Kebijakan keamanan umum untuk organisasi Microsoft 365
Organisasi memiliki banyak hal yang perlu dikhawatirkan saat menyebarkan Microsoft 365 untuk organisasi mereka. Kebijakan Akses Bersyariah, perlindungan aplikasi, dan kepatuhan perangkat yang dirujuk dalam artikel ini didasarkan pada rekomendasi Microsoft dan tiga prinsip panduan Zero Trust:
- Memverifikasi secara eksplisit
- Gunakan hak istimewa minimum
- Mengasumsikan pembobolan
Organisasi dapat mengambil kebijakan ini apa adanya atau menyesuaikannya agar sesuai dengan kebutuhan mereka. Jika memungkinkan, uji kebijakan Anda di lingkungan non-produksi sebelum diluncurkan ke pengguna produksi Anda. Pengujian sangat penting untuk mengidentifikasi dan mengomunikasikan kemungkinan efek kepada pengguna Anda.
Kami mengelompokkan kebijakan ini ke dalam tiga tingkat perlindungan berdasarkan tempat Anda berada dalam perjalanan penyebaran Anda:
- Titik awal - Kontrol dasar yang memperkenalkan autentikasi multifaktor, perubahan kata sandi yang aman, dan kebijakan perlindungan aplikasi.
- Enterprise - Kontrol yang ditingkatkan yang memperkenalkan kepatuhan perangkat.
- Keamanan khusus - Kebijakan yang memerlukan autentikasi multifaktor setiap kali untuk himpunan data atau pengguna tertentu.
Diagram berikut menunjukkan tingkat perlindungan mana yang diterapkan setiap kebijakan dan apakah kebijakan berlaku untuk PC atau ponsel dan tablet, atau kedua kategori perangkat.
Anda dapat mengunduh diagram ini sebagai file PDF .
Tip
Mengharuskan penggunaan autentikasi multifaktor (MFA) disarankan sebelum mendaftarkan perangkat di Intune untuk memastikan bahwa perangkat berada dalam kepemilikan pengguna yang dimaksudkan. Anda harus mendaftarkan perangkat di Intune sebelum dapat menerapkan kebijakan kepatuhan perangkat.
Prasyarat
Izin
- Pengguna yang akan mengelola kebijakan Akses Bersyarat harus dapat masuk ke portal Azure sebagai Administrator Akses Bersyarat, Administrator Keamanan, atau Administrator Global.
- Pengguna yang akan mengelola perlindungan aplikasi dan kebijakan kepatuhan perangkat harus dapat masuk ke Intune sebagai Administrator Intune atau Administrator Global.
- Pengguna yang hanya perlu melihat konfigurasi dapat diberi peran Pembaca Keamanan atau Pembaca Global.
Untuk informasi selengkapnya tentang peran dan izin, lihat artikel Peran bawaan Microsoft Entra.
Pendaftaran pengguna
Pastikan pengguna Anda mendaftar untuk autentikasi multifaktor sebelum memerlukan penggunaannya. Jika Anda memiliki lisensi yang menyertakan Microsoft Entra ID P2, Anda dapat menggunakan kebijakan pendaftaran MFA dalam Microsoft Entra ID Protection untuk mengharuskan pengguna mendaftar. Kami menyediakan templat komunikasi, Anda dapat mengunduh dan menyesuaikan, untuk mempromosikan pendaftaran.
Grup
Semua grup Microsoft Entra yang digunakan sebagai bagian dari rekomendasi ini harus dibuat sebagai grup Microsoft 365 bukan grup Keamanan. Persyaratan ini penting untuk penyebaran label sensitivitas saat mengamankan dokumen di Microsoft Teams dan SharePoint nanti. Untuk informasi selengkapnya, lihat artikel Pelajari tentang grup dan hak akses di ID Microsoft Entra
Menetapkan kebijakan
Kebijakan Akses Bersyar dapat ditetapkan untuk pengguna, grup, dan peran administrator. Perlindungan aplikasi Intune dan kebijakan kepatuhan perangkat hanya dapat ditetapkan ke grup. Sebelum mengonfigurasi kebijakan, Anda harus mengidentifikasi siapa yang harus disertakan dan dikecualikan. Biasanya, kebijakan tingkat perlindungan titik awal berlaku untuk semua orang di organisasi.
Berikut adalah contoh penetapan dan pengecualian grup untuk mengharuskan MFA setelah pengguna Anda menyelesaikan pendaftaran pengguna.
| Kebijakan Microsoft Entra Conditional Access | Memasukkan | Mengecualikan | |
|---|---|---|---|
| Titik awal | Memerlukan autentikasi multifaktor untuk risiko masuk sedang atau tinggi | Semua pengguna |
|
| Perusahaan | Memerlukan autentikasi multifaktor untuk risiko masuk rendah, sedang, atau tinggi | Grup staf eksekutif |
|
| Keamanan khusus | Memerlukan autentikasi multifaktor selalu | Grup Buckeye Proyek Rahasia Teratas |
|
Berhati-hatilah saat menerapkan tingkat perlindungan yang lebih tinggi untuk grup dan pengguna. Tujuan keamanan bukan untuk menambahkan gesekan yang tidak perlu ke pengalaman pengguna. Misalnya, anggota grup Buckeye Proyek Rahasia Teratas akan diminta untuk menggunakan MFA setiap kali mereka masuk, bahkan jika mereka tidak mengerjakan konten keamanan khusus untuk proyek mereka. Gesekan keamanan yang berlebihan dapat menyebabkan kelelahan.
Anda dapat mempertimbangkan untuk mengaktifkan metode autentikasi tanpa kata sandi, seperti kunci keamanan Windows Hello untuk Bisnis atau FIDO2 untuk mengurangi beberapa gesekan yang dibuat oleh kontrol keamanan tertentu.
Akun akses darurat
Semua organisasi harus memiliki setidaknya satu akun akses darurat yang dipantau untuk digunakan dan dikecualikan dari kebijakan. Akun ini hanya digunakan jika semua akun administrator dan metode autentikasi lainnya dikunci atau tidak tersedia. Informasi selengkapnya dapat ditemukan di artikel, Mengelola akun akses darurat di ID Microsoft Entra.
Pengecualian
Praktik yang direkomendasikan adalah membuat grup Microsoft Entra untuk pengecualian Akses Bersyar. Grup ini memberi Anda sarana untuk menyediakan akses ke pengguna saat Anda memecahkan masalah akses.
Peringatan
Grup ini direkomendasikan untuk digunakan sebagai solusi sementara saja. Terus memantau dan mengaudit grup ini untuk perubahan dan pastikan grup pengecualian hanya digunakan seperti yang dimaksudkan.
Untuk menambahkan grup pengecualian ini ke kebijakan yang ada:
- Masuk ke portal Microsoft Azure sebagai Admin Akses Bersyarat, Administrator keamanan, atau Administrator Global.
- Telusuri Akses Bersyar Keamanan>Microsoft Entra ID>.
- Pilih kebijakan yang sudah ada.
- Di bawah Tugas, pilih Pengguna atau identitas beban kerja.
- Di bawah Kecualikan, pilih Pengguna dan grup dan pilih akses darurat organisasi Anda atau akun break-glass dan grup pengecualian Akses Bersyar .
Penyebaran
Sebaiknya terapkan kebijakan titik awal dalam urutan yang tercantum dalam tabel ini. Namun, kebijakan MFA untuk perusahaan dan tingkat perlindungan keamanan khusus dapat diterapkan kapan saja.
Titik awal
| Kebijakan | Informasi selengkapnya | Pelisensian |
|---|---|---|
| Memerlukan MFA ketika risiko masuk sedang atau tinggi | Gunakan data risiko dari Microsoft Entra ID Protection untuk mewajibkan MFA hanya ketika risiko terdeteksi | Microsoft 365 E5 atau Microsoft 365 E3 dengan add-on Keamanan E5 |
| Memblokir klien yang tidak mendukung autentikasi modern | Klien yang tidak menggunakan autentikasi modern dapat melewati kebijakan Akses Bersyar, jadi penting untuk memblokirnya. | Microsoft 365 E3 atau E5 |
| Pengguna berisiko tinggi harus mengubah kata sandi | Memaksa pengguna untuk mengubah kata sandi mereka saat masuk jika aktivitas berisiko tinggi terdeteksi untuk akun mereka. | Microsoft 365 E5 atau Microsoft 365 E3 dengan add-on Keamanan E5 |
| Menerapkan kebijakan perlindungan aplikasi untuk perlindungan data | Satu kebijakan perlindungan aplikasi Intune per platform (Windows, iOS/iPadOS, Android). | Microsoft 365 E3 atau E5 |
| Memerlukan aplikasi dan kebijakan perlindungan aplikasi yang disetujui | Menerapkan kebijakan perlindungan aplikasi seluler untuk ponsel dan tablet menggunakan iOS, iPadOS, atau Android. | Microsoft 365 E3 atau E5 |
Perusahaan
| Kebijakan | Informasi selengkapnya | Pelisensian |
|---|---|---|
| Memerlukan MFA ketika risiko masuk rendah, sedang, atau tinggi | Gunakan data risiko dari Microsoft Entra ID Protection untuk mewajibkan MFA hanya ketika risiko terdeteksi | Microsoft 365 E5 atau Microsoft 365 E3 dengan add-on Keamanan E5 |
| Menentukan kebijakan kepatuhan perangkat | Tetapkan persyaratan konfigurasi minimum. Satu kebijakan untuk setiap platform. | Microsoft 365 E3 atau E5 |
| Memerlukan PC dan perangkat seluler yang sesuai | Memberlakukan persyaratan konfigurasi untuk perangkat yang mengakses organisasi Anda | Microsoft 365 E3 atau E5 |
Keamanan khusus
| Kebijakan | Informasi selengkapnya | Pelisensian |
|---|---|---|
| Selalu memerlukan MFA | Pengguna harus melakukan MFA kapan saja mereka masuk ke layanan organisasi Anda | Microsoft 365 E3 atau E5 |
kebijakan Perlindungan aplikasi
Perlindungan aplikasi kebijakan menentukan aplikasi mana yang diizinkan dan tindakan yang dapat mereka ambil dengan data organisasi Anda. Ada banyak pilihan yang tersedia dan mungkin membingungkan beberapa orang. Garis besar berikut adalah konfigurasi yang direkomendasikan Microsoft yang mungkin disesuaikan dengan kebutuhan Anda. Kami menyediakan tiga templat untuk diikuti, tetapi berpikir sebagian besar organisasi akan memilih tingkat 2 dan 3.
Peta tingkat 2 ke apa yang kami anggap sebagai titik awal atau keamanan tingkat perusahaan , peta tingkat 3 ke keamanan khusus .
Perlindungan data dasar perusahaan tingkat 1 – Microsoft merekomendasikan konfigurasi ini sebagai konfigurasi perlindungan data minimum untuk perangkat perusahaan.
Perlindungan data tingkat 2 yang ditingkatkan perusahaan – Microsoft merekomendasikan konfigurasi ini untuk perangkat tempat pengguna mengakses informasi sensitif atau rahasia. Konfigurasi ini berlaku untuk sebagian besar pengguna seluler yang mengakses data kantor atau sekolah. Beberapa kontrol dapat memengaruhi pengalaman pengguna.
Perlindungan data tinggi perusahaan tingkat 3 – Microsoft merekomendasikan konfigurasi ini untuk perangkat yang dijalankan oleh organisasi dengan tim keamanan yang lebih besar atau lebih canggih, atau untuk pengguna atau grup tertentu yang berisiko tinggi secara unik (pengguna yang menangani data yang sangat sensitif di mana pengungkapan yang tidak sah menyebabkan kerugian material yang cukup besar bagi organisasi). Organisasi yang kemungkinan akan ditargetkan oleh iklan yang didanai dengan baik dan canggih harus berbakat dengan konfigurasi ini.
Membuat kebijakan perlindungan aplikasi
Buat kebijakan perlindungan aplikasi baru untuk setiap platform (iOS dan Android) dalam Microsoft Intune menggunakan pengaturan kerangka kerja perlindungan data dengan:
- Buat kebijakan secara manual dengan mengikuti langkah-langkah dalam Cara membuat dan menyebarkan kebijakan perlindungan aplikasi dengan Microsoft Intune.
- Impor sampel templat JSON Kerangka Kerja Konfigurasi Kebijakan Perlindungan Aplikasi Intune dengan skrip PowerShell Intune.
Kebijakan kepatuhan perangkat
Kebijakan kepatuhan perangkat Intune menentukan persyaratan yang harus dipenuhi perangkat untuk ditentukan sebagai sesuai.
Anda harus membuat kebijakan untuk setiap platform PC, ponsel, atau tablet. Artikel ini akan membahas rekomendasi untuk platform berikut:
Membuat kebijakan kepatuhan perangkat
Untuk membuat kebijakan kepatuhan perangkat, masuk ke pusat admin Microsoft Intune, dan buka Kebijakan Kepatuhan>Perangkat.> Pilih Buat kebijakan.
Untuk panduan langkah demi langkah tentang membuat kebijakan kepatuhan di Intune, lihat Membuat kebijakan kepatuhan di Microsoft Intune.
Pengaturan pendaftaran dan kepatuhan untuk iOS/iPadOS
iOS/iPadOS mendukung beberapa skenario pendaftaran, dua di antaranya dicakup sebagai bagian dari kerangka kerja ini:
- Pendaftaran perangkat untuk perangkat milik pribadi - perangkat ini dimiliki secara pribadi dan digunakan untuk pekerjaan dan penggunaan pribadi.
- Pendaftaran perangkat otomatis untuk perangkat milik perusahaan - perangkat ini dimiliki perusahaan, terkait dengan satu pengguna, dan digunakan secara eksklusif untuk pekerjaan dan bukan penggunaan pribadi.
Menggunakan prinsip yang diuraikan dalam identitas Zero Trust dan konfigurasi akses perangkat:
- Titik awal dan tingkat perlindungan perusahaan dipetakan erat dengan pengaturan keamanan tingkat 2 yang ditingkatkan.
- Tingkat perlindungan keamanan khusus memetakan hampir ke pengaturan keamanan tinggi tingkat 3.
Pengaturan kepatuhan untuk perangkat yang terdaftar secara pribadi
- Keamanan dasar pribadi (Tingkat 1) – Microsoft merekomendasikan konfigurasi ini sebagai konfigurasi keamanan minimum untuk perangkat pribadi tempat pengguna mengakses data kantor atau sekolah. Konfigurasi ini dilakukan dengan memberlakukan kebijakan kata sandi, karakteristik kunci perangkat, dan menonaktifkan fungsi perangkat tertentu, seperti sertifikat yang tidak tepercaya.
- Keamanan yang ditingkatkan pribadi (Tingkat 2) – Microsoft merekomendasikan konfigurasi ini untuk perangkat tempat pengguna mengakses informasi sensitif atau rahasia. Konfigurasi ini memberlakukan kontrol berbagi data. Konfigurasi ini berlaku untuk sebagian besar pengguna seluler yang mengakses data kantor atau sekolah di perangkat.
- Keamanan tinggi pribadi (Tingkat 3) - Microsoft merekomendasikan konfigurasi ini untuk perangkat yang digunakan oleh pengguna atau grup tertentu yang berisiko tinggi secara unik (pengguna yang menangani data yang sangat sensitif di mana pengungkapan yang tidak sah menyebabkan kerugian material yang cukup besar bagi organisasi). Konfigurasi ini memberlakukan kebijakan kata sandi yang lebih kuat, menonaktifkan fungsi perangkat tertentu, dan memberlakukan pembatasan transfer data tambahan.
Pengaturan kepatuhan untuk pendaftaran perangkat otomatis
- Keamanan dasar yang diawasi (Tingkat 1) – Microsoft merekomendasikan konfigurasi ini sebagai konfigurasi keamanan minimum untuk perangkat yang diawasi tempat pengguna mengakses data kantor atau sekolah. Konfigurasi ini dilakukan dengan memberlakukan kebijakan kata sandi, karakteristik kunci perangkat, dan menonaktifkan fungsi perangkat tertentu, seperti sertifikat yang tidak tepercaya.
- Keamanan yang diawasi yang ditingkatkan (Tingkat 2) – Microsoft merekomendasikan konfigurasi ini untuk perangkat tempat pengguna mengakses informasi sensitif atau rahasia. Konfigurasi ini memberlakukan kontrol berbagi data dan memblokir akses ke perangkat USB. Konfigurasi ini berlaku untuk sebagian besar pengguna seluler yang mengakses data kantor atau sekolah di perangkat.
- Keamanan tinggi yang diawasi (Tingkat 3) – Microsoft merekomendasikan konfigurasi ini untuk perangkat yang digunakan oleh pengguna atau grup tertentu yang berisiko tinggi secara unik (pengguna yang menangani data yang sangat sensitif di mana pengungkapan yang tidak sah menyebabkan kerugian material yang cukup besar bagi organisasi). Konfigurasi ini memberlakukan kebijakan kata sandi yang lebih kuat, menonaktifkan fungsi perangkat tertentu, memberlakukan pembatasan transfer data tambahan, dan mengharuskan aplikasi diinstal melalui program pembelian volume Apple.
Pengaturan pendaftaran dan kepatuhan untuk Android
Android Enterprise mendukung beberapa skenario pendaftaran, dua di antaranya dicakup sebagai bagian dari kerangka kerja ini:
- Profil kerja Android Enterprise - model pendaftaran ini biasanya digunakan untuk perangkat milik pribadi, di mana IT ingin memberikan batas pemisahan yang jelas antara pekerjaan dan data pribadi. Kebijakan yang dikontrol oleh TI memastikan bahwa data kerja tidak dapat ditransfer ke profil pribadi.
- Perangkat yang dikelola penuh Android Enterprise - perangkat ini dimiliki perusahaan, terkait dengan satu pengguna, dan digunakan secara eksklusif untuk pekerjaan dan bukan penggunaan pribadi.
Kerangka kerja konfigurasi keamanan Android Enterprise diatur ke dalam beberapa skenario konfigurasi yang berbeda, memberikan panduan untuk profil kerja dan skenario yang dikelola sepenuhnya.
Menggunakan prinsip yang diuraikan dalam identitas Zero Trust dan konfigurasi akses perangkat:
- Titik awal dan tingkat perlindungan perusahaan dipetakan erat dengan pengaturan keamanan tingkat 2 yang ditingkatkan.
- Tingkat perlindungan keamanan khusus memetakan hampir ke pengaturan keamanan tinggi tingkat 3.
Pengaturan kepatuhan untuk perangkat profil kerja Android Enterprise
- Karena pengaturan yang tersedia untuk perangkat profil kerja milik pribadi, tidak ada penawaran keamanan dasar (tingkat 1). Pengaturan yang tersedia tidak membenarkan perbedaan antara tingkat 1 dan tingkat 2.
- Keamanan yang ditingkatkan profil kerja (Tingkat 2)– Microsoft merekomendasikan konfigurasi ini sebagai konfigurasi keamanan minimum untuk perangkat pribadi tempat pengguna mengakses data kantor atau sekolah. Konfigurasi ini memperkenalkan persyaratan kata sandi, memisahkan data kerja dan pribadi, dan memvalidasi pengesahan perangkat Android.
- Keamanan tinggi profil kerja (Tingkat 3) – Microsoft merekomendasikan konfigurasi ini untuk perangkat yang digunakan oleh pengguna atau grup tertentu yang berisiko tinggi secara unik (pengguna yang menangani data yang sangat sensitif di mana pengungkapan yang tidak sah menyebabkan kerugian material yang cukup besar bagi organisasi). Konfigurasi ini memperkenalkan pertahanan ancaman seluler atau Microsoft Defender untuk Titik Akhir, menetapkan versi Android minimum, memberlakukan kebijakan kata sandi yang lebih kuat, dan lebih membatasi pekerjaan dan pemisahan pribadi.
Pengaturan kepatuhan untuk perangkat yang dikelola penuh Android Enterprise
- Keamanan dasar yang dikelola sepenuhnya (Tingkat 1) – Microsoft merekomendasikan konfigurasi ini sebagai konfigurasi keamanan minimum untuk perangkat perusahaan. Konfigurasi ini berlaku untuk sebagian besar pengguna seluler yang mengakses data kantor atau sekolah. Konfigurasi ini memperkenalkan persyaratan kata sandi, mengatur versi Android minimum, dan memberlakukan pembatasan perangkat tertentu.
- Keamanan yang ditingkatkan yang dikelola sepenuhnya (Tingkat 2) – Microsoft merekomendasikan konfigurasi ini untuk perangkat tempat pengguna mengakses informasi sensitif atau rahasia. Konfigurasi ini memberlakukan kebijakan kata sandi yang lebih kuat dan menonaktifkan kemampuan pengguna/akun.
- Keamanan tinggi yang dikelola penuh (Tingkat 3) - Microsoft merekomendasikan konfigurasi ini untuk perangkat yang digunakan oleh pengguna atau grup tertentu yang berisiko tinggi secara unik. Pengguna ini dapat menangani data yang sangat sensitif di mana pengungkapan yang tidak sah dapat menyebabkan kerugian material yang cukup besar bagi organisasi. Konfigurasi ini meningkatkan versi Android minimum, memperkenalkan pertahanan ancaman seluler atau Microsoft Defender untuk Titik Akhir, dan memberlakukan pembatasan perangkat tambahan.
Pengaturan kepatuhan yang direkomendasikan untuk Windows 10 dan yang lebih baru
Pengaturan berikut dikonfigurasi di Langkah 2: Pengaturan kepatuhan, dari proses pembuatan kebijakan kepatuhan untuk Windows 10 dan perangkat yang lebih baru. Pengaturan ini selaras dengan prinsip yang diuraikan dalam identitas Zero Trust dan konfigurasi akses perangkat.
Untuk aturan evaluasi Windows Health Attestation Service kesehatan > perangkat, lihat tabel ini.
| Properti | Nilai |
|---|---|
| Memerlukan BitLocker | Wajib |
| Mengharuskan Boot Aman diaktifkan pada perangkat | Wajib |
| Memerlukan integritas kode | Wajib |
Untuk Properti perangkat, tentukan nilai yang sesuai untuk versi sistem operasi berdasarkan kebijakan TI dan keamanan Anda.
Untuk Kepatuhan Manajer Konfigurasi, jika Anda berada di lingkungan yang dikelola bersama dengan Configuration Manager pilih Perlu jika tidak pilih Tidak dikonfigurasi.
Untuk Keamanan sistem, lihat tabel ini.
| Properti | Nilai |
|---|---|
| Memerlukan kata sandi untuk membuka kunci perangkat seluler | Wajib |
| Kata sandi sederhana | Blokir |
| Jenis kata sandi | Default perangkat |
| Panjang kata sandi minimum | 6 |
| Menit maksimum tidak aktif sebelum kata sandi diperlukan | 15 menit |
| Kedaluwarsa kata sandi (hari) | 41 |
| Jumlah kata sandi sebelumnya untuk mencegah penggunaan kembali | 5 |
| Memerlukan kata sandi saat perangkat kembali dari status diam (Seluler dan Holografik) | Wajib |
| Memerlukan enkripsi penyimpanan data pada perangkat | Wajib |
| Firewall | Wajib |
| Antivirus | Wajib |
| Antispyware | Wajib |
| Microsoft Defender Antimalware | Wajib |
| Versi minimum Microsoft Defender Antimalware | Microsoft merekomendasikan versi tidak lebih dari lima di belakang dari versi terbaru. |
| Tanda tangan Microsoft Defender Antimalware terbaru | Wajib |
| Perlindungan real time | Wajib |
Untuk Microsoft Defender untuk Titik Akhir
| Properti | Nilai |
|---|---|
| Mengharuskan perangkat berada di atau di bawah skor risiko mesin | Medium |
kebijakan Akses Bersyarat
Setelah kebijakan perlindungan aplikasi dan kepatuhan perangkat dibuat di Intune, Anda dapat mengaktifkan penegakan dengan kebijakan Akses Bersyar.
Memerlukan MFA berdasarkan risiko masuk
Ikuti panduan dalam artikel Kebijakan Akses Bersyarat Umum: Autentikasi multifaktor berbasis risiko masuk untuk membuat kebijakan guna mewajibkan autentikasi multifaktor berdasarkan risiko masuk.
Saat mengonfigurasi kebijakan Anda, gunakan tingkat risiko berikut.
| Tingkat perlindungan | Nilai tingkat risiko diperlukan | Perbuatan |
|---|---|---|
| Titik awal | Tinggi, sedang | Periksa keduanya. |
| Perusahaan | Tinggi, sedang, rendah | Periksa ketiganya. |
Memblokir klien yang tidak mendukung autentikasi multifaktor
Ikuti panduan dalam artikel Kebijakan Akses Bersyarah Umum: Memblokir autentikasi warisan untuk memblokir autentikasi warisan.
Pengguna berisiko tinggi harus mengubah kata sandi
Ikuti panduan dalam artikel Kebijakan Akses Bersyarat Umum: Perubahan kata sandi berbasis risiko pengguna untuk mengharuskan pengguna dengan kredensial yang disusupi untuk mengubah kata sandi mereka.
Gunakan kebijakan ini bersama dengan perlindungan kata sandi Microsoft Entra, yang mendeteksi dan memblokir kata sandi lemah yang diketahui dan variannya selain istilah khusus untuk organisasi Anda. Menggunakan perlindungan kata sandi Microsoft Entra memastikan bahwa kata sandi yang diubah lebih kuat.
Memerlukan aplikasi dan kebijakan perlindungan aplikasi yang disetujui
Anda harus membuat kebijakan Akses Bersyar untuk memberlakukan kebijakan perlindungan aplikasi yang dibuat di Intune. Memberlakukan kebijakan perlindungan aplikasi memerlukan kebijakan Akses Bersyarat dan kebijakan perlindungan aplikasi yang sesuai.
Untuk membuat kebijakan Akses Bersyarat yang memerlukan aplikasi dan perlindungan APLIKASI yang disetujui, ikuti langkah-langkah dalam Memerlukan aplikasi klien atau kebijakan perlindungan aplikasi yang disetujui dengan perangkat seluler. Kebijakan ini hanya memungkinkan akun dalam aplikasi seluler yang dilindungi oleh kebijakan perlindungan aplikasi untuk mengakses titik akhir Microsoft 365.
Memblokir autentikasi lama untuk aplikasi klien lain di perangkat iOS dan Android memastikan bahwa klien ini tidak dapat melewati kebijakan Akses Bersyarat. Jika Anda mengikuti panduan dalam artikel ini, Anda telah mengonfigurasi Blokir klien yang tidak mendukung autentikasi modern.
Memerlukan PC dan perangkat seluler yang sesuai
Langkah-langkah berikut akan membantu membuat kebijakan Akses Bersyarat untuk mengharuskan perangkat yang mengakses sumber daya ditandai sesuai dengan kebijakan kepatuhan Intune organisasi Anda.
Perhatian
Pastikan perangkat Anda sesuai sebelum mengaktifkan kebijakan ini. Jika tidak, Anda bisa dikunci dan tidak dapat mengubah kebijakan ini hingga akun pengguna Anda ditambahkan ke grup pengecualian Akses Bersyar.
- Masuk ke portal Azure.
- Telusuri Akses Bersyar Keamanan>Microsoft Entra ID>.
- Pilih Kebijakan baru.
- Beri nama pada kebijakan Anda. Sebaiknya organisasi membuat standar yang bermakna untuk nama kebijakannya.
- Di bawah Tugas, pilih Pengguna atau identitas beban kerja.
- Di Sertakan, pilih Semua pengguna.
- Di bawah Kecualikan, pilih Pengguna dan grup lalu pilih akses darurat organisasi Anda atau akun break-glass.
- Pada Tindakan atau aplikasi cloud>Sertakan, pilih Semua aplikasi cloud.
- Jika Anda harus mengecualikan aplikasi tertentu dari kebijakan Anda, Anda dapat memilihnya dari tab Kecualikan di bawah Pilih aplikasi cloud yang dikecualikan dan pilih Pilih.
- Pada Kontrol akses>Pemberian Izin.
- PilihMemerlukan perangkat ditandai sebagai sesuai.
- Pilih Pilih.
- Konfirmasikan pengaturan Anda dan atur Aktifkan kebijakan ke Aktif.
- Pilih Buat untuk membuat untuk mengaktifkan kebijakan Anda.
Catatan
Anda dapat mendaftarkan perangkat baru ke Intune meskipun Anda memilih Wajibkan perangkat ditandai sebagai sesuai untuk Semua pengguna dan Semua aplikasi cloud dalam kebijakan Anda. Mengharuskan perangkat ditandai sebagai kontrol yang sesuai tidak memblokir pendaftaran Intune dan akses ke aplikasi Microsoft Intune Web Company Portal.
Aktivasi langganan
Organisasi yang menggunakan fitur Aktivasi Langganan untuk memungkinkan pengguna "melangkah" dari satu versi Windows ke versi lainnya, mungkin ingin mengecualikan API Layanan Toko Universal dan Aplikasi Web, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f dari kebijakan kepatuhan perangkat mereka.
Selalu memerlukan MFA
Ikuti panduan dalam artikel Kebijakan Akses Bersyarat Umum: Mengharuskan MFA untuk semua pengguna mewajibkan pengguna tingkat keamanan khusus Anda untuk selalu melakukan autentikasi multifaktor.
Peringatan
Saat mengonfigurasi kebijakan Anda, pilih grup yang memerlukan keamanan khusus dan gunakan itu alih-alih memilih Semua pengguna.
Langkah berikutnya
Pelajari tentang rekomendasi kebijakan untuk pengguna tamu dan eksternal
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk