עבודה המהווה דרישה מוקדמת ליישום אפס אמון מדיניות גישה לזהות ולמכשיר

  • מאמר

מאמר זה מתאר את הדרישות המוקדמות שמנהלי מערכת חייבים לעמוד בהם כדי להשתמש במדיניות אפס אמון מומלצת של זהות וגישה למכשיר, ולהשתמש בגישה מותנית. בנוסף, הוא דן בהגדרות ברירת המחדל המומלצות לקביעת תצורה של פלטפורמות לקוח עבור חוויית הכניסה ה יחידה (SSO) הטובה ביותר.

דרישות מוקדמות

לפני השימוש אפס אמון מדיניות גישה למכשיר וזהות מומלצת, הארגון שלך צריך לעמוד בדרישות המוקדמות. הדרישות שונות עבור המודלים השונים של זהות ואימות המפורטים:

  • ענן בלבד
  • אימות היברידי עם סינכרון Hash של סיסמאות (PHS)
  • היברידי עם אימות מעבר (PTA)
  • מאוחד

הטבלה הבאה מפרטת את התכונות המהוות דרישה מוקדמת ואת התצורה שלהן החלות על כל מודלי הזהויות, למעט כאשר צוין.

תצורה חריגים רישוי
קבע את תצורת PHS. יש להפוך תכונה זו לזמינה כדי לזהות אישורים שדולפים ולפפעל לפיהם לקבלת גישה מותנית מבוססת סיכון. הערה: הדבר נדרש גם אם הארגון שלך משתמש באימות מאוחד. ענן בלבד Microsoft 365 E3 או E5
הפוך כניסה יחידה חלקה לזמינה כדי להוסיף משתמשים באופן אוטומטי כאשר הם נמצאים במכשירי הארגון שלהם המחוברים לרשת הארגון שלך. ענן בלבד ו מאוחד Microsoft 365 E3 או E5
קבע תצורה של מיקומים בעלי שם. הגנה למזהה Microsoft Entra אוספת ומנתחת את כל נתוני ההפעלה הזמינים כדי ליצור ניקוד סיכון. מומלץ לציין את טווחי ה- IP הציבוריים של הארגון שלך עבור הרשת שלך בתצורה של Microsoft Entra מזהה בעלי שם. התנועה שמגיעה מטווחים אלה תינתן ציון סיכון מופחת, ותעבורה מחוץ לסביבה הארגונית תינתן ציון סיכון גבוה יותר. Microsoft 365 E3 או E5
רשום את כל המשתמשים לאיפוס סיסמה בשירות עצמי (SSPR) ואימות רב גורמי (MFA). מומלץ לרשום משתמשים Microsoft Entra אימות רב גורמי מראש. הגנה למזהה Microsoft Entra עושה שימוש באימות Microsoft Entra רב גורמי כדי לבצע אימות אבטחה נוסף. בנוסף, לקבלת חוויית הכניסה הטובה ביותר, אנו ממליצים למשתמשים להתקין את האפליקציה Microsoft Authenticator ואת האפליקציה Microsoft Company Portal במכשירים שלהם. ניתן להתקין אפליקציות אלה מחנות האפליקציות עבור כל פלטפורמה. Microsoft 365 E3 או E5
תכנן את Microsoft Entra ההצטרפות ההיברידית שלך. גישה מותנית תוודא שהמכשירים המחוברים לאפליקציות יהיו מצורפים לתחום או תואמים. כדי לתמוך באפשרות זו במחשבי Windows, יש לרשום את המכשיר Microsoft Entra מזהה. מאמר זה דן באופן קביעת התצורה של רישום אוטומטי של מכשירים. ענן בלבד Microsoft 365 E3 או E5
הכן את צוות התמיכה שלך. התמקם תוכנית עבור משתמשים שאינם יכולים להשלים את MFA. פעולה זו עשויה להוסיף אותם לקבוצת אי-הכללה של מדיניות, או לרשום עבורם מידע MFA חדש. לפני ביצוע אחד משינויים אלה תלויי האבטחה, עליך לוודא שהמשתמש בפועל מבצע את הבקשה. דרישת המנהלים של המשתמשים לעזור באישור היא שלב יעיל. Microsoft 365 E3 או E5
קבע את התצורה של כתיבת חוזרת של סיסמה ל- AD מקומי. כתיבת חוזרת של Microsoft Entra מזהה מאפשרת למשתמשים לדרוש ממשתמשים לשנות את הסיסמאות המקומיות שלהם כאשר מזוהה סכנה בחשבון בסיכון גבוה. באפשרותך להפוך תכונה זו לזמינה באמצעות Microsoft Entra התחבר באחת משתי דרכים: הפוך כתיבה חוזרת של סיסמה לזמינה במסך התכונות האופציונליות של Microsoft Entra התחבר, או הפוך אותה לזמינה באמצעות Windows PowerShell. ענן בלבד Microsoft 365 E3 או E5
קבע את Microsoft Entra הגנה באמצעות סיסמה. Microsoft Entra הגנה באמצעות סיסמה מזהה וחוסם סיסמאות חלשות ידועות ואת המשתנים שלהן, והיא יכולה גם לחסום מונחים חלשים נוספים הספציפיים לארגון שלך. רשימות סיסמאות כלליות שנאסרו המהוות ברירת מחדל מוחלות באופן אוטומטי על כל המשתמשים Microsoft Entra שלך. באפשרותך להגדיר ערכים נוספים ברשימת סיסמאות מורחקת מותאמת אישית. כאשר משתמשים משתנים או מאפסים את הסיסמאות שלהם, רשימות הסיסמאות המורחקות הללו נבדקות כדי לאכוף את השימוש בסיסמאות חזקות. Microsoft 365 E3 או E5
הפוך את הגנה למזהה Microsoft Entra לזמין. הגנה למזהה Microsoft Entra מאפשר לך לזהות פגיעויות פוטנציאליות שמשפיעות על זהויות הארגון שלך ולהגדיר מדיניות תיקון אוטומטית לסיכון כניסה נמוך, בינוני וגיבי וסיכון משתמש. Microsoft 365 E5 או Microsoft 365 E3 באמצעות ההרחבה 'אבטחה E5'
הפוך אימות מודרני לזמיןעבור Exchange Online ול- Skype for Business Online. אימות מודרני הוא דרישה מוקדמת לשימוש ב- MFA. אימות מודרני מופעל כברירת מחדל עבור לקוחות Office 2016 ו- Office 2019, SharePoint ו- OneDrive for Business. Microsoft 365 E3 או E5
הפוך הערכת גישה רציפה לזמינה עבור Microsoft Entra מזהה. הערכת גישה רציפה מסתיימת באופן יזום הפעלות משתמש פעילות אוכפת שינויי מדיניות דיירים בקרבת זמן אמת. Microsoft 365 E3 או E5

סעיף זה מתאר את תצורות ברירת המחדל של לקוח הפלטפורמה שאנו ממליצים לספק למשתמשים שלך את חוויית ה- SSO הטובה ביותר, וכן את הדרישות המוקדמות הטכניות עבור גישה מותנית.

מכשירי Windows

אנו ממליצים Windows 11 או Windows 10 (גירסה 2004 ואילך), כי Azure נועד לספק את חוויית ה- SSO החלקה ביותר האפשרית עבור שירותים מקומיים Microsoft Entra מזהה. יש לקבוע את התצורה של מכשירים שהונפקו על-ידי מקום העבודה או בית הספר כך ש יצטרפו ל- Microsoft Entra מזהה ישירות או אם הארגון משתמש בהצטרפות לתחום AD מקומי, יש לקבוע את תצורתם של מכשירים אלה כך שנרשמו באופן אוטומטי ובשקט ב- Microsoft Entra מזהה.

עבור מכשירי BYOD של Windows, המשתמשים יכולים להשתמש בהוספת חשבון בעבודה או בבית ספר. שים לב שמשתמשים בדפדפן Google Chrome במכשירי Windows 11 או Windows 10 צריכים להתקין הרחבה כדי לקבל את אותה חוויית כניסה חלקה כמו משתמשי Microsoft Edge. כמו כן, אם לארגון שלך יש מכשירים מצורפים לתחום Windows 8 או 8.1, באפשרותך להתקין את Microsoft Workplace Join עבור מחשבים שאינם Windows 10 אחרים. הורד את החבילה כדי לרשום את המכשירים באמצעות Microsoft Entra מזהה.

מכשירי iOS

אנו ממליצים להתקין את האפליקציה Microsoft Authenticator במכשירי משתמש לפני פריסת מדיניות גישה מותנית או MFA. לכל הפחות, יש להתקין את האפליקציה כאשר המשתמשים מתבקשים לרשום את המכשיר שלהם ב- Microsoft Entra מזהה על-ידי הוספת חשבון בעבודה או בבית ספר, או בעת התקנת האפליקציה של פורטל החברה של Intune כדי לרשום את המכשיר שלהם לניהול. הדבר תלוי במדיניות הגישה המותנה שתצורתה נקבעה.

מכשירי Android

אנו ממליצים למשתמשים להתקין את Intune Company Portal היישום Microsoft Authenticator לפני פריסת פריטי מדיניות של גישה מותנית או בעת הצורך במהלך ניסיונות אימות מסוימים. לאחר התקנת האפליקציה, ייתכן שהמשתמשים יתבקשו להירשם עם Microsoft Entra מזהה או לרשום את המכשיר שלהם Intune. הדבר תלוי במדיניות הגישה המותנה שתצורתה נקבעה.

כמו כן, אנו ממליצים שמכשירים בבעלות הארגון יהיו סטנדרטיים ב- OEM ובגרסאות התומכות ב- Android for Work או ב- Samsung Knox כדי לאפשר חשבונות דואר, להיות מנוהלים ומוגנים על-ידי Intune MDM.

לקוחות הדואר האלקטרוני הבאים תומכים באימות מודרני ובגישה מותנית.

פלטפורמה לקוח גירסה/הערות
Windows Outlook 2019, 2016

עדכונים נדרשים
iOS Outlook עבור iOS האחרונה
Android Outlook עבור Android האחרונה
Macos Outlook 2019 ו- 2016
לינוקס לא נתמך

הלקוחות הבאים מומלצים בעת החלת מדיניות מסמכים מאובטחת.

פלטפורמה Word/Excel/PowerPoint OneNote אפליקציית OneDrive יישום SharePoint סינכרון OneDrive לקוח
Windows 11 או Windows 10 נתמך נתמך לא רלוונטי לא רלוונטי נתמך
Windows 8.1 נתמך נתמך לא רלוונטי לא רלוונטי נתמך
Android נתמך נתמך נתמך נתמך לא רלוונטי
iOS נתמך נתמך נתמך נתמך לא רלוונטי
Macos נתמך נתמך לא רלוונטי לא רלוונטי לא נתמך
לינוקס לא נתמך לא נתמך לא נתמך לא נתמך לא נתמך

תמיכה בלקוח Microsoft 365

לקבלת מידע נוסף אודות תמיכת לקוחות ב- Microsoft 365, עיין במאמרים הבאים:

הגנה על חשבונות מנהל מערכת

עבור Microsoft 365 E3 או E5 או עם רשיונות נפרדים של Microsoft Entra מזהה P1 או P2, באפשרותך לדרוש MFA עבור חשבונות מנהל מערכת עם מדיניות גישה מותנית שנוצרה באופן ידני. ראה גישה מותנית: דרוש MFA עבור מנהלי מערכת לקבלת הפרטים.

עבור מהדורות של Microsoft 365 או Office 365 התומכות בגישה מותנית, באפשרותך לאפשר ברירות מחדל של אבטחה לדרוש MFA עבור כל החשבונות.

הנה כמה המלצות נוספות:

  • השתמש Microsoft Entra Privileged Identity Management כדי להפחית את מספר החשבונות הניהוליים המתמידים.
  • השתמש בניהול גישה הרשאה כדי להגן על הארגון שלך מפני הפרות שעשויות להשתמש בחשבונות ניהול הרשאות קיימים עם גישה בעמידה לנתונים רגישים או גישה להגדרות תצורה קריטיות.
  • Create ולהשתמש בחשבונות נפרדים שהוקצו להם תפקידי מנהל מערכת של Microsoft 365עבור ניהול בלבד. מנהלי מערכת צריכים להיות בעלי חשבון משתמש משלהם לשימוש רגיל שאינו ניהולי ולהשתמש בחשבון ניהולי רק בעת הצורך כדי להשלים משימה המשויכת לתפקיד או לתפקיד שלהם.
  • פעל בהתאם לשיטות העבודה המומלצות לאבטחת חשבונות Microsoft Entra מזהה.

השלב הבא

שלב 2: קבע את התצורה של אפס אמון זהות וגישה למדיניות גישה מותנית.

קביעת התצורה של אפס אמון מדיניות הגישה למכשיר וזהות ולמכשירים