עבודה המהווה דרישה מוקדמת ליישום אפס אמון מדיניות גישה לזהות ולמכשיר
מאמר זה מתאר את הדרישות המוקדמות שמנהלי מערכת חייבים לעמוד בהם כדי להשתמש במדיניות אפס אמון מומלצת של זהות וגישה למכשיר, ולהשתמש בגישה מותנית. בנוסף, הוא דן בהגדרות ברירת המחדל המומלצות לקביעת תצורה של פלטפורמות לקוח עבור חוויית הכניסה ה יחידה (SSO) הטובה ביותר.
דרישות מוקדמות
לפני השימוש אפס אמון מדיניות גישה למכשיר וזהות מומלצת, הארגון שלך צריך לעמוד בדרישות המוקדמות. הדרישות שונות עבור המודלים השונים של זהות ואימות המפורטים:
- ענן בלבד
- אימות היברידי עם סינכרון Hash של סיסמאות (PHS)
- היברידי עם אימות מעבר (PTA)
- מאוחד
הטבלה הבאה מפרטת את התכונות המהוות דרישה מוקדמת ואת התצורה שלהן החלות על כל מודלי הזהויות, למעט כאשר צוין.
תצורה | חריגים | רישוי |
---|---|---|
קבע את תצורת PHS. יש להפוך תכונה זו לזמינה כדי לזהות אישורים שדולפים ולפפעל לפיהם לקבלת גישה מותנית מבוססת סיכון. הערה: הדבר נדרש גם אם הארגון שלך משתמש באימות מאוחד. | ענן בלבד | Microsoft 365 E3 או E5 |
הפוך כניסה יחידה חלקה לזמינה כדי להוסיף משתמשים באופן אוטומטי כאשר הם נמצאים במכשירי הארגון שלהם המחוברים לרשת הארגון שלך. | ענן בלבד ו מאוחד | Microsoft 365 E3 או E5 |
קבע תצורה של מיקומים בעלי שם. הגנה למזהה Microsoft Entra אוספת ומנתחת את כל נתוני ההפעלה הזמינים כדי ליצור ניקוד סיכון. מומלץ לציין את טווחי ה- IP הציבוריים של הארגון שלך עבור הרשת שלך בתצורה של Microsoft Entra מזהה בעלי שם. התנועה שמגיעה מטווחים אלה תינתן ציון סיכון מופחת, ותעבורה מחוץ לסביבה הארגונית תינתן ציון סיכון גבוה יותר. | Microsoft 365 E3 או E5 | |
רשום את כל המשתמשים לאיפוס סיסמה בשירות עצמי (SSPR) ואימות רב גורמי (MFA). מומלץ לרשום משתמשים Microsoft Entra אימות רב גורמי מראש. הגנה למזהה Microsoft Entra עושה שימוש באימות Microsoft Entra רב גורמי כדי לבצע אימות אבטחה נוסף. בנוסף, לקבלת חוויית הכניסה הטובה ביותר, אנו ממליצים למשתמשים להתקין את האפליקציה Microsoft Authenticator ואת האפליקציה Microsoft Company Portal במכשירים שלהם. ניתן להתקין אפליקציות אלה מחנות האפליקציות עבור כל פלטפורמה. | Microsoft 365 E3 או E5 | |
תכנן את Microsoft Entra ההצטרפות ההיברידית שלך. גישה מותנית תוודא שהמכשירים המחוברים לאפליקציות יהיו מצורפים לתחום או תואמים. כדי לתמוך באפשרות זו במחשבי Windows, יש לרשום את המכשיר Microsoft Entra מזהה. מאמר זה דן באופן קביעת התצורה של רישום אוטומטי של מכשירים. | ענן בלבד | Microsoft 365 E3 או E5 |
הכן את צוות התמיכה שלך. התמקם תוכנית עבור משתמשים שאינם יכולים להשלים את MFA. פעולה זו עשויה להוסיף אותם לקבוצת אי-הכללה של מדיניות, או לרשום עבורם מידע MFA חדש. לפני ביצוע אחד משינויים אלה תלויי האבטחה, עליך לוודא שהמשתמש בפועל מבצע את הבקשה. דרישת המנהלים של המשתמשים לעזור באישור היא שלב יעיל. | Microsoft 365 E3 או E5 | |
קבע את התצורה של כתיבת חוזרת של סיסמה ל- AD מקומי. כתיבת חוזרת של Microsoft Entra מזהה מאפשרת למשתמשים לדרוש ממשתמשים לשנות את הסיסמאות המקומיות שלהם כאשר מזוהה סכנה בחשבון בסיכון גבוה. באפשרותך להפוך תכונה זו לזמינה באמצעות Microsoft Entra התחבר באחת משתי דרכים: הפוך כתיבה חוזרת של סיסמה לזמינה במסך התכונות האופציונליות של Microsoft Entra התחבר, או הפוך אותה לזמינה באמצעות Windows PowerShell. | ענן בלבד | Microsoft 365 E3 או E5 |
קבע את Microsoft Entra הגנה באמצעות סיסמה. Microsoft Entra הגנה באמצעות סיסמה מזהה וחוסם סיסמאות חלשות ידועות ואת המשתנים שלהן, והיא יכולה גם לחסום מונחים חלשים נוספים הספציפיים לארגון שלך. רשימות סיסמאות כלליות שנאסרו המהוות ברירת מחדל מוחלות באופן אוטומטי על כל המשתמשים Microsoft Entra שלך. באפשרותך להגדיר ערכים נוספים ברשימת סיסמאות מורחקת מותאמת אישית. כאשר משתמשים משתנים או מאפסים את הסיסמאות שלהם, רשימות הסיסמאות המורחקות הללו נבדקות כדי לאכוף את השימוש בסיסמאות חזקות. | Microsoft 365 E3 או E5 | |
הפוך את הגנה למזהה Microsoft Entra לזמין. הגנה למזהה Microsoft Entra מאפשר לך לזהות פגיעויות פוטנציאליות שמשפיעות על זהויות הארגון שלך ולהגדיר מדיניות תיקון אוטומטית לסיכון כניסה נמוך, בינוני וגיבי וסיכון משתמש. | Microsoft 365 E5 או Microsoft 365 E3 באמצעות ההרחבה 'אבטחה E5' | |
הפוך אימות מודרני לזמיןעבור Exchange Online ול- Skype for Business Online. אימות מודרני הוא דרישה מוקדמת לשימוש ב- MFA. אימות מודרני מופעל כברירת מחדל עבור לקוחות Office 2016 ו- Office 2019, SharePoint ו- OneDrive for Business. | Microsoft 365 E3 או E5 | |
הפוך הערכת גישה רציפה לזמינה עבור Microsoft Entra מזהה. הערכת גישה רציפה מסתיימת באופן יזום הפעלות משתמש פעילות אוכפת שינויי מדיניות דיירים בקרבת זמן אמת. | Microsoft 365 E3 או E5 |
תצורות לקוח מומלצות
סעיף זה מתאר את תצורות ברירת המחדל של לקוח הפלטפורמה שאנו ממליצים לספק למשתמשים שלך את חוויית ה- SSO הטובה ביותר, וכן את הדרישות המוקדמות הטכניות עבור גישה מותנית.
מכשירי Windows
אנו ממליצים Windows 11 או Windows 10 (גירסה 2004 ואילך), כי Azure נועד לספק את חוויית ה- SSO החלקה ביותר האפשרית עבור שירותים מקומיים Microsoft Entra מזהה. יש לקבוע את התצורה של מכשירים שהונפקו על-ידי מקום העבודה או בית הספר כך ש יצטרפו ל- Microsoft Entra מזהה ישירות או אם הארגון משתמש בהצטרפות לתחום AD מקומי, יש לקבוע את תצורתם של מכשירים אלה כך שנרשמו באופן אוטומטי ובשקט ב- Microsoft Entra מזהה.
עבור מכשירי BYOD של Windows, המשתמשים יכולים להשתמש בהוספת חשבון בעבודה או בבית ספר. שים לב שמשתמשים בדפדפן Google Chrome במכשירי Windows 11 או Windows 10 צריכים להתקין הרחבה כדי לקבל את אותה חוויית כניסה חלקה כמו משתמשי Microsoft Edge. כמו כן, אם לארגון שלך יש מכשירים מצורפים לתחום Windows 8 או 8.1, באפשרותך להתקין את Microsoft Workplace Join עבור מחשבים שאינם Windows 10 אחרים. הורד את החבילה כדי לרשום את המכשירים באמצעות Microsoft Entra מזהה.
מכשירי iOS
אנו ממליצים להתקין את האפליקציה Microsoft Authenticator במכשירי משתמש לפני פריסת מדיניות גישה מותנית או MFA. לכל הפחות, יש להתקין את האפליקציה כאשר המשתמשים מתבקשים לרשום את המכשיר שלהם ב- Microsoft Entra מזהה על-ידי הוספת חשבון בעבודה או בבית ספר, או בעת התקנת האפליקציה של פורטל החברה של Intune כדי לרשום את המכשיר שלהם לניהול. הדבר תלוי במדיניות הגישה המותנה שתצורתה נקבעה.
מכשירי Android
אנו ממליצים למשתמשים להתקין את Intune Company Portal היישום Microsoft Authenticator לפני פריסת פריטי מדיניות של גישה מותנית או בעת הצורך במהלך ניסיונות אימות מסוימים. לאחר התקנת האפליקציה, ייתכן שהמשתמשים יתבקשו להירשם עם Microsoft Entra מזהה או לרשום את המכשיר שלהם Intune. הדבר תלוי במדיניות הגישה המותנה שתצורתה נקבעה.
כמו כן, אנו ממליצים שמכשירים בבעלות הארגון יהיו סטנדרטיים ב- OEM ובגרסאות התומכות ב- Android for Work או ב- Samsung Knox כדי לאפשר חשבונות דואר, להיות מנוהלים ומוגנים על-ידי Intune MDM.
לקוחות דואר אלקטרוני מומלצים
לקוחות הדואר האלקטרוני הבאים תומכים באימות מודרני ובגישה מותנית.
פלטפורמה | לקוח | גירסה/הערות |
---|---|---|
Windows | Outlook | 2019, 2016 |
iOS | Outlook עבור iOS | האחרונה |
Android | Outlook עבור Android | האחרונה |
Macos | Outlook | 2019 ו- 2016 |
לינוקס | לא נתמך |
פלטפורמות לקוח מומלצות בעת אבטחת מסמכים
הלקוחות הבאים מומלצים בעת החלת מדיניות מסמכים מאובטחת.
פלטפורמה | Word/Excel/PowerPoint | OneNote | אפליקציית OneDrive | יישום SharePoint | סינכרון OneDrive לקוח |
---|---|---|---|---|---|
Windows 11 או Windows 10 | נתמך | נתמך | לא רלוונטי | לא רלוונטי | נתמך |
Windows 8.1 | נתמך | נתמך | לא רלוונטי | לא רלוונטי | נתמך |
Android | נתמך | נתמך | נתמך | נתמך | לא רלוונטי |
iOS | נתמך | נתמך | נתמך | נתמך | לא רלוונטי |
Macos | נתמך | נתמך | לא רלוונטי | לא רלוונטי | לא נתמך |
לינוקס | לא נתמך | לא נתמך | לא נתמך | לא נתמך | לא נתמך |
תמיכה בלקוח Microsoft 365
לקבלת מידע נוסף אודות תמיכת לקוחות ב- Microsoft 365, עיין במאמרים הבאים:
- תמיכה ביישום לקוח של Microsoft 365 - גישה מותנית
- תמיכה ביישום לקוח של Microsoft 365 - אימות רב גורמי
הגנה על חשבונות מנהל מערכת
עבור Microsoft 365 E3 או E5 או עם רשיונות נפרדים של Microsoft Entra מזהה P1 או P2, באפשרותך לדרוש MFA עבור חשבונות מנהל מערכת עם מדיניות גישה מותנית שנוצרה באופן ידני. ראה גישה מותנית: דרוש MFA עבור מנהלי מערכת לקבלת הפרטים.
עבור מהדורות של Microsoft 365 או Office 365 התומכות בגישה מותנית, באפשרותך לאפשר ברירות מחדל של אבטחה לדרוש MFA עבור כל החשבונות.
הנה כמה המלצות נוספות:
- השתמש Microsoft Entra Privileged Identity Management כדי להפחית את מספר החשבונות הניהוליים המתמידים.
- השתמש בניהול גישה הרשאה כדי להגן על הארגון שלך מפני הפרות שעשויות להשתמש בחשבונות ניהול הרשאות קיימים עם גישה בעמידה לנתונים רגישים או גישה להגדרות תצורה קריטיות.
- Create ולהשתמש בחשבונות נפרדים שהוקצו להם תפקידי מנהל מערכת של Microsoft 365עבור ניהול בלבד. מנהלי מערכת צריכים להיות בעלי חשבון משתמש משלהם לשימוש רגיל שאינו ניהולי ולהשתמש בחשבון ניהולי רק בעת הצורך כדי להשלים משימה המשויכת לתפקיד או לתפקיד שלהם.
- פעל בהתאם לשיטות העבודה המומלצות לאבטחת חשבונות Microsoft Entra מזהה.
השלב הבא
קביעת התצורה של אפס אמון מדיניות הגישה למכשיר וזהות ולמכשירים
משוב
https://aka.ms/ContentUserFeedback.
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה:שלח והצג משוב עבור