Teljes felügyelet üzembehelyezési terv Microsoft 365-ös verzióval

Ez a cikk az Microsoft 365-ös biztonsági Teljes felügyelet kiépítésére vonatkozó üzembe helyezési tervet tartalmaz. Teljes felügyelet egy új biztonsági modell, amely biztonsági incidenst feltételez, és minden kérést ellenőriz, mintha ellenőrizetlen hálózatból származna. Függetlenül attól, hogy honnan származik a kérés, vagy milyen erőforráshoz fér hozzá, a Teljes felügyelet modell arra tanít, hogy "soha ne bízzunk meg, mindig ellenőrizzük".

Használja ezt a cikket ezzel a poszterrel együtt.

Cikk Leírás
A Microsoft 365 Teljes felügyelet üzembehelyezési tervének ábrája.
PDF | Visio
Frissítve: 2022. március
Kapcsolódó megoldási útmutatók

Teljes felügyelet biztonsági architektúra

A Teljes felügyelet megközelítés az egész digitális tulajdonra kiterjed, és integrált biztonsági filozófiaként és végpontok közötti stratégiaként szolgál.

Ez az ábra azokat az elsődleges elemeket mutatja be, amelyek hozzájárulnak a Teljes felügyelet.

A Teljes felügyelet biztonsági architektúra

Az ábrán:

  • A biztonsági szabályzatok betartatása egy Teljes felügyelet architektúra középpontjában áll. Ez magában foglalja a feltételes hozzáféréssel rendelkező Többtényezős hitelesítést, amely figyelembe veszi a felhasználói fiókok kockázatát, az eszköz állapotát, valamint az Ön által beállított egyéb feltételeket és szabályzatokat.
  • Az identitások, az eszközök, az adatok, az alkalmazások, a hálózat és az infrastruktúra egyéb összetevői mind megfelelő biztonsággal vannak konfigurálva. Az egyes összetevőkhöz konfigurált szabályzatok a teljes Teljes felügyelet stratégiával vannak összehangolva. Az eszközszabályzatok például meghatározzák az kifogástalan eszközökre vonatkozó feltételeket, a feltételes hozzáférési szabályzatok pedig kifogástalan állapotú eszközöket igényelnek adott alkalmazásokhoz és adatokhoz való hozzáféréshez.
  • A veszélyforrások elleni védelem és az intelligencia figyeli a környezetet, felfedi az aktuális kockázatokat, és automatizált lépéseket tesz a támadások elhárításához.

A Teljes felügyelet kapcsolatos további információkért lásd: Microsoft Teljes felügyelet Útmutató központ.

Teljes felügyelet üzembe helyezése a Microsoft 365-höz

Microsoft 365 szándékosan, számos biztonsági és információvédelmi funkcióval rendelkezik, amelyekkel Teljes felügyelet építhet a környezetébe. Számos képesség kiterjeszthető a szervezet által használt más SaaS-alkalmazásokhoz és az ezeken az alkalmazásokban lévő adatokhoz való hozzáférés védelmére.

Ez az ábra a Teljes felügyelet képességek üzembe helyezésének munkáját mutatja be. Ez a munka olyan munkaegységekbe van bontva, amelyek együtt konfigurálhatók, alulról kezdve és felülről haladva biztosítják az előfeltételként szükséges munka befejezését.

A Microsoft 365 Teljes felügyelet üzembehelyezési verem

Ebben az ábrán:

  • Teljes felügyelet az identitás- és eszközvédelem alapjaival kezdődik.
  • A veszélyforrások elleni védelem ezen alaprendszerre épül, és valós idejű monitorozást és a biztonsági fenyegetések elhárítását biztosítja.
  • Az információvédelem és a szabályozás kifinomult, meghatározott típusú adatokat célzó vezérlőket biztosít a legértékesebb információk védelme és a megfelelőségi szabványoknak való megfelelés érdekében, beleértve a személyes adatok védelmét is.

Ez a cikk feltételezi, hogy már konfigurálta a felhőbeli identitást. Ha útmutatásra van szüksége ehhez a célhoz, olvassa el az Identitásinfrastruktúra üzembe helyezése Microsoft 365-höz című témakört.

1. lépés: Teljes felügyelet identitás- és eszközhozzáférés-védelem konfigurálása – kezdőszabályzatok

Az első lépés a Teljes felügyelet alaprendszer létrehozása az identitás- és eszközhozzáférés-védelem konfigurálásával.

A Teljes felügyelet identitás- és eszközhozzáférés-védelem konfigurálásának folyamata

Ehhez az Teljes felügyelet identitás- és eszközhozzáférés-védelem című cikkben talál részletes útmutatást. Ez a cikksorozat az identitás- és eszközhozzáférés előfeltételeinek konfigurációit, valamint az Azure Active Directory (Azure AD) feltételes hozzáférés, Microsoft Intune és egyéb szabályzatok készletét ismerteti a Microsoft 365 vállalati felhőalkalmazásokhoz és -szolgáltatásokhoz, más SaaS-szolgáltatásokhoz és a következővel közzétett helyszíni alkalmazásokhoz való biztonságos hozzáférés érdekében: Azure AD alkalmazásproxy.

Tartalmazza Előfeltételek Nem tartalmazza a következőket:
Ajánlott identitás- és eszközhozzáférés-szabályzatok három védelmi szinthez:
  • Kiindulópont
  • Nagyvállalati (ajánlott)
  • Speciális

További javaslatok a következőhöz:
  • Külső felhasználók (vendégek)
  • Microsoft Teams
  • SharePoint Online
  • Microsoft Defender for Cloud Apps
E3 vagy E5 Microsoft

Az Azure Active Directory az alábbi módok bármelyikében használható:
  • Csak felhőben
  • Hibrid jelszókivonat-szinkronizálási (PHS-) hitelesítés
  • Hibrid átmenő hitelesítéssel (PTA)
  • Összevont
Felügyelt eszközöket igénylő szabályzatok eszközregisztrációja. Lásd: 2. lépés. Végpontok kezelése Intune eszközök regisztrálásához

Első lépésként implementálja a kezdőpontszintet. Ezekhez a szabályzatokhoz nincs szükség eszközök felügyeletre való regisztrálására.

Az Teljes felügyelet identitás- és eszközhozzáférés-szabályzatok – kiindulási pontszint

2. lépés: Végpontok kezelése a Intune

Ezután regisztrálja az eszközöket a felügyeletre, és kezdje el ezeket a kifinomultabb vezérlőkkel védeni.

A Végpontok kezelése Intune elemmel

Ehhez az Eszközök kezelése Intune című cikkben talál részletes útmutatást.

Tartalmazza Előfeltételek Nem tartalmazza a következőket:
Eszközök regisztrálása Intune:
  • Vállalati tulajdonú eszközök
  • Autopilot/automatizált
  • Igénylés

Szabályzatok konfigurálása:
  • Alkalmazásvédelmi szabályzatok
  • Megfelelőségi szabályzatok
  • Eszközprofil-szabályzatok
Végpontok regisztrálása a Azure AD Információvédelmi képességek konfigurálása, beleértve a következőket:
  • Bizalmasadat-típusok
  • Címkék
  • DLP-szabályzatok

Ezekről a képességekről az 5. lépésben olvashat. Bizalmas adatok védelme és szabályozása (a cikk későbbi részében).

3. lépés: Teljes felügyelet identitás- és eszközhozzáférés-védelem hozzáadása – Vállalati szabályzatok

A felügyeletre regisztrált eszközökkel mostantól teljes körűen implementálhatja az ajánlott Teljes felügyelet identitás- és eszközhozzáférési szabályzatokat, amelyek megfelelő eszközöket igényelnek.

Az Teljes felügyelet identitás- és hozzáférési szabályzatok eszközfelügyelettel

Térjen vissza a Közös identitás- és eszközhozzáférés-szabályzatokhoz , és adja hozzá a szabályzatokat a Vállalati szinten.

Az Teljes felügyelet identitás- és hozzáférési szabályzatok – Vállalati (ajánlott) szint

4. lépés: A Microsoft 365 Defender kiértékelése, próbaüzeme és üzembe helyezése

Microsoft 365 Defender egy kiterjesztett észlelési és reagálási (XDR) megoldás, amely automatikusan gyűjti, korrelálja és elemzi a Microsoft 365-környezet jel-, fenyegetés- és riasztási adatait, beleértve a végpontokat, az e-maileket, az alkalmazásokat és az identitásokat.

A Microsoft 365 Defender Teljes felügyelet architektúrához való hozzáadásának folyamata

A Microsoft 365 Defender-összetevők kipróbálásához és üzembe helyezéséhez a Kiértékelési és kísérleti Microsoft 365 Defender című témakörben talál módszertani útmutatót.

Tartalmazza Előfeltételek Nem tartalmazza a következőket:
Állítsa be az értékelési és próbakörnyezetet az összes összetevőhöz:
  • Defender for Identity
  • Office 365-höz készült Defender
  • Végponthoz készült Defender
  • Microsoft Defender for Cloud Apps

Veszélyforrások elleni védelem

Veszélyforrások vizsgálata és reagálás rájuk
Az útmutatóból megtudhatja, hogy a Microsoft 365 Defender egyes összetevőinek architektúrakövetelményei hogyan követelményeket támasztanak. Azure AD Identity Protection nem szerepel ebben a megoldási útmutatóban. Az 1. lépés tartalmazza. Konfigurálja Teljes felügyelet identitás- és eszközhozzáférés-védelmet.

5. lépés: Bizalmas adatok védelme és szabályozása

Implementáljon Microsoft Purview információvédelem, amely segít a bizalmas információk felderítésében, besorolásában és védelmében bárhol is él vagy utazik.

Microsoft Purview információvédelem funkciók Microsoft Purview részét képezik, és olyan eszközöket biztosítanak, amelyekkel megismerheti adatait, megvédheti adatait, és megakadályozhatja az adatvesztést.

Az adatvédelmi képességek az adatok szabályzatkényszerítéssel történő védelmére

Bár ez a munka a cikk korábbi részében bemutatott üzembehelyezési verem tetején jelenik meg, bármikor megkezdheti ezt a munkát.

Microsoft Purview információvédelem olyan keretrendszert, folyamatot és képességeket biztosít, amelyeket az adott üzleti célok eléréséhez használhat.

Microsoft Purview Információvédelem

Az információvédelem megtervezésével és üzembe helyezésével kapcsolatos további információkért lásd: Microsoft Purview információvédelem-megoldás üzembe helyezése.

Ha adatvédelmi szabályzatok alapján helyez üzembe adatvédelmet, ez a megoldási útmutató egy ajánlott keretrendszert biztosít a teljes folyamathoz: Adatvédelem üzembe helyezése adatvédelmi szabályozásokhoz a Microsoft 365-ben.