Confiance nulle plan de déploiement avec Microsoft 365

Cet article fournit un plan de déploiement pour créer Confiance nulle sécurité avec Microsoft 365. Confiance nulle est un nouveau modèle de sécurité qui suppose une violation et vérifie chaque requête comme si elle provenait d’un réseau non contrôlé. Quel que soit l’origine de la demande ou la ressource à laquelle elle accède, le modèle Confiance nulle nous apprend à « ne jamais faire confiance, toujours vérifier ».

Utilisez cet article avec cette affiche.

Élément Description
Illustration du plan de déploiement microsoft 365 Confiance nulle.
PDF | Visio
Mise à jour de mars 2022
Guides de solution associés

architecture de sécurité Confiance nulle

Une approche Confiance nulle s’étend à l’ensemble du patrimoine numérique et sert de philosophie de sécurité intégrée et de stratégie de bout en bout.

Cette illustration fournit une représentation des éléments principaux qui contribuent à Confiance nulle.

Architecture de sécurité Confiance nulle

Dans cette illustration :

  • L’application de la stratégie de sécurité est au centre d’une architecture Confiance nulle. Cela inclut l’authentification multifacteur avec accès conditionnel qui prend en compte le risque lié au compte d’utilisateur, l’état de l’appareil et d’autres critères et stratégies que vous définissez.
  • Les identités, les appareils, les données, les applications, le réseau et d’autres composants d’infrastructure sont tous configurés avec une sécurité appropriée. Les stratégies configurées pour chacun de ces composants sont coordonnées avec votre stratégie de Confiance nulle globale. Par exemple, les stratégies d’appareil déterminent les critères pour les appareils sains et les stratégies d’accès conditionnel nécessitent des appareils intègres pour accéder à des applications et des données spécifiques.
  • La protection contre les menaces et le renseignement surveillent l’environnement, exposent les risques actuels et prennent des mesures automatisées pour corriger les attaques.

Pour plus d’informations sur Confiance nulle, consultez le Centre d’aide Confiance nulle de Microsoft.

Déploiement de Confiance nulle pour Microsoft 365

Microsoft 365 est conçu intentionnellement avec de nombreuses fonctionnalités de sécurité et de protection des informations pour vous aider à créer des Confiance nulle dans votre environnement. La plupart des fonctionnalités peuvent être étendues pour protéger l’accès à d’autres applications SaaS utilisées par votre organisation et aux données au sein de ces applications.

Cette illustration représente le travail de déploiement de fonctionnalités Confiance nulle. Ce travail est divisé en unités de travail qui peuvent être configurées ensemble, en commençant par le bas et en haut pour vous assurer que le travail requis est terminé.

Pile de déploiement Microsoft 365 Confiance nulle

Dans cette illustration :

  • Confiance nulle commence par une base de protection des identités et des appareils.
  • Les fonctionnalités de protection contre les menaces reposent sur cette base pour fournir une surveillance et une correction en temps réel des menaces de sécurité.
  • La protection et la gouvernance des informations fournissent des contrôles sophistiqués ciblant des types spécifiques de données pour protéger vos informations les plus précieuses et vous aider à vous conformer aux normes de conformité, y compris la protection des informations personnelles.

Cet article part du principe que vous avez déjà configuré l’identité cloud. Si vous avez besoin d’aide pour cet objectif, consultez Déployer votre infrastructure d’identité pour Microsoft 365.

Étape 1. Configurer Confiance nulle protection de l’identité et de l’accès aux appareils : stratégies de point de départ

La première étape consiste à créer votre base de Confiance nulle en configurant la protection des identités et de l’accès aux appareils.

Processus de configuration de Confiance nulle protection de l’identité et de l’accès aux appareils

Accédez à Confiance nulle protection de l’identité et de l’accès aux appareils pour obtenir des instructions normatives à cette fin. Cette série d’articles décrit un ensemble de configurations préalables d’accès aux identités et aux appareils, ainsi qu’un ensemble de stratégies d’accès conditionnel Azure Active Directory (Azure AD), de Microsoft Intune et d’autres stratégies pour sécuriser l’accès à Microsoft 365 pour les services et applications cloud d’entreprise, les autres services SaaS et les applications locales publiées avec Azure AD Proxy d'application.

Comprend Configuration requise N’inclut pas
Stratégies d’identité et d’accès aux appareils recommandées pour trois niveaux de protection :
  • Point de départ
  • Entreprise (recommandé)
  • Spécialisé

Recommandations supplémentaires pour :
  • Utilisateurs externes (invités)
  • Microsoft Teams
  • SharePoint Online
  • Microsoft Defender for Cloud Apps
Microsoft E3 ou E5

Azure Active Directory dans l’un des modes suivants :
  • Cloud uniquement
  • Hybride avec authentification de synchronisation de hachage de mot de passe (PHS)
  • Hybride avec authentification directe (PTA)
  • Fédérés
Inscription des appareils pour les stratégies qui nécessitent des appareils gérés. Consultez l’étape 2. Gérer les points de terminaison avec Intune pour inscrire des appareils

Commencez par implémenter le niveau de point de départ. Ces stratégies ne nécessitent pas l’inscription d’appareils dans la gestion.

Le Confiance nulle les stratégies d’identité et d’accès aux appareils : niveau de point de départ

Étape 2. Gérer les points de terminaison avec Intune

Ensuite, inscrivez vos appareils dans la gestion et commencez à les protéger avec des contrôles plus sophistiqués.

L’élément Gérer les points de terminaison avec Intune

Accédez à Gérer les appareils avec Intune pour obtenir des instructions normatives à cette fin.

Comprend Configuration requise N’inclut pas
Inscrire des appareils avec Intune :
  • Appareils d’entreprise
  • Autopilot/automatisé
  • Inscription

Configurer des stratégies :
  • Stratégies de protection des applications
  • Stratégies de conformité
  • Stratégies de profil d’appareil
Inscrire des points de terminaison auprès d’Azure AD Configuration des fonctionnalités de protection des informations, notamment :
  • Types d’informations sensibles
  • Étiquettes
  • Stratégies de protection contre la perte de données

Pour ces fonctionnalités, consultez Étape 5. Protéger et régir les données sensibles (plus loin dans cet article).

Étape 3. Ajouter Confiance nulle protection de l’identité et de l’accès aux appareils — Stratégies d’entreprise

Avec les appareils inscrits dans la gestion, vous pouvez désormais implémenter l’ensemble complet des stratégies d’identité et d’accès aux appareils Confiance nulle recommandées, nécessitant des appareils conformes.

Le Confiance nulle les stratégies d’identité et d’accès avec la gestion des appareils

Revenez à Stratégies communes d’identité et d’accès aux appareils et ajoutez les stratégies au niveau Entreprise.

Stratégies d’identité et d’accès Confiance nulle - Niveau Entreprise (recommandé)

Étape 4. Évaluer, piloter et déployer des Microsoft 365 Defender

Microsoft 365 Defender est une solution de détection et de réponse étendue (XDR) qui collecte, met en corrélation et analyse automatiquement les données de signal, de menace et d’alerte de votre environnement Microsoft 365, y compris les points de terminaison, les e-mails, les applications et les identités.

Processus d’ajout de Microsoft 365 Defender à l’architecture Confiance nulle

Accédez à Évaluer et pilote Microsoft 365 Defender pour obtenir un guide méthodique sur le pilotage et le déploiement de composants Microsoft 365 Defender.

Comprend Configuration requise N’inclut pas
Configurez l’environnement d’évaluation et pilote pour tous les composants :
  • Defender pour l’identité
  • Defender pour Office 365
  • Defender pour point de terminaison
  • Microsoft Defender for Cloud Apps

Protéger contre les menaces

Examiner les menaces et y répondre
Consultez les instructions pour en savoir plus sur les exigences d’architecture pour chaque composant de Microsoft 365 Defender. Azure AD Identity Protection n’est pas inclus dans ce guide de solution. Il est inclus à l’étape 1. Configurez Confiance nulle protection des identités et de l’accès aux appareils.

Étape 5. Protéger et régir les données sensibles

Implémentez Protection des données Microsoft Purview pour vous aider à découvrir, classifier et protéger les informations sensibles où qu’elles se trouvent ou voyagent.

Protection des données Microsoft Purview fonctionnalités sont incluses dans Microsoft Purview et vous donnent les outils nécessaires pour connaître vos données, protéger vos données et éviter toute perte de données.

Fonctionnalités de protection des informations protégeant les données par le biais de l’application de la stratégie

Bien que ce travail soit représenté en haut de la pile de déploiement illustrée plus haut dans cet article, vous pouvez commencer ce travail à tout moment.

Protection des données Microsoft Purview fournit une infrastructure, un processus et des fonctionnalités que vous pouvez utiliser pour atteindre vos objectifs métier spécifiques.

Protection de l'information Microsoft Purview

Pour plus d’informations sur la planification et le déploiement de la protection des informations, consultez Déployer une solution Protection des données Microsoft Purview.

Si vous déployez des réglementations en matière de protection des informations pour la confidentialité des données, ce guide de solution fournit une infrastructure recommandée pour l’ensemble du processus : Déployer la protection des informations pour les réglementations en matière de confidentialité des données avec Microsoft 365.