אפס אמון פריסה עם Microsoft 365

מאמר
04/09/2024

מאמר זה מספק תוכנית פריסה לבניית אבטחה אפס אמון עם Microsoft 365. אפס אמון הוא מודל אבטחה חדש המניח הפרה ומ מאמת כל בקשה כאילו היא הגיעה מרשת לא מבוקרת. ללא קשר למקום שבו הבקשה נוצרה או למשאב שאליו היא ניגשת, מודל אפס אמון מלמד אותנו "לעולם לא לתת אמון, תמיד לאמת".

השתמש במאמר זה יחד עם פוסטר זה.

פריט	תיאור
Pdf \| Visio עודכן: מרץ 2024	מדריכי פתרון קשורים פריסת תשתית הזהויות שלך עבור Microsoft 365 תצורות מומלצות של זהות וגישה למכשיר ניהול מכשירים באמצעות Intune הערכה וטיסה של Microsoft Defender XDR פריסת פתרון הגנה על מידע באמצעות Microsoft Purview פריסת הגנה על מידע עבור תקנות פרטיות נתונים באמצעות Microsoft 365

פריט

תיאור

איור של תוכנית הפריסה של Microsoft 365 אפס אמון Microsoft 365.

Pdf | Visio
עודכן: מרץ 2024

מדריכי פתרון קשורים

אפס אמון ארכיטקטורת אבטחה

גישה אפס אמון מתרחבת ברחבי האחוזה הדיגיטלית כולה ומ משמשת כפילוסופיה אבטחה משולבת ואסטרטגיה מקצה לקצה.

איור זה מספק ייצוג של הרכיבים העיקריים שתורמים אפס אמון.

באיור:

אכיפת מדיניות אבטחה נמצאת במרכז ארכיטקטורה של אפס אמון אישית. הדבר כולל אימות רב-גורמי עם גישה מותנית המ לקחת בחשבון סיכון בחשבון המשתמש, מצב המכשיר וקריטריונים ומדיניות אחרים שאתה מגדיר.
כל הזהויות, המכשירים, הנתונים, האפליקציות, הרשת ורכיבי תשתית אחרים מוגדרים כולם עם אבטחה מתאימה. פריטי מדיניות שתצורתם נקבעה עבור כל אחד מרכיבים אלה מתואמים לאסטרטגיית אפס אמון הכללית שלך. לדוגמה, פריטי מדיניות של מכשיר קובעים את הקריטריונים עבור מכשירים תקינים ומדיניות גישה מותנית מחייבת שימוש במכשירים תקינים לגישה לאפליקציות ולנתונים ספציפיים.
הגנה מפני איומים ובינה מנטרת את הסביבה, מציין סיכונים נוכחיים ונקוטת פעולה אוטומטית לתיקון תקיפות.

לקבלת מידע נוסף אפס אמון, עיין במרכז ההדרכה של אפס אמון Microsoft.

פריסת אפס אמון עבור Microsoft 365

Microsoft 365 בנוי במכוון עם יכולות רבות של הגנה על אבטחה ומידע כדי לעזור לך לבנות אפס אמון בתוך הסביבה שלך. ניתן להרחיב רבות מהיכולות כדי להגן על הגישה לאפליקציות SaaS אחרות שהארגון שלך משתמש אותן והנתונים בתוך אפליקציות אלה.

איור זה מייצג את העבודה של פריסת אפס אמון היכולות. עבודה זו תחלק יחידות עבודה שניתן להגדיר יחד, החל מהחלק התחתון ועבודה למעלה כדי להבטיח שהעבודה המהווה דרישה מוקדמת הושלמה.

באיור זה:

אפס אמון מתחיל בסיס של זהות והגנה על מכשירים.
יכולות ההגנה מפני איומים מבוססות על בסיס בסיס זה כדי לספק ניטור ותיקון בזמן אמת של איומי אבטחה.
הגנה על מידע ופיקוח מספקים אמצעי בקרה מתוחכמים הייעדים בסוגי נתונים ספציפיים כדי להגן על המידע החשוב ביותר שלך ולעזור לך לציית לתקני תאימות, כולל הגנה על מידע אישי.

מאמר זה מבוסס על ההנחה שאתה משתמש זהות בענן. אם אתה זקוק להדרכה עבור יעד זה, ראה פריסת תשתית הזהויות שלך עבור Microsoft 365.

עצה

כאשר אתה מבין את השלבים ואת תהליך הפריסה מקצה לקצה, באפשרותך להשתמש במדריך הפריסה המתקדם של הגדרת מודל האבטחה של Microsoft אפס אמון בעת הכניסה מרכז הניהול של Microsoft 365. מדריך זה מנחה אותך בתהליך החלת אפס אמון העקרונות הבסיסיים של עמודי התווך של הטכנולוגיה הסטנדרטית והמתקדמים. כדי לעבור במדריך מבלי להיכנס, עבור אל פורטל ההתקנה של Microsoft 365.

שלב 1: קביעת אפס אמון של זהות והגנה על גישה למכשיר: מדיניות נקודת התחלה

השלב הראשון הוא לבנות את הבסיס של אפס אמון על-ידי קביעת התצורה של הגנה על זהות וגישה למכשיר.

עבור אל אפס אמון והגנת הגישה למכשיר לקבלת הדרכה מפורטת תיאורית. סידרה זו של מאמרים מתארת ערכה של תצורות דרישות מוקדמות לגישה לזהות ולמכשירים וערכה של גישה מותנית של Microsoft Entra, Microsoft Intune ומדיניות אחרת כדי לאבטח גישה לאפליקציות ולהשירותים של Microsoft 365 עבור הענן הארגוני, לשירותי SaaS אחרים וליישומים מקומיים שפורסמו באמצעות יישום Microsoft Entra Proxy.

כולל	דרישות מוקדמות	אינו כולל
מדיניות מומלצת של זהות וגישה למכשירים עבור שלוש רמות הגנה: נקודת התחלה Enterprise (מומלץ) מיוחדות המלצות נוספות עבור: משתמשים חיצוניים (אורחים) Microsoft Teams SharePoint Online Microsoft Defender עבור יישומי ענן	Microsoft E3 או Microsoft E5 Microsoft Entra מזהה בכל אחד מהמצבים הבאים: ענן בלבד אימות היברידי עם סינכרון Hash של סיסמאות (PHS) היברידי עם אימות מעבר (PTA) מאוחד	הרשמה למכשירים עבור פריטי מדיניות הדורשים מכשירים מנוהלים. ראה שלב 2. ניהול נקודות קצה באמצעות Intune רישום מכשירים

כולל

דרישות מוקדמות

אינו כולל

מדיניות מומלצת של זהות וגישה למכשירים עבור שלוש רמות הגנה:

נקודת התחלה
Enterprise (מומלץ)
מיוחדות

המלצות נוספות עבור:

משתמשים חיצוניים (אורחים)
Microsoft Teams
SharePoint Online
Microsoft Defender עבור יישומי ענן

Microsoft E3 או Microsoft E5

Microsoft Entra מזהה בכל אחד מהמצבים הבאים:

ענן בלבד
אימות היברידי עם סינכרון Hash של סיסמאות (PHS)
היברידי עם אימות מעבר (PTA)
מאוחד

הרשמה למכשירים עבור פריטי מדיניות הדורשים מכשירים מנוהלים. ראה שלב 2. ניהול נקודות קצה באמצעות Intune רישום מכשירים

התחל על-ידי יישום הרמה של נקודת ההתחלה. פריטי מדיניות אלה אינם דורשים רישום מכשירים לניהול.

שלב 2: ניהול נקודות קצה באמצעות Intune

לאחר מכן, רשום את המכשירים שלך להנהלה והתחל להגן עליהם באמצעות פקדים מתוחכמים יותר.

ראה ניהול מכשירים עם Intune לקבלת הדרכה תיאורית מפורטת.

כולל	דרישות מוקדמות	אינו כולל
רשום מכשירים באמצעות Intune: מכשירים בבעלות החברה Autopilot/automated הרשמה קבע תצורה של פריטי מדיניות: מדיניות הגנה על אפליקציות מדיניות תאימות פריטי מדיניות של פרופיל מכשיר	רשום נקודות קצה באמצעות Microsoft Entra מזהה	קביעת תצורה של יכולות הגנה על מידע, כולל: סוגי מידע רגישים תוויות פריטי מדיניות DLP לקבלת יכולות אלה, ראה שלב 5. הגן על נתונים רגישים ושלט בהם (בהמשך מאמר זה).

כולל

דרישות מוקדמות

אינו כולל

רשום מכשירים באמצעות Intune:

מכשירים בבעלות החברה
Autopilot/automated
הרשמה

קבע תצורה של פריטי מדיניות:

מדיניות הגנה על אפליקציות
מדיניות תאימות
פריטי מדיניות של פרופיל מכשיר

רשום נקודות קצה באמצעות Microsoft Entra מזהה

קביעת תצורה של יכולות הגנה על מידע, כולל:

סוגי מידע רגישים
תוויות
פריטי מדיניות DLP

לקבלת יכולות אלה, ראה שלב 5. הגן על נתונים רגישים ושלט בהם (בהמשך מאמר זה).

לקבלת מידע נוסף, ראה אפס אמון לקבלת Microsoft Intune.

שלב 3: הוספת אפס אמון והגנת גישה למכשירים: מדיניות ארגונית

כאשר מכשירים רשומים לניהול, כעת באפשרותך ליישם את הערכה המלאה של פריטי מדיניות מומלצים אפס אמון זהות וגישה למכשירים, המחייבים שימוש במכשירים תואמים.

חזור אל מדיניות גישה משותפת לזהות ולמכשירים והוסף את פריטי המדיניות ברמה הארגונית.

שלב 4: הערכה, פריסת ניסיון ופריסה של Microsoft Defender XDR

Microsoft Defender XDR הוא פתרון מורחב לזיהוי ותגובה (XDR) שאוסף, מתאם ומנתח באופן אוטומטי נתוני אות, איום והתראה מכל סביבת Microsoft 365 שלך, כולל נקודת קצה, דואר אלקטרוני, יישומים וזהויות.

עבור אל הערך ובצע ניסיון Microsoft Defender XDR מדריך שיטתי לפריסת ניסיון ופריסה Microsoft Defender XDR רכיבים.

כולל	דרישות מוקדמות	אינו כולל
הגדר את סביבת ההערכה והנסיונות עבור כל הרכיבים: Defender עבור זהות Defender עבור Office 365 Defender עבור Endpoint Microsoft Defender עבור יישומי ענן הגן מפני איומים חקור איומים והגב לאיומים	עיין בהדרכה כדי לקרוא אודות דרישות הארכיטקטורה עבור כל רכיב של Microsoft Defender XDR.	הגנה למזהה Microsoft Entra אינה כלולה במדריך פתרון זה. הוא כלול בשלב 1. קבע אפס אמון של זהות והגנה על גישה למכשירים.

לקבלת מידע נוסף, עיין במאמרים אפס אמון אלה:

שלב 5: הגנה ופיקוח על נתונים רגישים

יישם הגנה על מידע ב- Microsoft Purview כדי לעזור לך לגלות מידע רגיש, לסווג אותו ולהגן עליו בכל מקום שבו הוא נמצא או בדרכים.

הגנה על מידע ב- Microsoft Purview אלה כלולות ב- Microsoft Purview ומעניקות לך את הכלים להכיר את הנתונים שלך, להגן על הנתונים שלך ולמנוע אובדן נתונים.

למרות שעבודה זו מיוצגת בחלק העליון של ערימת הפריסה המוצגת מוקדם יותר במאמר זה, באפשרותך להתחיל את העבודה בכל עת.

הגנה על מידע ב- Microsoft Purview מספק מסגרת, תהליך ויכולות שניתן להשתמש בהן כדי להשיג את היעדים העסקיים הספציפיים שלך.

הגנה על מידע ב- Microsoft Purview

לקבלת מידע נוסף אודות אופן התכנון והפריסה של הגנה על מידע, ראה פריסת הגנה על מידע ב- Microsoft Purview אחר.

אם אתה פורס הגנה על מידע עבור תקנות פרטיות נתונים, מדריך פתרון זה מספק מסגרת מומלצת לכל התהליך: פרוס הגנה על מידע עבור תקנות פרטיות נתונים עם Microsoft 365.