Sdílet prostřednictvím


nulová důvěra (Zero Trust) plánu nasazení s Microsoftem 365

Tento článek obsahuje plán nasazení pro vytváření nulová důvěra (Zero Trust) zabezpečení v Microsoftu 365. nulová důvěra (Zero Trust) je nový model zabezpečení, který předpokládá porušení zabezpečení a ověřuje každý požadavek, jako by pocházel z nekontrolované sítě. Bez ohledu na to, odkud žádost pochází nebo k jakému prostředku přistupuje, nás model nulová důvěra (Zero Trust) učí" nikdy nedůvěřovat, vždy ověřovat.

Tento článek použijte společně s tímto plakátem.

Položka Popis
Obrázek plánu nasazení Microsoft 365 nulová důvěra (Zero Trust)
PDF | Aplikace visio
Aktualizováno březen 2024
Průvodci souvisejícími řešeními

architektura zabezpečení nulová důvěra (Zero Trust)

Přístup nulová důvěra (Zero Trust) se vztahuje na celou digitální aktiva a slouží jako integrovaná filozofie zabezpečení a ucelená strategie.

Tento obrázek znázorňuje primární prvky, které přispívají k nulová důvěra (Zero Trust).

Architektura zabezpečení nulová důvěra (Zero Trust)

Na obrázku:

  • Vynucování zásad zabezpečení je v centru architektury nulová důvěra (Zero Trust). To zahrnuje vícefaktorové ověřování pomocí podmíněného přístupu, které bere v úvahu riziko uživatelského účtu, stav zařízení a další kritéria a zásady, které nastavíte.
  • Identity, zařízení, data, aplikace, síť a další součásti infrastruktury jsou nakonfigurované s odpovídajícím zabezpečením. Zásady nakonfigurované pro každou z těchto komponent jsou koordinovány s vaší celkovou strategií nulová důvěra (Zero Trust). Například zásady zařízení určují kritéria pro zařízení, která jsou v pořádku, a zásady podmíněného přístupu vyžadují pro přístup ke konkrétním aplikacím a datům zařízení, která jsou v pořádku.
  • Ochrana před hrozbami a inteligentní funkce monitorují prostředí, zmišují aktuální rizika a provádějí automatizované akce k nápravě útoků.

Další informace o nulová důvěra (Zero Trust) najdete v centru microsoftu s pokyny pro nulová důvěra (Zero Trust).

Nasazení nulová důvěra (Zero Trust) pro Microsoft 365

Microsoft 365 je záměrně vytvořený s mnoha funkcemi zabezpečení a ochrany informací, které vám pomůžou začlenit nulová důvěra (Zero Trust) do vašeho prostředí. Mnohé z těchto možností je možné rozšířit tak, aby chránily přístup k dalším aplikacím SaaS, které vaše organizace používá, a datům v těchto aplikacích.

Tento obrázek znázorňuje práci s nasazením funkcí nulová důvěra (Zero Trust). Tato práce je rozdělená do jednotek práce, které je možné nakonfigurovat společně, odspodu až po shora, aby se zajistilo dokončení požadované práce.

Diagram znázorňující zásobník nasazení Microsoft 365 nulová důvěra (Zero Trust)

Na tomto obrázku:

  • nulová důvěra (Zero Trust) začíná základem ochrany identit a zařízení.
  • Na tomto základu jsou postaveny možnosti ochrany před hrozbami, které poskytují monitorování a nápravu bezpečnostních hrozeb v reálném čase.
  • Ochrana informací a zásady správného řízení poskytují sofistikované kontroly zaměřené na konkrétní typy dat, které chrání vaše nejcennější informace a pomáhají vám dodržovat standardy dodržování předpisů, včetně ochrany osobních údajů.

Tento článek předpokládá, že používáte cloudovou identitu. Pokud potřebujete poradit s tímto cílem, přečtěte si téma Nasazení infrastruktury identit pro Microsoft 365.

Tip

Pokud rozumíte krokům a procesu kompletního nasazení, můžete při přihlášení k Centrum pro správu Microsoftu 365 použít průvodce nastavením pokročilého nasazení modelu zabezpečení Microsoft nulová důvěra (Zero Trust). Tento průvodce vás provede uplatněním nulová důvěra (Zero Trust) principů standardních a pokročilých technologických pilířů. Pokud chcete průvodce procházet bez přihlášení, přejděte na portál Pro nastavení Microsoftu 365.

Krok 1: Konfigurace identity nulová důvěra (Zero Trust) a ochrany přístupu zařízení: Zásady výchozího bodu

Prvním krokem je vytvoření základu nulová důvěra (Zero Trust) konfigurací identity a ochrany přístupu zařízení.

Diagram znázorňující proces konfigurace identity nulová důvěra (Zero Trust) a ochrany přístupu zařízení

Podrobné pokyny najdete v tématu nulová důvěra (Zero Trust) identita a ochrana přístupu zařízení. Tato série článků popisuje sadu požadovaných konfigurací identit a přístupu k zařízením a sadu Microsoft Entra podmíněného přístupu, Microsoft Intune a dalších zásad pro zabezpečení přístupu k Microsoftu 365 pro podnikové cloudové aplikace a služby, další služby SaaS a místní aplikace publikované pomocí aplikace Microsoft Entra. Proxy.

Zahrnuje Požadavky Nezahrnuje
Doporučené zásady přístupu k identitám a zařízením pro tři úrovně ochrany:
  • Bodem
  • Enterprise (doporučeno)
  • Specializované

Další doporučení pro:
  • Externí uživatelé (hosté)
  • Microsoft Teams
  • SharePoint Online
  • Microsoft Defender for Cloud Apps
Microsoft E3 nebo E5

Microsoft Entra ID v některém z těchto režimů:
  • Jenom v cloudu
  • Hybridní ověřování se synchronizací hodnot hash hesel (PHS)
  • Hybridní s předávacím ověřováním (PTA)
  • Federované
Registrace zařízení pro zásady, které vyžadují spravovaná zařízení. Viz krok 2. Správa koncových bodů pomocí Intune pro registraci zařízení

Začněte implementací úrovně počátečního bodu. Tyto zásady nevyžadují registraci zařízení ve správě.

Diagram znázorňující zásady nulová důvěra (Zero Trust) identit a přístupu pro úroveň Počáteční bod

Krok 2: Správa koncových bodů pomocí Intune

V dalším kroku zaregistrujte svá zařízení do systému správy a začněte je chránit sofistikovanějšími ovládacími prvky.

Diagram znázorňující element Spravovat koncové body pomocí Intune

Podrobné pokyny najdete v tématu Správa zařízení pomocí Intune.

Zahrnuje Požadavky Nezahrnuje
Registrace zařízení pomocí Intune:
  • Zařízení vlastněná společností
  • Autopilot/ automatizované
  • Zápisu

Konfigurace zásad:
  • Zásady ochrany aplikací
  • Zásady dodržování předpisů
  • Zásady profilu zařízení
Registrace koncových bodů pomocí Microsoft Entra ID Konfigurace možností ochrany informací, včetně:
  • Typy citlivých informací
  • Popisky
  • Zásady ochrany před únikem informací

Informace o těchto možnostech najdete v kroku 5. Ochrana a řízení citlivých dat (dále v tomto článku)

Další informace najdete v tématu nulová důvěra (Zero Trust) pro Microsoft Intune.

Krok 3: Přidání identity nulová důvěra (Zero Trust) a ochrany přístupu zařízení: Podnikové zásady

Se zařízeními zaregistrovanými do správy teď můžete implementovat úplnou sadu doporučených zásad nulová důvěra (Zero Trust) identit a přístupu k zařízením, které vyžadují zařízení vyhovující předpisům.

Nulová důvěra (Zero Trust) identit a zásad přístupu pomocí správy zařízení

Vraťte se do části Běžné zásady přístupu k identitám a zařízením a přidejte zásady na úrovni Enterprise.

Diagram znázorňující zásady nulová důvěra (Zero Trust) identit a přístupu pro úroveň Enterprise (doporučeno)

Krok 4: Vyhodnocení, nasazení a nasazení Microsoft Defender XDR

Microsoft Defender XDR je řešení rozšířené detekce a reakce (XDR), které automaticky shromažďuje, koreluje a analyzuje data o signálech, hrozbách a výstrahách z prostředí Microsoftu 365, včetně koncových bodů, e-mailu, aplikací a identit.

Proces přidání Microsoft Defender XDR do architektury nulová důvěra (Zero Trust)

V části Vyhodnocení a pilotní Microsoft Defender XDR najdete metodickou příručku k pilotnímu nasazení a nasazení komponent Microsoft Defender XDR.

Zahrnuje Požadavky Nezahrnuje
Nastavte prostředí pro vyhodnocení a pilotní nasazení pro všechny komponenty:
  • Defender for Identity
  • Defender for Office 365
  • Defender for Endpoint
  • Microsoft Defender for Cloud Apps

Ochrana před hrozbami

Prošetřování hrozeb a reakce na ně
Informace o požadavcích na architekturu pro jednotlivé komponenty Microsoft Defender XDR najdete v doprovodných materiálech. Microsoft Entra ID Protection není součástí tohoto průvodce řešením. Je součástí kroku 1. Nakonfigurujte identitu nulová důvěra (Zero Trust) a ochranu přístupu zařízení.

Další informace najdete v těchto dalších článcích nulová důvěra (Zero Trust):

Krok 5: Ochrana a řízení citlivých dat

Implementujte Microsoft Purview Information Protection, které vám pomůžou zjišťovat, klasifikovat a chránit citlivé informace bez ohledu na to, kde žijí nebo cestují.

Microsoft Purview Information Protection funkce jsou součástí Microsoft Purview a poskytují vám nástroje, které vám umožní znát vaše data, chránit data a zabránit jejich ztrátě.

Možnosti ochrany informací chránící data prostřednictvím vynucování zásad

I když je tato práce reprezentována v horní části zásobníku nasazení, jak je znázorněno výše v tomto článku, můžete ji kdykoli zahájit.

Microsoft Purview Information Protection poskytuje architekturu, proces a možnosti, které můžete použít k dosažení konkrétních obchodních cílů.

Microsoft Purview – ochrana informací

Další informace o plánování a nasazení ochrany informací najdete v tématu Nasazení řešení Microsoft Purview Information Protection.

Pokud nasazujete ochranu informací pro předpisy o ochraně osobních údajů dat, tento průvodce řešením poskytuje doporučený rámec pro celý proces: Nasazení ochrany informací pro předpisy o ochraně osobních údajů dat s Microsoftem 365.