Požadavky na implementaci zásad identit nulová důvěra (Zero Trust) a přístupu zařízení
Tento článek popisuje požadavky, které musí správci splnit, aby mohli používat doporučené zásady nulová důvěra (Zero Trust) identit a přístupu zařízení a používat podmíněný přístup. Probírá také doporučené výchozí hodnoty pro konfiguraci klientských platforem pro nejlepší jednotné přihlašování (SSO).
Požadavky
Než začnete používat doporučené zásady přístupu k identitě a zařízení nulová důvěra (Zero Trust), musí vaše organizace splnit požadavky. Požadavky se liší pro různé uvedené modely identit a ověřování:
- Výhradně cloudový
- Hybridní s ověřováním PHS (Password Hash Sync)
- Hybridní s předávacím ověřováním (PTA)
- Federovaní
Následující tabulka obsahuje podrobnosti o požadovaných funkcích a jejich konfiguraci, které platí pro všechny modely identit, s výjimkou případů, kdy je uvedeno.
| Konfigurace | Výjimky | Licencování |
|---|---|---|
| Nakonfigurujte PHS. Tato funkce musí být povolená k detekci nevracených přihlašovacích údajů a k jejich provedení pro podmíněný přístup založený na riziku. Mějte na paměti, že to vyžaduje bez ohledu na to, jestli vaše organizace používá federované ověřování. | Výhradně cloudový | Microsoft 365 E3 nebo E5 |
| Povolte bezproblémové jednotné přihlašování , aby se uživatelé automaticky přihlásili, když jsou na zařízeních organizace připojených k síti vaší organizace. | Pouze cloud a federovaný | Microsoft 365 E3 nebo E5 |
| Nakonfigurujte pojmenovaná umístění. Microsoft Entra ID Protection shromažďuje a analyzuje všechna dostupná data relací za účelem vygenerování rizikového skóre. Doporučujeme zadat rozsahy veřejných IP adres vaší organizace pro vaši síť v konfiguraci pojmenovaných umístění Microsoft Entra ID. Provoz přicházející z těchto rozsahů má nižší skóre rizika a provoz mimo prostředí organizace má vyšší skóre rizika. | Microsoft 365 E3 nebo E5 | |
| Zaregistrujte všechny uživatele pro samoobslužné resetování hesla (SSPR) a vícefaktorové ověřování (MFA). Doporučujeme předem zaregistrovat uživatele pro vícefaktorové ověřování Microsoft Entra. Microsoft Entra ID Protection využívá vícefaktorové ověřování Microsoft Entra k provedení dalšího ověření zabezpečení. Kromě toho doporučujeme, aby si uživatelé nainstalovali aplikaci Microsoft Authenticator a aplikaci Microsoft Portál společnosti na svá zařízení. Ty se dají nainstalovat z App Storu pro každou platformu. | Microsoft 365 E3 nebo E5 | |
| Naplánujte implementaci hybridního připojení Microsoft Entra. Podmíněný přístup zajistí, že zařízení připojená k aplikacím jsou připojená k doméně nebo dodržují předpisy. Aby to bylo možné podporovat na počítačích s Windows, musí být zařízení zaregistrované v Microsoft Entra ID. Tento článek popisuje, jak nakonfigurovat automatickou registraci zařízení. | Výhradně cloudový | Microsoft 365 E3 nebo E5 |
| Připravte tým podpory. Máte plán pro uživatele, kteří nemůžou dokončit vícefaktorové ověřování. Může se jednat o jejich přidání do skupiny vyloučení zásad nebo registraci nových informací o vícefaktorovém ověřování. Než provedete některou z těchto změn citlivých na zabezpečení, musíte zajistit, aby daný uživatel žádost udělal. Vyžadování správců uživatelů, aby pomohli se schválením, je účinný krok. | Microsoft 365 E3 nebo E5 | |
| Nakonfigurujte zpětný zápis hesla do místní služby AD. Zpětný zápis hesla umožňuje microsoftu Entra ID vyžadovat, aby uživatelé při zjištění ohrožení zabezpečení účtu s vysokým rizikem změnili svá místní hesla. Tuto funkci můžete povolit pomocí microsoft Entra Připojení jedním ze dvou způsobů: buď povolit zpětný zápis hesla na obrazovce volitelných funkcí instalace Microsoft Entra Připojení, nebo ji povolit přes Windows PowerShell. | Výhradně cloudový | Microsoft 365 E3 nebo E5 |
| Nakonfigurujte ochranu heslem Microsoft Entra. Microsoft Entra Password Protection detekuje a blokuje známá slabá hesla a jejich varianty a může také blokovat další slabé termíny, které jsou specifické pro vaši organizaci. Výchozí globální seznamy zakázaných hesel se automaticky použijí pro všechny uživatele v tenantovi Microsoft Entra. Můžete definovat další položky ve vlastním seznamu zakázaných hesel. Když uživatelé změní nebo resetují svá hesla, zkontrolují se tyto seznamy zakázaných hesel, aby bylo možné vynutit použití silných hesel. | Microsoft 365 E3 nebo E5 | |
| Povolte microsoft Entra ID Protection. Microsoft Entra ID Protection umožňuje detekovat potenciální ohrožení zabezpečení ovlivňující identity vaší organizace a nakonfigurovat zásady automatizované nápravy na nízké, střední a vysoké riziko přihlašování a rizika uživatelů. | Microsoft 365 E5 nebo Microsoft 365 E3 s doplňkem E5 Security | |
| Povolte moderní ověřování pro Exchange Online a pro Skype pro firmy Online. Moderní ověřování je předpokladem pro použití vícefaktorového ověřování. Moderní ověřování je ve výchozím nastavení povolené pro klienty Office 2016 a 2019, SharePoint a OneDrive pro firmy. | Microsoft 365 E3 nebo E5 | |
| Povolte průběžné vyhodnocování přístupu pro Microsoft Entra ID. Průběžné vyhodnocování přístupu aktivně ukončí aktivní relace uživatelů a vynucuje změny zásad tenanta téměř v reálném čase. | Microsoft 365 E3 nebo E5 |
Doporučené konfigurace klientů
Tato část popisuje výchozí konfigurace klientů platformy, které doporučujeme zajistit uživatelům nejlepší prostředí jednotného přihlašování a také technické požadavky na podmíněný přístup.
Zařízení Windows
Doporučujeme Windows 11 nebo Windows 10 (verze 2004 nebo novější), protože Azure je navržený tak, aby poskytoval co nejhladší možnosti jednotného přihlašování pro místní i Microsoft Entra ID. Pracovní nebo školní zařízení by měla být nakonfigurovaná tak, aby se připojila přímo k Microsoft Entra ID nebo pokud organizace používá místní připojení k doméně AD, měla by být tato zařízení nakonfigurovaná tak, aby se automaticky a bezobslužně registrovala pomocí Microsoft Entra ID.
V případě zařízení s Windows byOD můžou uživatelé použít možnost Přidat pracovní nebo školní účet. Upozorňujeme, že uživatelé prohlížeče Google Chrome na zařízeních s Windows 11 nebo Windows 10 musí nainstalovat rozšíření , aby získali stejné bezproblémové přihlašování jako uživatelé Microsoft Edge. Pokud má vaše organizace zařízení s Windows 8 nebo 8.1 připojená k doméně, můžete nainstalovat Microsoft Workplace Join pro počítače s jiným systémem než Windows 10. Stáhněte balíček a zaregistrujte zařízení pomocí Microsoft Entra ID.
Zařízení iOS
Před nasazením zásad podmíněného přístupu nebo vícefaktorového ověřování doporučujeme nainstalovat aplikaci Microsoft Authenticator na uživatelská zařízení. Minimálně by se měla aplikace nainstalovat, když se uživatelům zobrazí výzva k registraci zařízení v Microsoft Entra ID přidáním pracovního nebo školního účtu nebo při instalaci aplikace Portál společnosti Intune pro registraci zařízení do správy. To závisí na nakonfigurovaných zásadách podmíněného přístupu.
Zařízení Android
Doporučujeme uživatelům nainstalovat aplikaci Portál společnosti Intune a aplikaci Microsoft Authenticator před nasazením zásad podmíněného přístupu nebo v případě potřeby během určitých pokusů o ověření. Po instalaci aplikace můžou být uživatelé požádáni o registraci v Microsoft Entra ID nebo registraci zařízení v Intune. To závisí na nakonfigurovaných zásadách podmíněného přístupu.
Doporučujeme také, aby zařízení vlastněná organizací byla standardizována v OEM a verzích, které podporují Android for Work nebo Samsung Knox, aby umožňovala správu a ochranu poštovních účtů pomocí zásad MDM Intune.
Doporučené e-mailové klienty
Následující e-mailové klienty podporují moderní ověřování a podmíněný přístup.
| Platforma | Klient | Verze/poznámky |
|---|---|---|
| Windows | Outlook | 2019, 2016 |
| iOS | Outlook pro iOS | Nejnovější |
| Android | Outlook pro Android | Nejnovější |
| macOS | Outlook | 2019 a 2016 |
| Linux | Nepodporováno |
Doporučené klientské platformy při zabezpečení dokumentů
Následující klienti se doporučují při použití zásad zabezpečených dokumentů.
| Platforma | Word, Excel nebo PowerPoint | OneNote | Aplikace OneDrive | SharePoint App | klient synchronizační aplikace OneDrivu |
|---|---|---|---|---|---|
| Windows 11 nebo Windows 10 | Podporováno | Podporováno | – | N/A | Podporováno |
| Windows 8.1 | Podporováno | Podporováno | – | N/A | Podporováno |
| Android | Podporováno | Podporováno | Podporováno | Podporováno | – |
| iOS | Podporováno | Podporováno | Podporováno | Podporováno | – |
| macOS | Podporováno | Podporováno | – | N/A | Nepodporováno |
| Linux | Nepodporováno | Nepodporováno | Nepodporováno | Nepodporováno | Nepodporováno |
Podpora klientů Microsoftu 365
Další informace o podpoře klientů v Microsoftu 365 najdete v následujících článcích:
- Podpora klientských aplikací Microsoftu 365 – Podmíněný přístup
- Podpora klientských aplikací Microsoft 365 – vícefaktorové ověřování
Ochrana účtů správce
Pro Microsoft 365 E3 nebo E5 nebo s samostatnými licencemi Microsoft Entra ID P1 nebo P2 můžete vyžadovat vícefaktorové ověřování pro účty správců s ručně vytvořenými zásadami podmíněného přístupu. Podrobnosti najdete v tématu Podmíněný přístup: Vyžaduje vícefaktorové ověřování pro správce .
U edic Microsoft 365 nebo Office 365, které nepodporují podmíněný přístup, můžete povolit výchozí nastavení zabezpečení tak, aby vyžadovalo vícefaktorové ověřování pro všechny účty.
Tady je několik dalších doporučení:
- Ke snížení počtu trvalých účtů pro správu použijte Microsoft Entra Privileged Identity Management .
- Pomocí správy privilegovaného přístupu můžete chránit vaši organizaci před porušením zabezpečení, které můžou používat stávající účty privilegovaných správců s trvalým přístupem k citlivým datům nebo přístupu k důležitým nastavením konfigurace.
- Vytvořte a používejte samostatné účty, které mají přiřazené rolesprávce Microsoftu 365 jenom pro správu. Správa by měli mít svůj vlastní uživatelský účet pro běžné použití bez oprávnění správce a k dokončení úkolu přidruženého k jejich roli nebo funkci úlohy používejte jenom účet správce.
- Dodržujte osvědčené postupy pro zabezpečení privilegovaných účtů v Microsoft Entra ID.
Další krok
Konfigurace běžných zásad identit nulová důvěra (Zero Trust) a přístupu zařízení
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro