Identitásinfrastruktúra üzembe helyezése a Microsoft 365-höz

A Nagyvállalati Microsoft 365-ben egy jól megtervezett és végrehajtott identitásinfrastruktúra kikövezi az utat a nagyobb biztonság érdekében, beleértve a termelékenységi számítási feladatokhoz és az adataikhoz való hozzáférés korlátozását csak hitelesített felhasználókra és eszközökre. Az identitások biztonsága egy Teljes felügyelet üzemelő példány kulcsfontosságú eleme, amelyben minden helyszíni és felhőbeli erőforrás-hozzáférésre tett kísérlet hitelesítve és engedélyezve van.

Az egyes Nagyvállalati Microsoft 365 identitásfunkcióiról, az Azure Active Directory (Azure AD) szerepköréről, a helyszíni és felhőalapú összetevőkről, valamint a leggyakoribb hitelesítési konfigurációkról az Identitásinfrastruktúra poszter nyújt tájékoztatást.

Az Identitásinfrastruktúra poszter.

Tekintse át ezt a kétoldalas plakátot, hogy gyorsan megismerkedjen a Nagyvállalati Microsoft 365 identitáskezelési fogalmaival és konfigurációival.

Letöltheti ezt a plakátot , és kinyomtathatja levél, jogi vagy bulvár (11 x 17) formátumban.

Ez a megoldás az első lépés a Microsoft 365 Teljes felügyelet üzembehelyezési verem kiépítéséhez.

A Microsoft 365 Teljes felügyelet üzembehelyezési verme

További információt a Microsoft 365 Teljes felügyelet telepítési tervében talál.

Mi található ebben a megoldásban?

Ez a megoldás végigvezeti a Microsoft 365-bérlő identitásinfrastruktúra üzembe helyezésén, hogy hozzáférést biztosítson az alkalmazottaknak, és védelmet nyújtson az identitásalapú támadások ellen.

Identitásinfrastruktúra üzembe helyezése a Microsoft 365-höz

A megoldás lépései a következők:

  1. Határozza meg az identitásmodellt.
  2. A Microsoft 365 kiemelt jogosultságú fiókjai védelme.
  3. A Microsoft 365-ös felhasználói fiókok védelme.
  4. Az identitásmodell üzembe helyezése.

Ez a megoldás a Teljes felügyelet alapelveit támogatja:

  • Ellenőrizze explicit módon: A hitelesítést és engedélyezést mindig az összes rendelkezésre álló adatpont alapján kell elvégezni.
  • Minimális jogosultsági szintű hozzáférés használata: A felhasználói hozzáférés korlátozása igény szerinti és igény szerinti hozzáféréssel (JIT/JEA), kockázatalapú adaptív szabályzatokkal és adatvédelemmel.
  • Tegyük fel, hogy megsérti a következőt: Minimalizálja a robbanási sugarat és a szegmenshozzáférést. Ellenőrizze a teljes körű titkosítást, és használja az elemzéseket a láthatóság eléréséhez, a fenyegetésészlelés ösztönzéséhez és a védelem javításához.

A hagyományos intranetes hozzáféréssel ellentétben, amely a szervezet tűzfala mögött mindent megbízhatónak tekint, Teljes felügyelet úgy kezeli az egyes bejelentkezéseket és hozzáférést, mintha egy ellenőrizetlen hálózatból származnak, akár a szervezeti tűzfal mögött, akár az interneten. Teljes felügyelet védelmet igényel a hálózat, az infrastruktúra, az identitások, a végpontok, az alkalmazások és az adatok számára.

A Microsoft 365 képességei és funkciói

Azure AD teljes identitáskezelési és biztonsági képességeket biztosít a Microsoft 365-bérlő számára.

Képesség vagy funkció Leírás Licencelés
Többtényezős hitelesítés (MFA) Az MFA használatához a felhasználóknak két ellenőrzési formát kell megadniuk, például egy felhasználói jelszót, valamint a Microsoft Authenticator alkalmazás értesítését vagy egy telefonhívást. Az MFA jelentősen csökkenti annak kockázatát, hogy az ellopott hitelesítő adatok felhasználhatók a környezet eléréséhez. A Microsoft 365 a Azure AD Multi-Factor Authentication szolgáltatást használja az MFA-alapú bejelentkezésekhez. Microsoft 365 E3 vagy E5
Feltételes hozzáférés Azure AD kiértékeli a felhasználói bejelentkezés feltételeit, és feltételes hozzáférési szabályzatokkal határozza meg az engedélyezett hozzáférést. Ebben az útmutatóban például bemutatjuk, hogyan hozhat létre olyan feltételes hozzáférési szabályzatot, amely megköveteli az eszköz megfelelőségét a bizalmas adatokhoz való hozzáféréshez. Ez jelentősen csökkenti annak kockázatát, hogy egy támadó saját eszközével és ellopott hitelesítő adataival hozzáférhessen a bizalmas adatokhoz. Emellett az eszközökön lévő bizalmas adatokat is védi, mivel az eszközöknek meg kell felelniük az állapotra és a biztonságra vonatkozó konkrét követelményeknek. Microsoft 365 E3 vagy E5
Azure AD csoportok A feltételes hozzáférési szabályzatok, a Intune-alapú eszközkezelés, valamint a szervezeten belüli fájlokra és webhelyekre vonatkozó engedélyek is a felhasználói fiókokhoz vagy Azure AD csoportokhoz való hozzárendelésre támaszkodnak. Javasoljuk, hogy hozzon létre Azure AD csoportokat, amelyek megfelelnek a megvalósítandó védelmi szinteknek. A vezetők például valószínűleg nagyobb értéket képviselnek a hackerek számára. Ezért érdemes hozzáadni ezeknek az alkalmazottaknak a felhasználói fiókjait egy Azure AD csoporthoz, és ezt a csoportot feltételes hozzáférési szabályzatokhoz és más szabályzatokhoz rendelni, amelyek magasabb szintű hozzáférést követelnek meg. Microsoft 365 E3 vagy E5
Azure AD Identity Protection Lehetővé teszi a szervezet identitásait érintő potenciális biztonsági rések észlelését, valamint az automatizált szervizelési szabályzat alacsony, közepes és magas bejelentkezési kockázatra és felhasználói kockázatra való konfigurálását. Ez az útmutató erre a kockázatfelmérésre támaszkodik, hogy feltételes hozzáférési szabályzatokat alkalmazzon a többtényezős hitelesítéshez. Ez az útmutató egy feltételes hozzáférési szabályzatot is tartalmaz, amely megköveteli, hogy a felhasználók módosítsák a jelszavukat, ha magas kockázatú tevékenységet észlelnek a fiókjukban. Microsoft 365 E5, Microsoft 365 E3 az E5 Biztonsági bővítmény, AZ EMS E5 vagy Prémium P2 szintű Azure AD licenccel
Önkiszolgáló jelszó-visszaállítás (SSPR) Lehetővé teszi, hogy a felhasználók biztonságosan és ügyfélszolgálati beavatkozás nélkül visszaállíthassák jelszavukat a rendszergazda által vezérelhető több hitelesítési módszer ellenőrzésével. Microsoft 365 E3 vagy E5
Azure AD jelszóvédelem Észlelheti és letilthatja az ismert gyenge jelszavakat és azok változatait, valamint a szervezetre jellemző további gyenge kifejezéseket. A rendszer automatikusan alkalmazza az alapértelmezett globális tiltott jelszólistákat az Azure AD-bérlő összes felhasználója számára. Az egyéni tiltott jelszavak listájában további bejegyzéseket is megadhat. Amikor a felhasználók módosítják vagy alaphelyzetbe állítják a jelszavukat, a rendszer ellenőrzi ezeket a letiltott jelszólistákat, hogy kényszerítsék az erős jelszavak használatát. Microsoft 365 E3 vagy E5

Következő lépések

Az alábbi lépésekkel helyezhet üzembe egy identitásmodellt és hitelesítési infrastruktúrát a Microsoft 365-bérlőhöz:

  1. Határozza meg a felhőbeli identitásmodellt.
  2. A Microsoft 365 kiemelt jogosultságú fiókjai védelme.
  3. A Microsoft 365-ös felhasználói fiókok védelme.
  4. A felhőalapú identitásmodell üzembe helyezése: csak felhőalapú vagy hibrid.

A Microsoft 365-bérlőhöz használandó identitásmodell meghatározása

További microsoftos felhőbeli identitásforrások

Kezelés

A Microsoft cloud identity üzembe helyezésének kezeléséhez lásd:

A Microsoft identitáskezelése a Microsoft 365-höz

Megtudhatja, hogyan kezelik a Microsoft informatikai szakértői az identitásokat és a biztonságos hozzáférést.

Megjegyzés

Ez az IT Showcase-erőforrás csak angol nyelven érhető el.

Hogyan végezte el a Contoso az identitást a Microsoft 365-ben?

Példa arra, hogy egy fiktív, de reprezentatív multinacionális szervezet hogyan telepített hibrid identitás-infrastruktúrát a Microsoft 365 felhőszolgáltatásaihoz: Identity for the Contoso Corporation.