nulová důvěra (Zero Trust) plánu nasazení s Microsoftem 365

Tento článek obsahuje plán nasazení pro vytváření zabezpečení nulová důvěra (Zero Trust) v Microsoftu 365. nulová důvěra (Zero Trust) je nový model zabezpečení, který předpokládá porušení zabezpečení a ověřuje každý požadavek, jako by pocházel z nekontrolované sítě. Bez ohledu na to, odkud žádost pochází nebo k jakému prostředku přistupuje, nás model nulová důvěra (Zero Trust) učí" nikdy nedůvěřovat, vždy ověřovat.

Tento článek použijte společně s tímto plakátem.

Položky	Popis
PDF | Aplikace visio Aktualizováno v únoru 2023	Průvodci souvisejícími řešeními Nasazení infrastruktury identit pro Microsoft 365 Doporučené konfigurace identit a přístupu k zařízením Správa zařízení pomocí Intune Vyhodnocení a pilotní nasazení Microsoft 365 Defenderu Nasazení řešení ochrany informací pomocí Microsoft Purview Nasazení ochrany informací pro předpisy o ochraně osobních údajů v Microsoftu 365

architektura zabezpečení nulová důvěra (Zero Trust)

Přístup nulová důvěra (Zero Trust) se vztahuje na celou digitální aktiva a slouží jako integrovaná filozofie zabezpečení a ucelená strategie.

Tento obrázek znázorňuje primární prvky, které přispívají k nulová důvěra (Zero Trust).

Na obrázku:

• Vynucování zásad zabezpečení je v centru architektury nulová důvěra (Zero Trust). To zahrnuje vícefaktorové ověřování s podmíněným přístupem, které bere v úvahu riziko uživatelského účtu, stav zařízení a další kritéria a zásady, které nastavíte.
• Identity, zařízení, data, aplikace, síť a další součásti infrastruktury jsou nakonfigurované s odpovídajícím zabezpečením. Zásady nakonfigurované pro každou z těchto komponent jsou koordinovány s vaší celkovou strategií nulová důvěra (Zero Trust). Například zásady zařízení určují kritéria pro zařízení, která jsou v pořádku, a zásady podmíněného přístupu vyžadují pro přístup ke konkrétním aplikacím a datům zařízení, která jsou v pořádku.
• Ochrana před hrozbami a inteligentní funkce monitorují prostředí, zmišují aktuální rizika a provádějí automatizované akce k nápravě útoků.

Další informace o nulová důvěra (Zero Trust) najdete v centru microsoftu s pokyny pro nulová důvěra (Zero Trust).

Nasazení nulová důvěra (Zero Trust) pro Microsoft 365

Microsoft 365 je záměrně vytvořený s mnoha funkcemi zabezpečení a ochrany informací, které vám pomůžou začlenit nulová důvěra (Zero Trust) do vašeho prostředí. Mnohé z těchto možností je možné rozšířit tak, aby chránily přístup k dalším aplikacím SaaS, které vaše organizace používá, a datům v těchto aplikacích.

Tento obrázek znázorňuje práci s nasazením funkcí nulová důvěra (Zero Trust). Tato práce je rozdělená do jednotek práce, které je možné nakonfigurovat společně, počínaje zdola a nahoru, aby se zajistilo, že je požadovaná práce dokončena.

Na tomto obrázku:

• nulová důvěra (Zero Trust) začíná základem identity a ochrany zařízení.
• Na tomto základu jsou postaveny možnosti ochrany před hrozbami, které poskytují monitorování a nápravu bezpečnostních hrozeb v reálném čase.
• Ochrana informací a zásady správného řízení poskytují sofistikované kontroly zaměřené na konkrétní typy dat, které chrání vaše nejcennější informace a pomáhají vám dodržovat standardy dodržování předpisů, včetně ochrany osobních údajů.

Tento článek předpokládá, že jste už nakonfigurovali cloudovou identitu. Pokud potřebujete poradit s tímto cílem, přečtěte si téma Nasazení infrastruktury identit pro Microsoft 365.

Krok 1. Konfigurace identity nulová důvěra (Zero Trust) a ochrany přístupu zařízení – zásady počátečního bodu

Prvním krokem je vytvoření základu nulová důvěra (Zero Trust) konfigurací identity a ochrany přístupu zařízení.

Přejděte na nulová důvěra (Zero Trust) identity a ochrany přístupu zařízení, kde najdete pokyny, jak toho dosáhnout. Tato série článků popisuje sadu požadovaných konfigurací identit a přístupu k zařízením a sadu zásad podmíněného přístupu, Microsoft Intune a dalších zásad Azure Active Directory (Azure AD) pro zabezpečení přístupu k Microsoftu 365 pro podnikové cloudové aplikace a služby, další služby SaaS a místní aplikace publikované pomocí Azure AD proxy aplikací.

Zahrnuje	Požadavky	Nezahrnuje
Doporučené zásady přístupu k identitám a zařízením pro tři úrovně ochrany: Bodem Enterprise (doporučeno) Specializované Další doporučení pro: Externí uživatelé (hosté) Microsoft Teams SharePoint Online Microsoft Defender for Cloud Apps	Microsoft E3 nebo E5 Azure Active Directory v některém z těchto režimů: Jenom v cloudu Hybridní ověřování se synchronizací hodnot hash hesel (PHS) Hybridní s předávacím ověřováním (PTA) Federované	Registrace zařízení pro zásady, které vyžadují spravovaná zařízení. Viz krok 2. Správa koncových bodů pomocí Intune pro registraci zařízení

Začněte implementací úrovně počátečního bodu. Tyto zásady nevyžadují registraci zařízení do správy.

Krok 2. Správa koncových bodů pomocí Intune

Dále zaregistrujte svá zařízení do systému správy a začněte je chránit sofistikovanějšími ovládacími prvky.

Přejděte do části Správa zařízení s Intune, kde najdete pokyny, jak toho dosáhnout.

Zahrnuje	Požadavky	Nezahrnuje
Registrace zařízení pomocí Intune: Zařízení vlastněná společností Autopilot/ automatizované Zápisu Konfigurace zásad: Zásady ochrany aplikací Zásady dodržování předpisů Zásady profilu zařízení	Registrace koncových bodů pomocí Azure AD	Konfigurace možností ochrany informací, včetně: Typy citlivých informací Popisky Zásady ochrany před únikem informací Informace o těchto možnostech najdete v kroku 5. Ochrana a řízení citlivých dat (dále v tomto článku)

Krok 3. Přidání identity nulová důvěra (Zero Trust) a ochrany přístupu zařízení – podnikové zásady

Se zařízeními zaregistrovanými do správy teď můžete implementovat úplnou sadu doporučených zásad nulová důvěra (Zero Trust) identit a přístupu k zařízením, které vyžadují zařízení dodržující předpisy.

Vraťte se do části Běžné zásady přístupu k identitám a zařízením a přidejte zásady na úrovni Enterprise.

Krok 4. Vyhodnocení, pilotní nasazení a Microsoft 365 Defender

Microsoft 365 Defender je řešení rozšířené detekce a reakce (XDR), které automaticky shromažďuje, koreluje a analyzuje data o signálech, hrozbách a výstrahách z prostředí Microsoftu 365, včetně koncových bodů, e-mailu, aplikací a identit.

Přejděte na vyhodnocení a pilotní Microsoft 365 Defender, kde najdete metodického průvodce pilotním nasazením a nasazením komponent Microsoft 365 Defender.

Zahrnuje	Požadavky	Nezahrnuje
Nastavte prostředí pro vyhodnocení a pilotní nasazení pro všechny komponenty: Defender for Identity Defender for Office 365 Defender for Endpoint Microsoft Defender for Cloud Apps Ochrana před hrozbami Prošetřování hrozeb a reakce na ně	V doprovodných materiálech najdete informace o požadavcích na architekturu pro jednotlivé komponenty Microsoft 365 Defender.	Azure AD Identity Protection není součástí tohoto průvodce řešením. Je součástí kroku 1. Nakonfigurujte identitu nulová důvěra (Zero Trust) a ochranu přístupu zařízení.

Krok 5. Ochrana a řízení citlivých dat

Implementujte Microsoft Purview Information Protection, které vám pomůžou zjišťovat, klasifikovat a chránit citlivé informace bez ohledu na to, kde žijí nebo cestují.

Microsoft Purview Information Protection funkce jsou součástí Microsoft Purview a poskytují vám nástroje, které vám umožní znát vaše data, chránit je a zabránit jejich ztrátě.

I když je tato práce reprezentována v horní části zásobníku nasazení, jak je znázorněno výše v tomto článku, můžete ji kdykoli zahájit.

Microsoft Purview Information Protection poskytuje architekturu, proces a možnosti, které můžete použít k dosažení konkrétních obchodních cílů.

Další informace o plánování a nasazení ochrany informací najdete v tématu Nasazení řešení Microsoft Purview Information Protection.

Pokud nasazujete ochranu informací pro předpisy o ochraně osobních údajů dat, tento průvodce řešením poskytuje doporučený rámec pro celý proces: Nasazení ochrany informací pro předpisy o ochraně osobních údajů dat s Microsoftem 365.