nebo školního účtu nebo když si nainstalují aplikaci portálu společnosti Intune, aby zařízení zaregistrovali do správy. To závisí na nakonfigurovaných zásadách podmíněného přístupu.
Zařízení s Androidem
Doporučujeme uživatelům nainstalovat aplikaci Portál společnosti Intune a aplikaci Microsoft Authenticator před nasazením zásad podmíněného přístupu nebo v případě potřeby při určitých pokusech o ověření. Po instalaci aplikace se uživatelům může zobrazit výzva, aby se zaregistrovali v Microsoft Entra ID nebo zaregistrovali své zařízení pomocí Intune. To závisí na nakonfigurovaných zásadách podmíněného přístupu.
Doporučujeme také, aby zařízení vlastněná organizací byla standardizována pro výrobce OEM a verze, které podporují Android for Work nebo Samsung Knox, aby bylo možné e-mailové účty spravovat a chránit pomocí zásad Intune MDM.
Doporučené e-mailové klienty
Následující e-mailové klienty podporují moderní ověřování a podmíněný přístup.
| Platforma | Client | Verze/poznámky |
|---|---|---|
| Windows | Outlook | 2019, 2016 |
| iOS | Outlook pro iOS | Nejnovější |
| Android | Outlook pro Android | Nejnovější |
| macOS | Outlook | 2019 a 2016 |
| Linux | Není podporováno |
Doporučené klientské platformy při zabezpečení dokumentů
Při použití zásady zabezpečených dokumentů se doporučují následující klienti.
| Platforma | Word/Excel/PowerPoint | OneNote | Aplikace OneDrive | Aplikace SharePoint | synchronizační aplikace OneDrivu klient |
|---|---|---|---|---|---|
| Windows 11 nebo Windows 10 | Podporováno | Podporováno | Není k dispozici. | Není k dispozici. | Podporováno |
| Windows 8.1 | Podporováno | Podporováno | Není k dispozici. | Není k dispozici. | Podporováno |
| Android | Podporováno | Podporováno | Podporováno | Podporováno | Není k dispozici. |
| iOS | Podporováno | Podporováno | Podporováno | Podporováno | Není k dispozici. |
| macOS | Podporováno | Podporováno | Není k dispozici. | Není k dispozici. | Není podporováno |
| Linux | Není podporováno | Není podporováno | Není podporováno | Není podporováno | Není podporováno |
Podpora klienta Microsoft 365
Další informace o podpoře klientů v Microsoftu 365 najdete v následujících článcích:
- Podpora klientských aplikací Microsoft 365 – Podmíněný přístup
- Podpora klientských aplikací Microsoft 365 – vícefaktorové ověřování
Ochrana účtů správců
U Microsoft 365 E3 nebo E5 nebo se samostatnými licencemi Microsoft Entra ID P1 nebo P2 můžete vyžadovat vícefaktorové ověřování pro účty správců s ručně vytvořenými zásadami podmíněného přístupu. Podrobnosti najdete v tématu Podmíněný přístup: Vyžadování vícefaktorového ověřování pro správce .
Pro edice Microsoftu 365 nebo Office 365, které nepodporují podmíněný přístup, můžete povolit výchozí nastavení zabezpečení tak, aby vyžadovalo vícefaktorové ověřování pro všechny účty.
Tady je několik dalších doporučení:
- Pomocí Microsoft Entra Privileged Identity Management snižte počet trvalých účtů pro správu.
- Pomocí správy privilegovaného přístupu můžete chránit vaši organizaci před porušeními zabezpečení, která můžou využívat stávající privilegované účty správce se stálým přístupem k citlivým datům nebo přístupem k důležitým nastavením konfigurace.
- Create a používat samostatné účty, které mají přiřazené role správce Microsoftu 365jenom pro správu. Správci by měli mít vlastní uživatelský účet pro běžné použití, které není správcem, a účet správce používat pouze v případě, že je to nutné k dokončení úkolu přidruženého k jejich roli nebo funkci úlohy.
- Postupujte podle osvědčených postupů pro zabezpečení privilegovaných účtů v Microsoft Entra ID.
Další krok
Konfigurace běžných zásad nulová důvěra (Zero Trust) identit a přístupu zařízení
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro