Share via

Teljes felügyelet identitás- és eszközelérési konfigurációk

  • Cikk

A mai munkaerőnek olyan alkalmazásokhoz és erőforrásokhoz kell hozzáférnie, amelyek a hagyományos vállalati hálózati határokon túl is léteznek. Már nem elegendőek azok a biztonsági architektúrák, amelyek hálózati tűzfalakra és virtuális magánhálózatokra (VPN-ekre) támaszkodnak az erőforrásokhoz való hozzáférés elkülönítéséhez és korlátozásához.

A Számítástechnika új világának kezelése érdekében a Microsoft erősen ajánlja a Teljes felügyelet biztonsági modellt, amely az alábbi alapelveken alapul:

  • Explicit ellenőrzés: Mindig hitelesítse és engedélyezze az összes rendelkezésre álló adatpont alapján. Ebben az ellenőrzésben Teljes felügyelet identitás- és eszközhozzáférési szabályzatok kulcsfontosságúak a bejelentkezéshez és a folyamatos ellenőrzéshez.
  • A minimális jogosultsági hozzáférés használata: A felhasználói hozzáférés korlátozása a Just-In-Time és a Just-Enough-Access (JIT/JEA), a kockázatalapú adaptív szabályzatok és az adatvédelem használatával.
  • Feltételezzük, hogy a robbanási sugár és a szegmens hozzáférése minimálisra csökken. Ellenőrizze a teljes körű titkosítást, és használja az elemzést a láthatóság eléréséhez, a fenyegetésészleléshez és a védelem javításához.

Íme a Teljes felügyelet általános architektúrája:

A Microsoft Teljes felügyelet architektúrát bemutató diagram.

Teljes felügyelet identitás- és eszközhozzáférés-szabályzatok a Ellenőrizze, hogy a következőhöz kifejezetten vezérelve van-e:

  • Identitások: Amikor egy identitás megpróbál hozzáférni egy erőforráshoz, ellenőrizze, hogy az identitás erős hitelesítéssel rendelkezik-e, és győződjön meg arról, hogy a kért hozzáférés megfelelő és jellemző.
  • Eszközök (más néven végpontok): Az eszköz állapotának és megfelelőségi követelményeinek monitorozása és betartatása a biztonságos hozzáférés érdekében.
  • Alkalmazások: Vezérlők és technológiák alkalmazása a következőre:
    • Győződjön meg a megfelelő alkalmazáson belüli engedélyekről.
    • A hozzáférés szabályozása valós idejű elemzés alapján.
    • Rendellenes viselkedés figyelése
    • Felhasználói műveletek vezérlése.
    • Ellenőrizze a biztonságos konfigurációs beállításokat.

Ez a cikksorozat a Microsoft Entra ID, a feltételes hozzáférés, a Microsoft Intune és más funkciók használatával ismerteti az identitás- és eszközhozzáférés konfigurációit és szabályzatait. Ezek a konfigurációk és szabályzatok Teljes felügyelet hozzáférést biztosítanak a Microsoft 365-höz vállalati felhőalkalmazásokhoz és -szolgáltatásokhoz, egyéb SaaS-szolgáltatásokhoz és a Microsoft Entra alkalmazásproxyval közzétett helyszíni alkalmazásokhoz.

Teljes felügyelet identitás- és eszközhozzáférés beállításai és szabályzatai három szinten ajánlottak:

  • Kiindulópont.
  • Vállalati.
  • Speciális biztonság a szigorúan szabályozott vagy minősített adatokkal rendelkező környezetekhez.

Ezek a szintek és a hozzájuk tartozó konfigurációk egységes szintű Teljes felügyelet védelmet biztosítanak az adatok, identitások és eszközök számára. Ezek a képességek és azok javaslatai:

  • A Microsoft 365 E3 és a Microsoft 365 E5 támogatott.
  • A Microsoft Entra ID-ban a Microsoft Biztonságos pontszám és identitás pontszáma összhangban van. A javaslatok követése növeli ezeket a pontszámokat a szervezet számára.
  • Segítsen az identitásinfrastruktúra védelmének ezen öt lépésének végrehajtásában.

Ha a szervezet egyedi követelményekkel vagy összetettségekkel rendelkezik, használja ezeket a javaslatokat kiindulópontként. A legtöbb szervezet azonban az előírásoknak megfelelően implementálhatja ezeket a javaslatokat.

Ebből a videóból gyorsan áttekintheti a Nagyvállalati Microsoft 365 identitás- és eszközhozzáférés-konfigurációit.

Feljegyzés

A Microsoft nagyvállalati mobilitási és biztonsági (EMS-) licenceket is értékesít Office 365-előfizetésekhez. Az EMS E3 és AZ EMS E5 képességei egyenértékűek a Microsoft 365 E3 és a Microsoft 365 E5 funkcióival. További információ: EMS-csomagok.

Célközönség

Ezek a javaslatok olyan nagyvállalati tervezőknek és informatikai szakembereknek szólnak, akik ismerik a Microsoft 365 felhőalapú termelékenységi és biztonsági szolgáltatásait. Ezek a szolgáltatások közé tartozik a Microsoft Entra ID (identitás), a Microsoft Intune (eszközkezelés) és a Microsoft Purview információvédelem (adatvédelem).

Ügyfélkörnyezet

Az ajánlott szabályzatok a teljes mértékben a Microsoft-felhőben működő vállalati szervezetekre és a hibrid identitásinfrastruktúra-ügyfelekre vonatkoznak. A hibrid identitásstruktúra egy helyi Active Directory erdő, amely szinkronizálva van a Microsoft Entra-azonosítóval.

Számos javaslatunk csak az alábbi licencekkel elérhető szolgáltatásokra támaszkodik:

  • Microsoft 365 E5.
  • Microsoft 365 E3 az E5 Biztonsági bővítményrel.
  • EMS E5.
  • Microsoft Entra ID P2-licencek.

Azoknak a szervezeteknek, amelyek nem rendelkeznek ezekkel a licencekkel, javasoljuk, hogy legalább implementálja a biztonsági alapértelmezett beállításokat, amelyek minden Microsoft 365-csomagban megtalálhatók.

Figyelmeztetések

Előfordulhat, hogy a szervezetre szabályozási vagy egyéb megfelelőségi követelmények vonatkoznak, beleértve azokat a konkrét javaslatokat is, amelyek megkövetelik, hogy az ajánlott konfigurációktól eltérő szabályzatokat alkalmazzon. Ezek a konfigurációk olyan használati vezérlőket javasolnak, amelyek korábban nem voltak elérhetők. Ezeket a vezérlőket azért javasoljuk, mert úgy gondoljuk, hogy egyensúlyt jelentenek a biztonság és a termelékenység között.

Mindent megtettünk, hogy figyelembe vehessük a szervezeti védelmi követelmények széles körét, de nem tudjuk figyelembe venni az összes lehetséges követelményt vagy a szervezet összes egyedi aspektusát.

A védelem három szintje

A legtöbb szervezetnek speciális követelményei vannak a biztonságra és az adatvédelemre vonatkozóan. Ezek a követelmények iparági szegmensenként és a szervezeteken belüli feladatfüggvények szerint változnak. Előfordulhat például, hogy a jogi részleg és a rendszergazdák további biztonsági és információvédelmi vezérlőket igényelnek az e-mail-levelezésük körül, amelyek nem szükségesek más üzleti egységekhez.

Minden iparág saját speciális szabályozásokat is biztosít. Nem szeretnénk felsorolni az összes lehetséges biztonsági lehetőséget, illetve iparági szegmensenként vagy feladatfüggvényenként egy javaslatot. Ehelyett a biztonság és a védelem három szintjére kínálunk javaslatokat, amelyek az igényeinek részletessége alapján alkalmazhatók.

  • Kiindulópont: Javasoljuk, hogy minden ügyfél hozzon létre és használjon minimális szabványt az adatok, valamint az adatokhoz hozzáférő identitások és eszközök védelméhez. Ezeket a javaslatokat követve erős alapértelmezett védelmet biztosíthat minden szervezet számára.
  • Vállalati: Egyes ügyfeleknek olyan adathalmazuk van, amelyet magasabb szinten kell védeni, vagy az összes adatot magasabb szinten kell védeni. A Microsoft 365-környezetében fokozott védelmet alkalmazhat az összes vagy adott adatkészletre. Javasoljuk az identitások és eszközök védelmét, amelyek hasonló szintű biztonsági szinttel férnek hozzá a bizalmas adatokhoz.
  • Speciális biztonság: Szükség esetén néhány ügyfél kis mennyiségű, szigorúan besorolt, üzleti titkos kulcsnak minősülő vagy szabályozott adatmennyiséggel rendelkezik. A Microsoft olyan képességeket biztosít, amelyek segítenek ezeknek az ügyfeleknek megfelelni ezeknek a követelményeknek, beleértve az identitások és eszközök fokozott védelmét.

Képernyőkép az ügyféltartományt megjelenítő Biztonsági kúpról.

Ez az útmutató bemutatja, hogyan valósíthat meg Teljes felügyelet identitások és eszközök védelmét ezen védelmi szintek mindegyikéhez. Használja ezt az útmutatót minimálisan a szervezet számára, és módosítsa a szabályzatokat a szervezet egyedi követelményeinek megfelelően.

Fontos, hogy egységes védelmi szinteket használjon az identitások, az eszközök és az adatok között. A prioritási fiókkal rendelkező felhasználók (például vezetők, vezetők, vezetők és mások) védelmének például azonos szintű védelmet kell tartalmaznia identitásaik, eszközeik és az általuk elért adatok számára.

Emellett tekintse meg a Microsoft 365-ben tárolt adatok védelmére vonatkozó adatvédelmi szabályzatok adatvédelmi megoldásának üzembe helyezését ismertető cikket.

Biztonsági és termelékenységi kompromisszumok

Bármely biztonsági stratégia implementálásához kompromisszumra van szükség a biztonság és a termelékenység között. Hasznos kiértékelni, hogy az egyes döntések hogyan befolyásolják a biztonság, a funkcionalitás és a könnyű használat egyensúlyát.

A security triad kiegyensúlyozása a biztonság, a funkcionalitás és a könnyű használat között

A megadott javaslatok a következő alapelveken alapulnak:

  • Ismerje meg a felhasználókat, és rugalmasan alkalmazkodjon a biztonsági és funkcionális követelményekhez.
  • Csak időben alkalmazza a biztonsági szabályzatokat, és győződjön meg arról, hogy az jelentéssel bír.

Szolgáltatások és fogalmak Teljes felügyelet identitás- és eszközhozzáférés-védelemhez

A Nagyvállalati Microsoft 365-öt úgy tervezték, hogy mindenki számára kreatív legyen, és biztonságosan működjön együtt.

Ez a szakasz áttekintést nyújt azokról a Microsoft 365-szolgáltatásokról és képességekről, amelyek Teljes felügyelet identitás- és eszközhozzáférés szempontjából fontosak.

Microsoft Entra ID

A Microsoft Entra ID teljes körű identitáskezelési képességeket biztosít. Javasoljuk, hogy használja ezeket a képességeket a hozzáférés biztonságossá tételéhez.

Képesség vagy funkció Leírás Licencek
Többtényezős hitelesítés (MFA) Az MFA megköveteli, hogy a felhasználók két ellenőrzési formát adjanak meg, például egy felhasználói jelszót, valamint a Microsoft Authenticator alkalmazás értesítését vagy egy telefonhívást. Az MFA jelentősen csökkenti annak kockázatát, hogy az ellopott hitelesítő adatok felhasználhatók a környezet eléréséhez. A Microsoft 365 a Microsoft Entra többtényezős hitelesítési szolgáltatást használja az MFA-alapú bejelentkezésekhez. Microsoft 365 E3 vagy E5
Feltételes hozzáférés A Microsoft Entra ID kiértékeli a felhasználói bejelentkezés feltételeit, és feltételes hozzáférési szabályzatokkal határozza meg az engedélyezett hozzáférést. Ebben az útmutatóban például bemutatjuk, hogyan hozhat létre feltételes hozzáférési szabályzatot, amely megköveteli az eszközök megfelelőségét a bizalmas adatokhoz való hozzáféréshez. Ez jelentősen csökkenti annak a kockázatát, hogy egy hacker saját eszközével és ellopott hitelesítő adataival hozzáférhessen a bizalmas adatokhoz. Emellett védi a bizalmas adatokat az eszközökön, mivel az eszközöknek meg kell felelniük az egészségügyi és biztonsági követelményeknek. Microsoft 365 E3 vagy E5
Microsoft Entra-csoportok A feltételes hozzáférési szabályzatok, az Intune-nal való eszközkezelés, valamint a szervezet fájljaira és webhelyeire vonatkozó engedélyek a felhasználói fiókokhoz vagy a Microsoft Entra-csoportokhoz való hozzárendelésre támaszkodnak. Javasoljuk, hogy olyan Microsoft Entra-csoportokat hozzon létre, amelyek megfelelnek a megvalósítandó védelmi szinteknek. A vezető munkatársak például valószínűleg magasabb értéket képviselnek a hackerek számára. Ezért érdemes hozzáadni ezeknek az alkalmazottaknak a felhasználói fiókjait egy Microsoft Entra-csoporthoz, és hozzárendelni ezt a csoportot feltételes hozzáférési szabályzatokhoz és más olyan szabályzatokhoz, amelyek magasabb szintű védelmet követelnek meg a hozzáféréshez. Microsoft 365 E3 vagy E5
Eszközregisztráció Regisztrálhat egy eszközt a Microsoft Entra-azonosítóba, hogy identitást hozzon létre az eszközhöz. Ez az identitás az eszköz hitelesítésére szolgál, amikor egy felhasználó bejelentkezik, és olyan feltételes hozzáférési szabályzatokat alkalmaz, amelyek tartományhoz csatlakoztatott vagy megfelelő számítógépeket igényelnek. Ebben az útmutatóban az eszközregisztráció használatával automatikusan regisztráljuk a tartományhoz csatlakoztatott Windows-számítógépeket. Az eszközregisztráció előfeltétele az eszközök Intune-nal való kezelésének. Microsoft 365 E3 vagy E5
Microsoft Entra ID-védelem Lehetővé teszi a szervezet identitásait érintő lehetséges biztonsági rések észlelését, valamint az automatizált szervizelési szabályzat alacsony, közepes és magas bejelentkezési kockázatra és felhasználói kockázatra való konfigurálását. Ez az útmutató a kockázatelemzésre támaszkodik a feltételes hozzáférési szabályzatok többtényezős hitelesítéshez való alkalmazásához. Ez az útmutató egy feltételes hozzáférési szabályzatot is tartalmaz, amely megköveteli a felhasználóktól, hogy változtassák meg a jelszavukat, ha magas kockázatú tevékenységet észlelnek a fiókjukban. Microsoft 365 E5, Microsoft 365 E3 az E5 Biztonsági bővítmény, EMS E5 vagy Microsoft Entra ID P2 licencekkel
Önkiszolgáló jelszó-visszaállítás (SSPR) Lehetővé teszi, hogy a felhasználók biztonságosan és ügyfélszolgálati beavatkozás nélkül visszaállíthassák a jelszavukat a rendszergazda által vezérelhető több hitelesítési módszer ellenőrzésével. Microsoft 365 E3 vagy E5
Microsoft Entra jelszóvédelem Észlelheti és letilthatja az ismert gyenge jelszavakat és azok változatait, valamint a szervezetre jellemző további gyenge kifejezéseket. A rendszer automatikusan alkalmazza az alapértelmezett globális tiltott jelszólistákat a Microsoft Entra-bérlő összes felhasználója számára. Egyéni tiltott jelszólistában további bejegyzéseket is megadhat. Amikor a felhasználók módosítják vagy visszaállítják a jelszavaikat, a tiltott jelszólistákat ellenőrzik, hogy kényszerítsék az erős jelszavak használatát. Microsoft 365 E3 vagy E5

Íme az Teljes felügyelet identitás- és eszközhozzáférés összetevői, beleértve az Intune-t és a Microsoft Entra-objektumokat, beállításokat és alszolgáltatásokat.

Az Teljes felügyelet identitás- és eszközhozzáférés összetevői

Microsoft Intune

Az Intune a Microsoft felhőalapú mobileszköz-kezelési szolgáltatása. Ez az útmutató a Windows rendszerű számítógépek Intune-nal való eszközfelügyeletét és az eszközmegfelelési szabályzat konfigurációit javasolja. Az Intune meghatározza, hogy az eszközök megfelelőek-e, és elküldi ezeket az adatokat a Microsoft Entra-azonosítónak, amelyet a feltételes hozzáférési szabályzatok alkalmazásakor használni kell.

Intune alkalmazásvédelem

Az Intune alkalmazásvédelmi szabályzataival megvédheti a szervezet adatait a mobilalkalmazásokban az eszközök felügyeletbe való regisztrálásával vagy anélkül. Az Intune segít az információk védelmében, hogy az alkalmazottak továbbra is hatékonyak legyenek, és megakadályozzák az adatvesztést. Alkalmazásszintű szabályzatok implementálásával korlátozhatja a vállalati erőforrásokhoz való hozzáférést, és az adatokat az informatikai részleg felügyelete alatt tarthatja.

Ez az útmutató bemutatja, hogyan hozhat létre ajánlott szabályzatokat a jóváhagyott alkalmazások használatának kikényszerítéséhez, és hogyan határozhatja meg, hogyan használhatók ezek az alkalmazások az üzleti adataival.

Microsoft 365

Ez az útmutató bemutatja, hogyan valósíthat meg szabályzatokat a Microsoft 365 felhőszolgáltatásokhoz való hozzáférés védelméhez, beleértve a Microsoft Teamst, az Exchange-et, a SharePointot és a OneDrive-ot. A szabályzatok implementálása mellett azt is javasoljuk, hogy növelje a bérlő védelmét az alábbi erőforrások használatával:

Windows 11 vagy Windows 10 Nagyvállalati Microsoft 365-alkalmazások

A Windows 11 vagy a Windows 10 Nagyvállalati Microsoft 365-alkalmazások a számítógépekhez ajánlott ügyfélkörnyezet. A Windows 11-et vagy a Windows 10-et javasoljuk, mert a Microsoft Entra úgy lett kialakítva, hogy a lehető leggördülékenyebb élményt nyújtsa a helyszíni és a Microsoft Entra-azonosító számára is. A Windows 11 vagy a Windows 10 olyan speciális biztonsági képességeket is tartalmaz, amelyek az Intune-on keresztül kezelhetők. Nagyvállalati Microsoft 365-alkalmazások tartalmazza a Office-app lications legújabb verzióit. Ezek modern hitelesítést használnak, amely biztonságosabb, és a feltételes hozzáférés követelménye. Ezek az alkalmazások továbbfejlesztett megfelelőségi és biztonsági eszközöket is tartalmaznak.

E képességek alkalmazása a védelem három szintjén

Az alábbi táblázat összefoglalja a képességek három védelmi szinten való használatára vonatkozó javaslatainkat.

Védelmi mechanizmus Kiindulópont Vállalat Speciális biztonság
MFA kényszerítése Közepes vagy magasabb bejelentkezési kockázat esetén Alacsony vagy magasabb bejelentkezési kockázat esetén Az összes új munkameneten
Jelszómódosítás kényszerítése Magas kockázatú felhasználók számára Magas kockázatú felhasználók számára Magas kockázatú felhasználók számára
Az Intune alkalmazásvédelem kényszerítése Igen Igen Igen
Intune-regisztráció kényszerítése a szervezet tulajdonában lévő eszközhöz Megfelelő vagy tartományhoz csatlakoztatott számítógép megkövetelése, de saját eszközök (BYOD) telefonok és táblagépek használatának engedélyezése Megfelelő vagy tartományhoz csatlakoztatott eszköz megkövetelése Megfelelő vagy tartományhoz csatlakoztatott eszköz megkövetelése

Eszköz tulajdonjoga

A fenti táblázat azt a trendet tükrözi, hogy számos szervezet támogatja a szervezet tulajdonában lévő eszközök, valamint a személyes vagy BYOD-k kombinációját a mobil termelékenység biztosítása érdekében a munkaerő körében. Az Intune alkalmazásvédelmi szabályzatai biztosítják, hogy az e-mailek ne kerüljenek ki az Outlook mobilalkalmazásból és más Office-mobilalkalmazásokból, mind a szervezet tulajdonában lévő eszközökön, mind a BYOD-kban.

Javasoljuk, hogy a szervezet tulajdonában lévő eszközöket az Intune vagy a tartományhoz csatlakozva felügyelje további védelem és vezérlés alkalmazásához. Az adatérzékenységtől függően a szervezet dönthet úgy, hogy nem engedélyezi a BYOD-k használatát adott felhasználói populációkhoz vagy alkalmazásokhoz.

Üzembe helyezés és az alkalmazások

A Microsoft Entra integrált alkalmazásai identitás- és eszközhozzáférési konfigurációjának konfigurálása és bevezetése előtt az Teljes felügyelet alábbiakat kell elvégeznie:

  • Döntse el, hogy mely alkalmazásokat szeretné védeni a szervezetében.

  • Elemezze az alkalmazások listáját a megfelelő védelmi szinteket biztosító szabályzatok meghatározásához.

    Ne hozzon létre külön szabályzatkészleteket az alkalmazásokhoz, mert a kezelésük nehézkessé válhat. A Microsoft azt javasolja, hogy csoportosítsa azokat az alkalmazásokat, amelyek ugyanolyan védelmi követelményeket támasztanak ugyanazon felhasználók számára.

    Például egy olyan szabályzatkészlettel rendelkezik, amely az összes Microsoft 365-alkalmazást tartalmazza az összes felhasználó számára a kiindulópontvédelem érdekében. Rendelkezik egy második szabályzatkészlettel az összes bizalmas alkalmazáshoz, például az emberi erőforrások vagy a pénzügyi részlegek által használt alkalmazásokhoz, és alkalmazza őket ezekre a csoportokra.

Miután meghatározta a biztonságossá tenni kívánt alkalmazásokra vonatkozó szabályzatokat, fokozatosan hajtsa végre a szabályzatokat a felhasználók számára, és kezelje az út során felmerülő problémákat. Példa:

  1. Konfigurálja az összes Microsoft 365-alkalmazáshoz használni kívánt szabályzatokat.
  2. Adjon hozzá csak az Exchange-t a szükséges módosításokkal, hajtsa végre a szabályzatokat a felhasználók számára, és végezze el a problémákat.
  3. Adja hozzá a Teamst a szükséges módosításokkal, hajtsa végre a szabályzatokat a felhasználók számára, és végezze el a problémákat.
  4. Adja hozzá a SharePointot a szükséges módosításokkal, hajtsa végre a szabályzatokat a felhasználók számára, és végezze el a problémákat.
  5. Folytassa a többi alkalmazás hozzáadását, amíg magabiztosan nem konfigurálhatja ezeket a kezdőszabályzatokat úgy, hogy az összes Microsoft 365-alkalmazást tartalmazza.

A bizalmas alkalmazásokhoz hasonlóan hozza létre a szabályzatok készletét, és adjon hozzá egyszerre egy alkalmazást. Dolgozzon ki minden problémát, amíg azok mind bele nem kerülnek a bizalmas alkalmazásszabályzat-készletbe.

A Microsoft azt javasolja, hogy ne hozzon létre olyan szabályzatkészleteket, amelyek minden alkalmazásra vonatkoznak, mert az nem kívánt konfigurációkat eredményezhet. Az összes alkalmazást letiltó szabályzatok például kizárhatják a rendszergazdákat a Microsoft Entra felügyeleti központból, és a kizárások nem konfigurálhatók fontos végpontokhoz, például a Microsoft Graphhoz.

Az Teljes felügyelet identitás- és eszközhozzáférés konfigurálásához szükséges lépések

Az Teljes felügyelet identitás- és eszközhozzáférés konfigurálásához szükséges lépések

  1. Konfigurálja az előfeltételként szolgáló identitásfunkciókat és azok beállításait.
  2. Konfigurálja a közös identitás- és hozzáférési feltételes hozzáférési szabályzatokat.
  3. Feltételes hozzáférési szabályzatok konfigurálása vendég- és külső felhasználók számára.
  4. Feltételes hozzáférési szabályzatok konfigurálása Microsoft 365-felhőalkalmazásokhoz (például Microsoft Teamshez, Exchange-hez és SharePointhoz) és Felhőhöz készült Microsoft Defender-alkalmazásszabályzatokhoz.

Miután konfigurálta Teljes felügyelet identitás- és eszközhozzáférést, tekintse meg a Microsoft Entra szolgáltatás üzembe helyezési útmutatóját, amely a védelem, a monitorozás és a naplózási hozzáférés érdekében megfontolandó és Microsoft Entra ID-kezelés további funkciókat tartalmaz.

Következő lépés

Az Teljes felügyelet identitás- és eszközhozzáférési szabályzatok implementálásának előfeltételei