Teljes felügyeletű identitás- és eszközhozzáférési konfigurációk

Azok a biztonsági architektúrák, amelyek hálózati tűzfalakra és virtuális magánhálózatokra (VPN-ekre) támaszkodnak a szervezet technológiai erőforrásainak és szolgáltatásainak elkülönítéséhez és hozzáférésének korlátozásához, már nem elegendőek az olyan munkaerő számára, akik rendszeresen hozzáférést igényelnek a hagyományos vállalati hálózati határokon túli alkalmazásokhoz és erőforrásokhoz.

A számítástechnika ezen új világának kezelése érdekében a Microsoft erősen ajánlja a Teljes felügyelet biztonsági modellt, amely az alábbi alapelveken alapul:

  • Explicit ellenőrzés

    A hitelesítést és engedélyezést mindig az összes rendelkezésre álló adatpont alapján kell elvégezni. Itt Teljes felügyelet identitás- és eszközhozzáférési szabályzatok elengedhetetlenek a bejelentkezéshez és a folyamatos ellenőrzéshez.

  • Minimális jogosultsági hozzáférés használata

    A felhasználói hozzáférés korlátozása igény szerinti és igény szerinti hozzáféréssel (JIT/JEA), kockázatalapú adaptív szabályzatokkal és adatvédelemmel.

  • Biztonsági incidens feltételezése

    Minimalizálja a robbanási sugarat és a szegmenshozzáférést. Ellenőrizze a teljes körű titkosítást, és használja az elemzéseket a láthatóság eléréséhez, a fenyegetésészlelés ösztönzéséhez és a védelem javításához.

Íme a Teljes felügyelet általános architektúrája.

A Microsoft Teljes felügyelet architektúrája

Teljes felügyelet identitás- és eszközhozzáférési szabályzatok az Ellenőrzés kifejezetten az alábbiakra vonatkozó irányelveket kezelik:

  • Identitások

    Amikor egy identitás megpróbál hozzáférni egy erőforráshoz, ellenőrizze az identitást erős hitelesítéssel, és győződjön meg arról, hogy a kért hozzáférés megfelelő és jellemző.

  • Eszközök (más néven végpontok)

    Monitorozza és betartatja az eszközállapotra és a megfelelőségi követelményekre vonatkozó követelményeket a biztonságos hozzáférés érdekében.

  • Alkalmazások

    Vezérlők és technológiák alkalmazásával felderítheti az árnyék-informatikai részleget, biztosíthatja a megfelelő alkalmazáson belüli engedélyeket, valós idejű elemzésen alapuló kapuhozzáférést, figyelheti a rendellenes viselkedést, szabályozhatja a felhasználói műveleteket, és ellenőrizheti a biztonságos konfigurációs beállításokat.

Ez a cikksorozat az identitás- és eszközhozzáférés előfeltételeinek konfigurálását ismerteti, valamint az Azure Active Directory (Azure AD) feltételes hozzáférésének, Microsoft Intune és egyéb szabályzatainak készletét, amelyek Teljes felügyelet hozzáférését a vállalati felhőalkalmazásokhoz és -szolgáltatásokhoz, más SaaS-szolgáltatásokhoz és a következővel közzétett helyszíni alkalmazásokhoz: Azure AD alkalmazásproxy.

Teljes felügyelet identitás- és eszközhozzáférési beállítások és szabályzatok három szinten ajánlottak: kiindulási pont, vállalati és speciális biztonság a szigorúan szabályozott vagy besorolt adatokkal rendelkező környezetekhez. Ezek a szintek és a hozzájuk tartozó konfigurációk egységes szintű Teljes felügyelet védelmet biztosítanak az adatok, az identitások és az eszközök számára.

Ezek a képességek és azok javaslatai:

Ha a szervezet egyedi környezeti követelményekkel vagy összetettségekkel rendelkezik, használja ezeket a javaslatokat kiindulási pontként. A legtöbb szervezet azonban az előírt módon megvalósíthatja ezeket a javaslatokat.

Ebből a videóból gyorsan áttekintheti a Nagyvállalati Microsoft 365 identitás- és eszközhozzáférés-konfigurációit.


Megjegyzés

A Microsoft Enterprise Mobility + Security (EMS) licenceket is értékesít Office 365-előfizetésekhez. Az EMS E3 és az EMS E5 képességei egyenértékűek a Microsoft 365 E3 és Microsoft 365 E5 képességeivel. A részletekért tekintse meg az EMS-csomagokat .

Célközönség

Ezek a javaslatok olyan nagyvállalati tervezőknek és informatikai szakembereknek szólnak, akik ismerik a Microsoft 365 felhőalapú hatékonyságnövelő és biztonsági szolgáltatásait, például az Azure AD (identitás), Microsoft Intune (eszközkezelés) és Microsoft Purview információvédelem (adatvédelem).

Ügyfélkörnyezet

Az ajánlott szabályzatok olyan vállalati szervezetekre vonatkoznak, amelyek teljes egészében a Microsoft-felhőben működnek, valamint a hibrid identitáskezelési infrastruktúrával rendelkező ügyfelek számára, amely egy Azure AD-bérlővel szinkronizált helyi Active Directory Domain Services- (AD DS-) erdő.

A megadott javaslatok közül sok csak a Microsoft 365 E5, Microsoft 365 E3 az E5 Biztonsági bővítmény, az EMS E5 vagy Prémium P2 szintű Azure AD licenccel elérhető szolgáltatásokra támaszkodik.

Azoknak a szervezeteknek, amelyek nem rendelkeznek ezekkel a licencekkel, a Microsoft azt javasolja, hogy legalább alkalmazzon alapértelmezett biztonsági beállításokat, amelyek minden Microsoft 365-csomagban megtalálhatók.

Ellenmondások

Előfordulhat, hogy a szervezetére szabályozási vagy egyéb megfelelőségi követelmények vonatkoznak, beleértve azokat a konkrét javaslatokat is, amelyek az ajánlott konfigurációktól eltérő szabályzatok alkalmazását követelhetik meg. Ezek a konfigurációk olyan használati vezérlőket javasolnak, amelyek korábban nem voltak elérhetők. Azért javasoljuk ezeket a vezérlőket, mert úgy gondoljuk, hogy egyensúlyt jelentenek a biztonság és a termelékenység között.

Mindent megtettünk azért, hogy figyelembe vehessük a szervezeti védelmi követelmények széles körét, de nem tudjuk figyelembe venni az összes lehetséges követelményt vagy a szervezet összes egyedi aspektusát.

Három védelmi szint

A legtöbb szervezetnek speciális biztonsági és adatvédelmi követelményei vannak. Ezek a követelmények iparági szegmensenként és a szervezeteken belüli feladatfüggvények szerint változnak. Előfordulhat például, hogy a jogi részleg és a rendszergazdák további biztonsági és adatvédelmi vezérlőket igényelnek az e-mail-levelezésükhöz, amelyekre más üzleti egységek esetében nincs szükség.

Minden iparág saját speciális szabályozásokat is biztosít. Ahelyett, hogy felsorolja az összes lehetséges biztonsági lehetőséget, vagy iparági szegmensenként vagy feladatfüggvényenként ajánlást ad, három különböző biztonsági és védelmi szintre vonatkozó javaslatokat adtunk, amelyek az igények részletessége alapján alkalmazhatók.

  • Kiindulópont: Javasoljuk, hogy minden ügyfél hozzon létre és használjon minimális szabványt az adatok védelméhez, valamint az adatokhoz hozzáférő identitások és eszközök védelméhez. Ezeket a javaslatokat követve erős alapértelmezett védelmet biztosíthat minden szervezet számára.
  • Vállalati: Egyes ügyfeleknek olyan adathalmaza van, amelyet magasabb szinten kell védeni, vagy előfordulhat, hogy az összes adatot magasabb szinten kell védeni. A Microsoft 365-környezetben fokozott védelmet alkalmazhat az összes vagy adott adatkészletre. Javasoljuk, hogy a bizalmas adatokhoz hasonló szintű biztonsággal hozzáférő identitásokat és eszközöket védje.
  • Speciális biztonság: Szükség esetén néhány ügyfél kis mennyiségű, szigorúan besorolt, üzleti titkokat tartalmazó vagy szabályozott adatmennyiséggel rendelkezik. A Microsoft olyan képességeket biztosít, amelyek segítenek ezeknek az ügyfeleknek megfelelni ezeknek a követelményeknek, beleértve az identitások és eszközök fokozott védelmét.

A biztonsági kúp

Ez az útmutató bemutatja, hogyan valósíthat meg Teljes felügyelet identitások és eszközök védelmét ezen védelmi szintek mindegyikéhez. Használja ezt az útmutatót minimálisan a szervezet számára, és módosítsa a szabályzatokat úgy, hogy megfeleljenek a szervezet egyedi követelményeinek.

Fontos, hogy az identitások, eszközök és adatok egységes szintű védelmét használja. A kiemelt fiókkal—rendelkező felhasználók , például vezetők, vezetők, vezetők és mások—védelmének például azonos szintű védelmet kell biztosítani az identitásaik, az eszközeik és az általuk elért adatok számára.

Emellett tekintse meg a Microsoft 365-ben tárolt adatok védelmére vonatkozó adatvédelmi szabályzatok adatvédelmi megoldásának központi telepítését ismertető cikket.

Biztonsági és termelékenységi kompromisszumok

Bármely biztonsági stratégia implementálásához kompromisszumra van szükség a biztonság és a termelékenység között. Hasznos kiértékelni, hogy az egyes döntések hogyan befolyásolják a biztonság, a funkciók és a könnyű használat egyensúlyát.

A Biztonság triad kiegyensúlyozása a biztonság, a funkciók és a könnyű használat között

A megadott ajánlások a következő alapelveken alapulnak:

  • Ismerje meg a felhasználókat, és rugalmasan alkalmazkodjon a biztonsági és funkcionális követelményeikhez.
  • Alkalmazzon egy biztonsági szabályzatot időben, és győződjön meg arról, hogy értelmes.

Az identitás- és eszközhozzáférés-védelem Teljes felügyelet szolgáltatásai és fogalmai

A Nagyvállalati Microsoft 365-öt nagyvállalatoknak tervezték, hogy mindenki számára lehetővé tegye a kreatív munkavégzést és a biztonságos közös munkát.

Ez a szakasz áttekintést nyújt a Microsoft 365 identitás- és eszközhozzáférés Teljes felügyelet szempontjából fontos szolgáltatásairól és képességeiről.

Azure AD

Azure AD az identitáskezelési képességek teljes csomagját biztosítja. Javasoljuk, hogy ezeket a képességeket használja a hozzáférés biztonságossá tételéhez.

Képesség vagy funkció Leírás Licencelés
Többtényezős hitelesítés (MFA) Az MFA használatához a felhasználóknak két ellenőrzési formát kell megadniuk, például egy felhasználói jelszót, valamint a Microsoft Authenticator alkalmazás értesítését vagy egy telefonhívást. Az MFA jelentősen csökkenti annak kockázatát, hogy az ellopott hitelesítő adatok felhasználhatók a környezet eléréséhez. A Microsoft 365 a Azure AD Multi-Factor Authentication szolgáltatást használja az MFA-alapú bejelentkezésekhez. Microsoft 365 E3 vagy E5
Feltételes hozzáférés Azure AD kiértékeli a felhasználói bejelentkezés feltételeit, és feltételes hozzáférési szabályzatokkal határozza meg az engedélyezett hozzáférést. Ebben az útmutatóban például bemutatjuk, hogyan hozhat létre olyan feltételes hozzáférési szabályzatot, amely megköveteli az eszköz megfelelőségét a bizalmas adatokhoz való hozzáféréshez. Ez jelentősen csökkenti annak kockázatát, hogy egy támadó saját eszközével és ellopott hitelesítő adataival hozzáférhessen a bizalmas adatokhoz. Emellett az eszközökön lévő bizalmas adatokat is védi, mivel az eszközöknek meg kell felelniük az állapotra és a biztonságra vonatkozó konkrét követelményeknek. Microsoft 365 E3 vagy E5
Azure AD csoportok A feltételes hozzáférési szabályzatok, a Intune-alapú eszközkezelés, valamint a szervezeten belüli fájlokra és webhelyekre vonatkozó engedélyek is a felhasználói fiókokhoz vagy Azure AD csoportokhoz való hozzárendelésre támaszkodnak. Javasoljuk, hogy hozzon létre Azure AD csoportokat, amelyek megfelelnek a megvalósítandó védelmi szinteknek. A vezetők például valószínűleg nagyobb értéket képviselnek a hackerek számára. Ezért érdemes hozzáadni ezeknek az alkalmazottaknak a felhasználói fiókjait egy Azure AD csoporthoz, és ezt a csoportot feltételes hozzáférési szabályzatokhoz és más szabályzatokhoz rendelni, amelyek magasabb szintű hozzáférést követelnek meg. Microsoft 365 E3 vagy E5
Eszközregisztráció Regisztrálhat egy eszközt a Azure AD az eszköz identitásának létrehozásához. Ez az identitás az eszköz hitelesítésére szolgál, amikor egy felhasználó bejelentkezik, és olyan feltételes hozzáférési szabályzatokat alkalmaz, amelyek tartományhoz csatlakoztatott vagy megfelelő számítógépeket igényelnek. Ebben az útmutatóban eszközregisztrációval automatikusan regisztráljuk a tartományhoz csatlakoztatott Windows rendszerű számítógépeket. Az eszközregisztráció előfeltétele az eszközök Intune való kezelésének. Microsoft 365 E3 vagy E5
Azure AD Identity Protection Lehetővé teszi a szervezet identitásait érintő potenciális biztonsági rések észlelését, valamint az automatizált szervizelési szabályzat alacsony, közepes és magas bejelentkezési kockázatra és felhasználói kockázatra való konfigurálását. Ez az útmutató erre a kockázatfelmérésre támaszkodik, hogy feltételes hozzáférési szabályzatokat alkalmazzon a többtényezős hitelesítéshez. Ez az útmutató egy feltételes hozzáférési szabályzatot is tartalmaz, amely megköveteli, hogy a felhasználók módosítsák a jelszavukat, ha magas kockázatú tevékenységet észlelnek a fiókjukban. Microsoft 365 E5, Microsoft 365 E3 az E5 Biztonsági bővítmény, AZ EMS E5 vagy Prémium P2 szintű Azure AD licenccel
Önkiszolgáló jelszó-visszaállítás (SSPR) Lehetővé teszi, hogy a felhasználók biztonságosan és ügyfélszolgálati beavatkozás nélkül visszaállíthassák jelszavukat a rendszergazda által vezérelhető több hitelesítési módszer ellenőrzésével. Microsoft 365 E3 vagy E5
Azure AD jelszóvédelem Észlelheti és letilthatja az ismert gyenge jelszavakat és azok változatait, valamint a szervezetre jellemző további gyenge kifejezéseket. A rendszer automatikusan alkalmazza az alapértelmezett globális tiltott jelszólistákat az Azure AD-bérlő összes felhasználója számára. Az egyéni tiltott jelszavak listájában további bejegyzéseket is megadhat. Amikor a felhasználók módosítják vagy alaphelyzetbe állítják a jelszavukat, a rendszer ellenőrzi ezeket a letiltott jelszólistákat, hogy kényszerítsék az erős jelszavak használatát. Microsoft 365 E3 vagy E5

Íme a Teljes felügyelet identitás- és eszközhozzáférés összetevői, beleértve az Intune és Azure AD objektumokat, beállításokat és alszolgáltatásokat.

A Teljes felügyelet identitás- és eszközhozzáférés összetevői

Microsoft Intune

Intune a Microsoft felhőalapú mobileszköz-kezelési szolgáltatása. Ez az útmutató a Windows rendszerű számítógépek Intune- és eszközmegfelelési szabályzatkonfigurációk használatát javasolja. Intune meghatározza, hogy az eszközök megfelelőek-e, és elküldi ezeket az adatokat a Azure AD a feltételes hozzáférési szabályzatok alkalmazásakor.

alkalmazásvédelem Intune

Intune alkalmazásvédelmi szabályzatokkal megvédheti a szervezet adatait a mobilalkalmazásokban az eszközök felügyeletre való regisztrálásával vagy anélkül. Intune segít az információk védelmében, az alkalmazottak hatékonyságának megőrzésében és az adatvesztés megelőzésében. Alkalmazásszintű szabályzatok implementálásával korlátozhatja a vállalati erőforrásokhoz való hozzáférést, és az adatokat az informatikai részleg ellenőrzése alatt tarthatja.

Ez az útmutató bemutatja, hogyan hozhat létre ajánlott szabályzatokat a jóváhagyott alkalmazások használatának kikényszerítéséhez, és hogyan határozhatja meg, hogyan használhatók ezek az alkalmazások az üzleti adatokkal.

Microsoft 365

Ez az útmutató bemutatja, hogyan valósíthat meg szabályzatokat a Microsoft 365 felhőszolgáltatásaihoz való hozzáférés védelmére, beleértve a Microsoft Teamst, az Exchange-et, a SharePointot és a OneDrive-ot. A szabályzatok implementálása mellett azt javasoljuk, hogy növelje a bérlő védelmének szintjét is az alábbi erőforrások használatával:

Windows 11 vagy Windows 10 Nagyvállalati Microsoft 365-alkalmazások

A Nagyvállalati Microsoft 365-alkalmazások Windows 11 vagy Windows 10 a számítógépekhez ajánlott ügyfélkörnyezet. Javasoljuk, hogy Windows 11 vagy Windows 10, mert az Azure úgy lett kialakítva, hogy a lehető leggördülékenyebb élményt nyújtsa a helyszíni és Azure AD számára. Windows 11 vagy Windows 10 speciális biztonsági képességeket is tartalmaz, amelyek Intune keresztül kezelhetők. Nagyvállalati Microsoft 365-alkalmazások az Office-alkalmazások legújabb verzióit tartalmazza. Ezek modern hitelesítést használnak, ami biztonságosabb, és a feltételes hozzáférés követelménye. Ezek az alkalmazások továbbfejlesztett megfelelőségi és biztonsági eszközöket is tartalmaznak.

A képességek alkalmazása a védelem három szintjén

Az alábbi táblázat összefoglalja a képességek három védelmi szinten való használatára vonatkozó javaslatainkat.

Védelmi mechanizmus Kiindulópont Enterprise Speciális biztonság
MFA kényszerítése Közepes vagy magasabb bejelentkezési kockázat esetén Alacsony vagy magasabb bejelentkezési kockázat esetén Minden új munkamenetben
Jelszómódosítás kényszerítése Magas kockázatú felhasználók számára Magas kockázatú felhasználók számára Magas kockázatú felhasználók számára
Intune alkalmazásvédelem kényszerítése Igen Igen Igen
Intune-regisztráció kényszerítése a szervezet tulajdonában lévő eszközökön Megfelelő vagy tartományhoz csatlakoztatott számítógép megkövetelése, de saját eszközök (BYOD) telefonok és táblagépek használatának engedélyezése Megfelelő vagy tartományhoz csatlakoztatott eszköz megkövetelése Megfelelő vagy tartományhoz csatlakoztatott eszköz megkövetelése

Eszköz tulajdonjoga

A fenti táblázat azt a trendet tükrözi, hogy számos szervezet támogatja a vállalati tulajdonban lévő eszközök, valamint a személyes vagy BYOD-k kombinációját a mobil termelékenység biztosítása érdekében a dolgozók körében. Intune alkalmazásvédelmi szabályzatok biztosítják, hogy az e-mailek ne kerüljenek ki az Outlook mobilappból és más Office-mobilappokból a szervezet tulajdonában lévő eszközökön és BYOD-ken.

Javasoljuk, hogy a szervezet tulajdonában lévő eszközöket Intune vagy tartományhoz csatlakoztatott eszközökkel felügyelje, hogy további védelmet és vezérlést alkalmazzon. Az adatok bizalmasságától függően a szervezet dönthet úgy, hogy nem engedélyezi a BYOD-k használatát adott felhasználói populációk vagy alkalmazások számára.

Az üzembe helyezés és az alkalmazások

A Teljes felügyelet Azure AD integrált alkalmazások identitás- és eszközhozzáférési konfigurációjának konfigurálása és bevezetése előtt az alábbiakat kell elvégeznie:

  • Döntse el, hogy a szervezetében mely alkalmazásokat szeretné védeni.

  • Az alkalmazások listájának elemzése a megfelelő szintű védelmet biztosító szabályzatkészletek meghatározásához.

    Ne hozzon létre külön szabályzatkészleteket az alkalmazásokhoz, mert a kezelésük nehézkessé válhat. A Microsoft azt javasolja, hogy csoportosítsa azokat az alkalmazásokat, amelyek ugyanazokra a felhasználókra ugyanazokra a védelmi követelményekre vonatkoznak.

    Rendelkezhet például egy olyan szabályzatkészlettel, amely tartalmazza az összes felhasználóhoz tartozó összes Microsoft 365-alkalmazást a kiindulási pontok védelméhez, valamint egy második szabályzatkészletet az összes bizalmas alkalmazáshoz, például az emberi erőforrások vagy a pénzügyi részlegek által használt alkalmazásokhoz, és alkalmazhatja őket ezekre a csoportokra.

Miután meghatározta a biztonságossá tenni kívánt alkalmazásokra vonatkozó szabályzatkészletet, fokozatosan léptesse ki a szabályzatokat a felhasználók számára, és az út során kezelje a problémákat.

Konfigurálja például az összes Microsoft 365-alkalmazáshoz használt szabályzatokat az Exchange-hez, az Exchange további módosításaival. A szabályzatok bevezetése a felhasználók számára, és a problémák megoldása. Ezután adja hozzá a Teamst a további módosításokkal együtt, és végezze el a bevezetést a felhasználók számára. Ezután adja hozzá a SharePointot a további módosításokkal együtt. Folytassa a többi alkalmazás hozzáadását, amíg magabiztosan nem konfigurálhatja ezeket a kezdőszabályzatokat az összes Microsoft 365-alkalmazás belefoglalására.

Hasonlóképpen, a bizalmas alkalmazások esetében hozza létre a szabályzatok készletét, és adjon hozzá egyszerre egy alkalmazást, és haladjon végig a problémákon, amíg azok mind bele nem kerülnek a bizalmas alkalmazásszabályzat-készletbe.

A Microsoft azt javasolja, hogy ne hozzon létre olyan szabályzatkészleteket, amelyek minden alkalmazásra vonatkoznak, mert az nem kívánt konfigurációkat eredményezhet. Például az összes alkalmazást blokkoló szabályzatok kizárhatják a rendszergazdákat a Azure Portal, és a kizárások nem konfigurálhatók fontos végpontokhoz, például a Microsoft Graphhoz.

A Teljes felügyelet identitás- és eszközhozzáférés konfigurálásához szükséges lépések

A Teljes felügyelet identitás- és eszközhozzáférés konfigurálásához szükséges lépések

  1. Konfigurálja az előfeltételként szükséges identitásszolgáltatásokat és azok beállításait.
  2. Konfigurálja a közös identitás- és hozzáférési feltételes hozzáférési szabályzatokat.
  3. Feltételes hozzáférési szabályzatok konfigurálása vendég- és külső felhasználók számára.
  4. Feltételes hozzáférési szabályzatok konfigurálása a Microsoft 365 felhőalkalmazásokhoz—, például a Microsoft Teamshez, az Exchange-hez, a SharePointhoz—és a Microsoft Defender for Cloud Apps házirendekhez.

Miután konfigurálta Teljes felügyelet identitás- és eszközhozzáférést, tekintse meg a Azure AD szolgáltatás üzembe helyezési útmutatóját, amely szakaszos ellenőrzőlistát biztosít az identitásszabályozás megfontolandó és Azure AD a hozzáférés védelméhez, monitorozásához és naplózásához.

További lépés

Az Teljes felügyelet identitás- és eszközhozzáférési szabályzatok implementálásának előfeltételei