מדיניות אבטחה נפוצה עבור ארגוני Microsoft 365
לארגונים יש דברים רבים שיש לדאוג להם בעת פריסת Microsoft 365 עבור הארגון שלהם. המדיניות של גישה מותנית, הגנה על אפליקציות ותאימות מכשירים המוזכרת במאמר זה מבוססת על ההמלצות של Microsoft ועל שלושת העקרונות המנחים של אפס אמון:
- אמת באופן מפורש
- השתמש בהרשאות הפחותות
- נניח שהפרה
ארגונים יכולים להשתמש במדיניות זו כפי שהיא או להתאים אותם אישית בהתאם לצרכים שלהם. אם הדבר אפשרי, בדוק את המדיניות שלך בסביבה שאינה בסביבת ייצור לפני ההפצה למשתמשים הייצור שלך. הבדיקה היא קריטית לזיהוי ולתקשורת של כל האפקטים האפשריים למשתמשים שלך.
אנו מ לקבץ פריטי מדיניות אלה לשלוש רמות הגנה בהתבסס על המקום שבו אתה נמצא במסע הפריסה שלך:
- נקודת התחלה - פקדים בסיסיים המציגים אימות רב גורמי, שינויי סיסמה מאובטחים ומדיניות הגנה על אפליקציות.
- Enterprise - פקדים משופרים המציגים תאימות מכשירים.
- אבטחה מיוחדת - פריטי מדיניות הדורשים אימות רב גורמי בכל פעם עבור ערכות נתונים או משתמשים ספציפיים.
הדיאגרמה הבאה מציגה על איזו רמת הגנה חל כל מדיניות ואם המדיניות חלה על מחשבים או טלפונים ומחשבי Tablet, או על שתי קטגוריות המכשירים.
באפשרותך להוריד דיאגרמה זו כקובץ PDF .
עצה
מומלץ לדרוש שימוש באימות רב גורמי (MFA) לפני רישום מכשירים ב- Intune כדי להבטיח שהמכשיר נמצא ברשותו של המשתמש המיועד. עליך לרשום מכשירים ב- Intune כדי שתוכל לאכוף מדיניות תאימות של מכשירים.
דרישות מוקדמות
הרשאות
- משתמשים שינהלו מדיניות גישה מותנית חייבים להיות מסוגלים להיכנס לפורטל Azure כמנהל גישה מותנית , כמנהלאבטחה או כמנהלכללי.
- משתמשים שינהלו מדיניות הגנה על אפליקציות ותאימות מכשירים חייבים להיות מסוגלים להיכנס Intune כמנהל מערכת Intune מערכתכללי.
- ניתן להקצות למשתמשים שצריכים רק להציג תצורות את התפקידים 'קורא אבטחה' או'קורא כללי '.
לקבלת מידע נוסף אודות תפקידים והרשאות, עיין במאמר Microsoft Entra תפקידים מוכללים.
רישום משתמשים
ודא שהמשתמשים שלך רשומים לאימות רב גורמי לפני דרישת השימוש בו. אם יש לך רשיונות הכוללים את Microsoft Entra מזהה P2, באפשרותך להשתמש במדיניות הרישום של MFA במסגרת הגנה למזהה Microsoft Entra לדרוש ממשתמשים אלה להירשם. אנו מספקים תבניות תקשורת, באפשרותך להוריד ולהתאים אישית, כדי לקדם רישום.
קבוצות
כל Microsoft Entra הקבוצות המשמשות כחלק מהמלצות אלה חייבות להיווצר כקבוצה של Microsoft 365ולא כקבוצת אבטחה. דרישה זו חשובה עבור הפריסה של תוויות רגישות בעת אבטחת מסמכים ב- Microsoft Teams וב- SharePoint בהמשך. לקבלת מידע נוסף, עיין במאמר למד אודות קבוצות וזכויות גישה ב- Microsoft Entra מזהה
הקצאת פריטי מדיניות
ניתן להקצות פריטי מדיניות של גישה מותנית למשתמשים, לקבוצות ולתפקידי מנהל מערכת. Intune הגנה על אפליקציות ומדיניות תאימות מכשירים עשויים להיות מוקצים לקבוצות בלבד. לפני קביעת התצורה של פריטי המדיניות שלך, עליך לזהות מי צריך לכלול ולא לכלול. בדרך כלל, כללי מדיניות ברמת ההגנה על נקודת ההתחלה חלים על כל המשתמשים בארגון.
להלן דוגמה של הקצאה קבוצתית ופריטים שאינם נכללים בדרוש MFA לאחר שהמשתמשים שלך השלימה את רישום המשתמשים.
| Microsoft Entra מדיניות גישה מותנית | כוללים | אל תכלול | |
|---|---|---|---|
| נקודת התחלה | דרוש אימות רב גורמי עבור סיכון כניסה בינוני או גבוה | כל המשתמשים |
|
| Enterprise | דרוש אימות רב גורמי עבור סיכון כניסה נמוך, בינוני או גבוה | קבוצת סגל ניהולית |
|
| אבטחה מיוחדת | דרוש אימות רב גורמי תמיד | הקבוצה הסודית ביותר של פרויקט באקי |
|
היזהר בעת החלת רמות הגנה גבוהות יותר על קבוצות ומשתמשים. מטרת האבטחה אינה להוסיף חיכוך מיותר לחוויה של המשתמש. לדוגמה, חברים בקבוצה Top Secret Project Buckeye יידרשו להשתמש ב- MFA בכל פעם שהם ייכנסו, גם אם הם אינם עובדים על תוכן האבטחה המיוחד עבור הפרוייקט שלהם. חיכוך אבטחה מוגזם עלול להוביל לעייפות.
מומלץ להפוך שיטות אימות ללא סיסמה לזמינים, כגון מפתחות Windows Hello לעסקים או FIDO2 כדי להפחית חיכוך שנוצר על-ידי פקדי אבטחה מסוימים.
חשבונות גישה לשעת חירום
לכל הארגונים צריך להיות לפחות חשבון גישה לשעת חירום אחד שנווטר לשימוש ולא נכלל במדיניות. חשבונות אלה משמשים רק במקרה שכל החשבונות ושיטות האימות האחרים ננעלים או לא זמינים באופן אחר. ניתן למצוא מידע נוסף במאמר ניהול חשבונות גישה לשעת חירום ב- Microsoft Entra מזהה.
פריטים לא כלולים
תרגול מומלץ הוא ליצור קבוצה של Microsoft Entra עבור פריטים שאינם נכללים בגישה מותנית. קבוצה זו מספקת לך אמצעי לספק גישה למשתמש בזמן שאתה פותר בעיות גישה.
אזהרה
קבוצה זו מומלצת לשימוש כפתרון זמני בלבד. עקוב אחר קבוצה זו ובצע בה ביקורת באופן רציף כדי לבצע שינויים וודא שקבוצת אי-ההכללה נמצאת בשימוש כצפוי בלבד.
כדי להוסיף קבוצת אי-הכללה זו לכל פריטי המדיניות הקיימים:
- היכנס לפורטל Azure כמנהל גישה מותנית, כמנהל אבטחה או כמנהל כללי.
- אתר את Microsoft Entra מזהה>גישה מותנית>לאבטחה.
- בחר מדיניות קיימת.
- תחת מטלות, בחר משתמשים או זהויות עומס עבודה.
- תחת אלתכלול, בחר משתמשים וקבוצות ובחר את חשבונות הגישה לשעת החירום או הזכוכית המותנה ואת קבוצת אי-הכללה של גישה מותנית.
פריסה
אנו ממליצים ליישם את מדיניות נקודת ההתחלה בסדר המפורט בטבלה זו. עם זאת, ניתן ליישם בכל עת את כללי המדיניות של MFA עבור רמות אבטחה ארגוניות והרשאות אבטחה מיוחדות.
נקודת התחלה
| מדיניות | מידע נוסף | רישוי |
|---|---|---|
| דרוש MFA כאשר סיכון הכניסה הוא בינוני אוגבוה | השתמש כנתוני סיכון הגנה למזהה Microsoft Entra לדרוש MFA רק כאשר זוהה סיכון | Microsoft 365 E5 או Microsoft 365 E3 באמצעות ההרחבה 'אבטחה E5' |
| חסימת לקוחות שאינם תומכים באימות מודרני | לקוחות שאינם משתמשים באימות מודרני יכולים לעקוף מדיניות גישה מותנית, ולכן חשוב לחסום אותם. | Microsoft 365 E3 או E5 |
| משתמשים בסיכון גבוה חייבים לשנות סיסמה | כופה על המשתמשים לשנות את הסיסמה שלהם בעת כניסה אם זוהתה פעילות בסיכון גבוה עבור החשבון שלהם. | Microsoft 365 E5 או Microsoft 365 E3 באמצעות ההרחבה 'אבטחה E5' |
| החלת מדיניות הגנה על יישומים עבור הגנה על נתונים | מדיניות Intune אחת לכל פלטפורמה (Windows, iOS/iPadOS, Android). | Microsoft 365 E3 או E5 |
| דרוש אפליקציות מאושרות ומדיניות הגנה על אפליקציות | אכיפת מדיניות הגנה על אפליקציות למכשירים ניידים עבור טלפונים ומחשבי Tablet באמצעות iOS, iPadOS או Android. | Microsoft 365 E3 או E5 |
Enterprise
| מדיניות | מידע נוסף | רישוי |
|---|---|---|
| דרוש MFA כאשר סיכון הכניסה נמוך,בינוני או גבוה | השתמש כנתוני סיכון הגנה למזהה Microsoft Entra לדרוש MFA רק כאשר זוהה סיכון | Microsoft 365 E5 או Microsoft 365 E3 באמצעות ההרחבה 'אבטחה E5' |
| הגדרת מדיניות תאימות מכשירים | הגדר דרישות תצורה מינימליות. מדיניות אחת עבור כל פלטפורמה. | Microsoft 365 E3 או E5 |
| דרוש מחשבים ומכשירים ניידים תואמים | אכיפת דרישות התצורה עבור מכשירים הלגשת לארגון שלך | Microsoft 365 E3 או E5 |
אבטחה מיוחדת
| מדיניות | מידע נוסף | רישוי |
|---|---|---|
| דרוש תמיד MFA | המשתמשים חייבים לבצע MFA בכל פעם שהם מתחברים לשירותים של הארגון שלך | Microsoft 365 E3 או E5 |
הגנה על אפליקציות מדיניות
הגנה על אפליקציות מדיניות מגדירות אילו יישומים מותרים והפעולות שהם יכולים לבצע עם נתוני הארגון שלך. קיימות אפשרויות רבות הזמינות וייתכן שאפשרויות מסוימות יתבלבלו. התוכניות הבסיסיות הבאות הן התצורות המומלצות של Microsoft שעשויות להיות מותאמות לצרכים שלך. אנו מספקים שלוש תבניות למעקב, אך סבורים שרוב הארגונים יבחרו ברמות 2 ו- 3.
רמה 2 ממופה למה שאנו מחשיבים כנקודת התחלה או אבטחה ברמה ארגונית, מפות ברמה 3 לאבטחה מיוחדת.
הגנה על נתונים בסיסיים ברמה 1 של הארגון – Microsoft ממליצה על תצורה זו כתצורות הגנת הנתונים המינימליות עבור מכשיר ארגוני.
הגנה משופרת על נתונים ברמה 2 בארגון – Microsoft ממליצה על תצורה זו עבור מכשירים שבהם משתמשים ניגשים למידע רגיש או סודי. תצורה זו חלה על רוב המשתמשים הניידים שלגשת לנתונים בעבודה או בבית הספר. חלק מהפקדים עשויים להשפיע על חוויית המשתמש.
הגנה על נתונים ברמה 3 ארגונית גבוהה – Microsoft ממליצה על תצורה זו עבור מכשירים שארגון עם צוות אבטחה גדול או מתוחכם יותר, או עבור משתמשים או קבוצות ספציפיים בסיכון גבוה באופן ייחודי (משתמשים המטפלים בנתונים רגישים במיוחד כאשר חשיפה בלתי מורשית גורמת לאובדן משמעותי בחומר לארגון). ארגון עשוי להיות ממוקד על-ידי תואר הפועלים ממומן ומתוחכם צריך להשף לתצורה זו.
Create מדיניות הגנה על אפליקציות
Create מדיניות חדשה להגנה על אפליקציות עבור כל פלטפורמה (iOS ו- Android) בתוך Microsoft Intune באמצעות ההגדרות של מסגרת ההגנה על נתונים על-ידי:
- צור באופן ידני את פריטי המדיניות על-ידי ביצוע השלבים המפורטים במאמר כיצד ליצור ולפרוס מדיניות הגנה על אפליקציות באמצעות Microsoft Intune.
- יבא את תבניות JSON של מסגרת התצורה של מדיניות ההגנה על Intune לדוגמה עם קבצי Script Intune PowerShell של היישום.
פריטי מדיניות של תאימות מכשיר
Intune מדיניות תאימות של מכשירים מגדירים את הדרישות שיש לעמוד בדרישות שיש לקבוע כתאימות למכשירים.
עליך ליצור מדיניות עבור כל מחשב, טלפון או פלטפורמת טאבלט. מאמר זה מכסה המלצות עבור הפלטפורמות הבאות:
Create מדיניות תאימות של מכשירים
כדי ליצור מדיניות תאימות מכשירים, היכנס אל מרכז Microsoft Intune, ונווט אל מדיניות> תאימותמכשירים>. בחר Create מדיניות.
לקבלת הדרכה שלב אחר שלב ליצירת מדיניות תאימות ב- Intune, ראה Create תאימות ב- Microsoft Intune.
הגדרות הרשמה ותאימות עבור iOS/iPadOS
iOS/iPadOS תומך בכמה תרחישי הרשמה, שניים מהם מכוסים כחלק ממסגרת זו:
- הרשמת מכשירים למכשירים בבעלות אישית – מכשירים אלה נמצאים בבעלותך ומשמשים הן למטרות עבודה והן לשימוש אישי.
- הרשמה אוטומטית למכשירים בבעלות החברה – מכשירים אלה משויכים למשתמש יחיד בבעלות ארגונית ומשמשים באופן בלעדי לעבודה ולא לשימוש אישי.
שימוש בעקרונות המתוארים אפס אמון תצורות הגישה לזהות ולמכשיר:
- רמות ההגנה של נקודת ההתחלה וההגנה על הארגון ממופות יחד עם הגדרות האבטחה המשופרות ברמה 2.
- רמת ההגנה על האבטחה המיוחדת ממופה באופן דומה להגדרות האבטחה הגבוהות ברמה 3.
הגדרות תאימות עבור מכשירים שנרשם באופן אישי
- אבטחה בסיסית אישית (רמה 1) – Microsoft ממליצה על תצורה זו כתצורות האבטחה המינימליות עבור מכשירים אישיים שבהם משתמשים ניגשים לנתונים בעבודה או בבית הספר. קביעת תצורה זו מתבצעת על-ידי אכיפת מדיניות סיסמה, מאפייני נעילת מכשיר והפיטול של פונקציות מכשיר מסוימות, כגון אישורים לא מהימנה.
- אבטחה משופרת אישית (רמה 2) – Microsoft ממליצה על תצורה זו עבור מכשירים שבהם משתמשים ניגשים למידע רגיש או סודי. תצורה זו מכילה פקדי שיתוף נתונים. תצורה זו חלה על רוב המשתמשים הניידים הלגשת לנתונים בעבודה או בבית ספר במכשיר.
- אבטחה גבוהה אישית (רמה 3) – Microsoft ממליצה על תצורה זו עבור מכשירים המשמשים משתמשים או קבוצות ספציפיים בעלי סיכון גבוה באופן ייחודי (משתמשים המטפלים בנתונים רגישים מאוד שבהם חשיפה בלתי מורשית גורמת לאובדן משמעותי בחומר לארגון). תצורה זו מחזקת את מדיניות הסיסמה, מבטלת פונקציות מסוימות של מכשירים אוכפת הגבלות נוספות על העברת נתונים.
הגדרות תאימות להרשמה אוטומטית למכשירים
- אבטחה בסיסית מפיקוח (רמה 1) – Microsoft ממליצה על תצורה זו כתצורות האבטחה המינימליות עבור מכשירים פיקוח שבהם משתמשים ניגשים לנתונים בעבודה או בבית ספר. קביעת תצורה זו מתבצעת על-ידי אכיפת מדיניות סיסמה, מאפייני נעילת מכשיר והפיטול של פונקציות מכשיר מסוימות, כגון אישורים לא מהימנה.
- אבטחה משופרת מפיקוח (רמה 2) – Microsoft ממליצה על תצורה זו עבור מכשירים שבהם משתמשים ניגשים למידע רגיש או סודי. תצורה זו מכילה פקדי שיתוף נתונים החוסמת גישה להתקני USB. תצורה זו חלה על רוב המשתמשים הניידים הלגשת לנתונים בעבודה או בבית ספר במכשיר.
- אבטחה גבוהה בפיקוח (רמה 3) – Microsoft ממליצה על תצורה זו עבור מכשירים המשמשים משתמשים או קבוצות ספציפיים שהם בסיכון גבוה באופן ייחודי (משתמשים המטפלים בנתונים רגישים במיוחד, כאשר גילוי לא מורשה גורם לאובדן משמעותי בחומר לארגון). תצורה זו מצריכה מדיניות סיסמה חזקה יותר, מבטלת פונקציות מכשיר מסוימות, אוכפת הגבלות נוספות על העברת נתונים ודורש התקנה של אפליקציות באמצעות תוכנית הרכישה רבת העוצמה של Apple.
הגדרות הרשמה ותאימות עבור Android
Android Enterprise תומך בכמה תרחישי הרשמה, שניים מהם מכוסים כחלק ממסגרת זו:
- פרופיל עבודה של Android Enterprise – מודל הרשמה זה משמש בדרך כלל עבור מכשירים בבעלות אישית, כאשר IT רוצה לספק גבול הפרדה ברור בין עבודה לנתונים אישיים. פריטי מדיניות הנשלטים על-ידי IT מבטיחים שלא ניתן להעביר את נתוני העבודה לפרופיל האישי.
- מכשירים המנוהליים באופן מלא של Android Enterprise – מכשירים אלה נמצאים בבעלות ארגונית, המשויכים למשתמש יחיד ומשמשים באופן בלעדי לעבודה ולא לשימוש אישי.
מסגרת תצורת האבטחה של Android Enterprise מאורגנת בכמה תרחישי תצורה ייחודיים, ומספקת הדרכה לפרופיל העבודה ולתרחישים המנוהלות במלואם.
שימוש בעקרונות המתוארים אפס אמון תצורות הגישה לזהות ולמכשיר:
- רמות ההגנה של נקודת ההתחלה וההגנה על הארגון ממופות יחד עם הגדרות האבטחה המשופרות ברמה 2.
- רמת ההגנה על האבטחה המיוחדת ממופה באופן דומה להגדרות האבטחה הגבוהות ברמה 3.
הגדרות תאימות עבור מכשירי פרופיל עבודה של Android Enterprise
- בשל ההגדרות הזמינות עבור התקני פרופיל עבודה בבעלות אישית, אין הצעה בסיסית לאבטחה (רמה 1). ההגדרות הזמינות אינן מצדיקות הבדל בין רמה 1 ורמה 2.
- אבטחה משופרת בפרופיל העבודה (רמה 2)– Microsoft ממליצה על תצורה זו כתצורות האבטחה המינימליות עבור מכשירים אישיים שבהם משתמשים ניגשים לנתונים בעבודה או בבית ספר. תצורה זו מציגה דרישות סיסמה, מפרידה בין עבודה לנתונים אישיים ומאמתת אימות של מכשיר Android.
- אבטחה גבוהה בפרופיל עבודה (רמה 3) – Microsoft ממליצה על תצורה זו עבור מכשירים המשמשים משתמשים או קבוצות ספציפיים שהם בסיכון גבוה באופן ייחודי (משתמשים המטפלים בנתונים רגישים מאוד כאשר גילוי לא מורשה גורם לאובדן משמעותי בחומר לארגון). תצורה זו מציגה הגנה מפני איומים למכשירים ניידים או Microsoft Defender עבור נקודת קצה, מגדירה את גירסת ה- Android המינימלית, מגבילה מדיניות סיסמה חזקה יותר ומגבילה עוד יותר את העבודה ואת ההפרדה האישית.
הגדרות תאימות עבור מכשירים מנוהלים באופן מלא של Android Enterprise
- אבטחה בסיסית מנוהלת במלואה (רמה 1) – Microsoft ממליצה על תצורה זו כתצורות האבטחה המינימליות עבור מכשיר ארגוני. תצורה זו חלה על רוב המשתמשים הניידים שלגשת לנתונים בעבודה או בבית הספר. תצורה זו מציגה את דרישות הסיסמה, מגדירה את גירסת ה- Android המינימלית ומפעילה הגבלות מסוימות על המכשיר.
- אבטחה משופרת מנוהלת במלואה (רמה 2) – Microsoft ממליצה על תצורה זו עבור מכשירים שבהם משתמשים ניגשים למידע רגיש או סודי. תצורה זו מחזקת את מדיניות הסיסמה ומבטלת יכולות משתמש/חשבון.
- אבטחה גבוהה מנוהלת במלואה (רמה 3) - Microsoft ממליצה על תצורה זו עבור מכשירים המשמשים משתמשים או קבוצות ספציפיים בעלי סיכון גבוה באופן ייחודי. משתמשים אלה עשויים לטפל בנתונים רגישים מאוד שבהם חשיפה בלתי מורשית עלולה לגרום לאובדן משמעותי של החומרים בארגון. תצורה זו מגדילה את גירסת ה- Android המינימלית, מציגה הגנה מפני איומים Microsoft Defender עבור נקודת קצה למכשירים ניידים, אוכפת הגבלות נוספות על המכשיר.
הגדרות תאימות מומלצות עבור Windows 10 ואילך
ההגדרות הבאות מוגדרות בשלב 2: הגדרות תאימות, של תהליך יצירת מדיניות התאימות עבור Windows 10 ומכשירים חדשים יותר. הגדרות אלה מתיישרות עם העקרונות המתוארים אפס אמון תצורות הגישה לזהות ולמכשיר.
עבור כללי ההערכה > של שירות אימות תקינות המכשיר של Windows, עיין בטבלה זו.
| המאפיין | ערך: |
|---|---|
| דרוש BitLocker | דורשים |
| דרוש אתחול מאובטח כדי להפוך אותו לזמין במכשיר | דורשים |
| דרוש תקינות קוד | דורשים |
עבור מאפייני מכשיר, ציין ערכים מתאימים עבור גירסאות מערכת ההפעלה בהתבסס על מדיניות ה- IT והאבטחה שלך.
לקבלת Configuration Manager תאימות, אם אתה נמצא בסביבה מנוהלת משותפת עם Configuration Manager בחר דרוש אחרת בחר לא נקבעה תצורה.
עבור אבטחת מערכת, עיין בטבלה זו.
| המאפיין | ערך: |
|---|---|
| דרוש סיסמה לביטול נעילה של מכשירים ניידים | דורשים |
| סיסמאות פשוטות | חסום |
| סוג סיסמה | ברירת מחדל של מכשיר |
| אורך סיסמה מינימלי | 6 |
| מספר הדקות המרבי של חוסר פעילות לפני שתידרש סיסמה | 15 דקות |
| תפוגת סיסמה (ימים) | 41 |
| מספר הסיסמאות הקודמות למניעת שימוש חוזר | 5 |
| דרוש סיסמה כאשר המכשיר חוזר ממדינה לא פעילה (נייד והולוגרפי) | דורשים |
| דרוש הצפנה של אחסון נתונים במכשיר | דורשים |
| חומת אש | דורשים |
| Antivirus | דורשים |
| נגד תוכנות ריגול | דורשים |
| Microsoft Defender נגד תוכנות זדוניות | דורשים |
| Microsoft Defender המינימלית למניעת תוכנות זדוניות | Microsoft ממליצה על גירסאות לא יותר מחמש מאחורי הגירסה העדכנית ביותר. |
| Microsoft Defender חתימה נגד תוכנות זדוניות מעודכנת | דורשים |
| הגנה בזמן אמת | דורשים |
עבור Microsoft Defender עבור נקודת קצה
| המאפיין | ערך: |
|---|---|
| דרוש שהמכשיר יהיה בציון סיכוני המכונה או מתחתיו | בינוני |
פריטי מדיניות גישה מותנית
לאחר יצירת מדיניות ההגנה על האפליקציות והתאימות למכשירים Intune, באפשרותך להפוך אכיפה לזמינה באמצעות מדיניות גישה מותנית.
דרוש MFA בהתבסס על סיכון כניסה
פעל בהתאם להנחיות במאמר מדיניות גישה מותנית נפוצה: כניסה לאימות רב גורמי מבוסס סיכון כדי ליצור מדיניות לדרוש אימות רב גורמי בהתבסס על סיכון כניסה.
בעת קביעת התצורה של המדיניות שלך, השתמש ברמות הסיכון הבאות.
| רמת הגנה | דרושים ערכים ברמת הסיכון | פעולה |
|---|---|---|
| נקודת התחלה | גבוה, בינוני | בדוק את שניהם. |
| Enterprise | גבוה, בינוני, נמוך | תבדוק את כל השלושה. |
חסימת לקוחות שאינם תומכים באימות רב גורמי
פעל בהתאם להנחיות במאמר מדיניות גישה מותנית נפוצה: חסום אימות מדור קודם כדי לחסום אימות מדור קודם.
משתמשים בסיכון גבוה חייבים לשנות סיסמה
בצע את ההנחיות במאמר מדיניות גישה מותנית נפוצה: שינוי סיסמה מבוסס סיכון על-ידי המשתמש כדי לדרוש ממשתמשים בעלי אישורים שנחשף לסכנה כדי לשנות את הסיסמה שלהם.
השתמש במדיניות זו יחד עם Microsoft Entra סיסמה, אשר מזהה ו חוסם סיסמאות חלשות מוכרות ואת המשתנים שלהן בנוסף לתנאים הספציפיים לארגון שלך. שימוש Microsoft Entra סיסמה מבטיח שסיסמאות שהשתנו חזקות יותר.
דרוש אפליקציות מאושרות ומדיניות הגנה על אפליקציות
עליך ליצור מדיניות גישה מותנית כדי לאכוף את מדיניות ההגנה על היישום שנוצרה Intune. אכיפת מדיניות הגנה על יישומים דורשת מדיניות גישה מותנית ומדיניות הגנת יישומים תואמת.
כדי ליצור מדיניות גישה מותנית הדורשת אפליקציות מאושרות והגנה על אפליקציות, בצע את השלבים המפורטים במאמר דרוש אפליקציות לקוח מאושרות או מדיניות הגנה על אפליקציות עם מכשירים ניידים. מדיניות זו מאפשרת רק חשבונות בתוך אפליקציות למכשירים ניידים המוגנים באמצעות מדיניות הגנה על אפליקציות לגשת ל נקודות קצה של Microsoft 365.
חסימת אימות מדור קודם עבור אפליקציות לקוח אחרות במכשירי iOS ו- Android מבטיחה שלהלקוחות האלה אין אפשרות לעקוף מדיניות גישה מותנית. אם אתה עוקב אחר ההנחיות במאמר זה, כבר הגדרת את התצורה של לקוחות חסימה שאינם תומכים באימות מודרני.
דרוש מחשבים ומכשירים ניידים תואמים
השלבים הבאים יסייעו ליצור מדיניות גישה מותנית כדי לדרוש שמכשירים המשתמשים במשאבים יסומנו כתאימות למדיניות התאימות של הארגון Intune הארגון שלך.
זהירות
ודא שהמכשיר שלך תואם לפני הפעלת מדיניות זו. אחרת, אתה עלול להינעל ולא תוכל לשנות מדיניות זו עד שחשבון המשתמש שלך יתווסף לקבוצה אי-הכללה של גישה מותנית.
- היכנס לפורטל פורטל Microsoft Azure.
- אתר את Microsoft Entra מזהה>גישה מותנית>לאבטחה.
- בחר מדיניות חדשה.
- תן למדיניות שלך שם. אנו ממליצים לארגונים ליצור תקן בעל משמעות עבור שמות פריטי המדיניות שלהם.
- תחת מטלות, בחר משתמשים או זהויות עומס עבודה.
- תחת כלול, בחר כל המשתמשים.
- תחת אל תכלול, בחר משתמשים וקבוצות ובחר את חשבונות גישת החירום או פיצולי החירום של הארגון שלך.
- תחת אפליקציות או פעולות בענן כלול>, בחר כל אפליקציות הענן.
- אם עליך לא לכלול יישומים ספציפיים במדיניות שלך, באפשרותך לבחור אותם מהכרטיסיה אי-הכללה תחת בחר אפליקציות ענן שלא נכללו ובחרבחר.
- תחת הענקת פקדי>Access.
- בחר דרוש שהתקן יסומן כתואם.
- בחר באפשרות בחר.
- אשר את ההגדרות שלך והגדר את הפוך מדיניות לזמינה למצב מופעל.
- בחר Create כדי להפוך את המדיניות שלך לזמינה.
הערה
באפשרותך לרשום את המכשירים החדשים שלך Intune גם אם תבחר דרוש שמכשיר יסומן כתואם עבור כל המשתמשים וכל יישומי הענן במדיניות שלך. דרוש שמכשיר יסומן כפקד תואם אינו חוסם את Intune שלך ואת הגישה Microsoft Intune לאינטרנט Company Portal שלך.
הפעלת מנוי
ארגונים המשתמשים בתכונה 'הפעלת מנוי' כדי לאפשר למשתמשים "לבצע שלבים" מגירסה אחת של Windows לגירסה אחרת, עשויים שלא לכלול את ממשקי ה- API ויישום האינטרנט של שירות האחסון האוניברסלי, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f ממדיניות תאימות המכשירים שלהם.
דרוש תמיד MFA
פעל בהתאם להנחיות במאמר מדיניות גישה מותנית נפוצה : דרוש MFA עבור כל המשתמשים לדרוש מהמשתמשים ברמת האבטחה המיוחדת שלך לבצע תמיד אימות רב גורמי.
אזהרה
בעת קביעת התצורה של המדיניות שלך, בחר את הקבוצה הדורשת אבטחה מיוחדת והשתמש בה במקום לבחור באפשרות כל המשתמשים.
השלבים הבאים
קבל מידע על המלצות מדיניות עבור משתמשים אורחים ומשתמשים חיצוניים
משוב
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה: https://aka.ms/ContentUserFeedback.
שלח והצג משוב עבור