Konfiguracje Zero Trust dostępu do tożsamości i urządzeń

Dzisiejsi pracownicy wymagają dostępu do aplikacji i zasobów, które istnieją poza tradycyjnymi granicami sieci firmowej. Architektury zabezpieczeń, które korzystają z zapór sieciowych i wirtualnych sieci prywatnych (VPN) w celu izolowania i ograniczania dostępu do zasobów, nie są już wystarczające.

Aby rozwiązać ten nowy świat przetwarzania, firma Microsoft zdecydowanie zaleca model zabezpieczeń Zero Trust, który jest oparty na następujących zasadach przewodnich:

  • Jawne weryfikowanie: zawsze uwierzytelniaj się i autoryzuj na podstawie wszystkich dostępnych punktów danych. Ta weryfikacja polega na tym, że zasady Zero Trust tożsamości i dostępu do urządzeń mają kluczowe znaczenie dla logowania i ciągłej weryfikacji.
  • Użyj dostępu z najniższymi uprawnieniami: ogranicz dostęp użytkowników za pomocą funkcji just in time i just-enough-access (JIT/JEA), zasad adaptacyjnych opartych na ryzyku i ochrony danych.
  • Załóżmy, że naruszenie: minimalizuj promień wybuchu i dostęp do segmentu. Zweryfikuj kompleksowe szyfrowanie i użyj analizy, aby uzyskać widoczność, zwiększyć wykrywanie zagrożeń i ulepszyć ochronę.

Oto ogólna architektura Zero Trust:

Diagram przedstawiający architekturę Zero Trust firmy Microsoft.

Zero Trust zasady dostępu do tożsamości i urządzeń dotyczą zasady Jawne sprawdzanie identyfikatora guid dla:

  • Tożsamości: gdy tożsamość próbuje uzyskać dostęp do zasobu, sprawdź tę tożsamość przy użyciu silnego uwierzytelniania i upewnij się, że żądany dostęp jest zgodny i typowy.
  • Urządzenia (nazywane również punktami końcowymi): monitorowanie i wymuszanie wymagań dotyczących kondycji i zgodności urządzeń w celu zapewnienia bezpiecznego dostępu.
  • Aplikacje: Stosowanie kontrolek i technologii do:
    • Upewnij się, że są odpowiednie uprawnienia w aplikacji.
    • Kontrolowanie dostępu na podstawie analizy w czasie rzeczywistym.
    • Monitorowanie pod kątem nietypowego zachowania
    • Kontroluj akcje użytkownika.
    • Zweryfikuj opcje bezpiecznej konfiguracji.

W tej serii artykułów opisano zestaw konfiguracji i zasad dostępu do urządzeń i tożsamości przy użyciu dostępu warunkowego usługi Azure Active Directory (Azure AD), Microsoft Intune i innych funkcji. Te konfiguracje i zasady zapewniają Zero Trust dostępu do usługi Microsoft 365 dla aplikacji i usług w chmurze dla przedsiębiorstw, innych usług SaaS i aplikacji lokalnych, które są publikowane za pomocą Azure AD serwer proxy aplikacji.

Zero Trust ustawienia i zasady dostępu do urządzeń i tożsamości są zalecane w trzech warstwach:

  • Punkt początkowy.
  • Przedsiębiorstwo.
  • Wyspecjalizowane zabezpieczenia dla środowisk z wysoce regulowanymi lub sklasyfikowanymi danymi.

Te warstwy i odpowiednie konfiguracje zapewniają spójne poziomy Zero Trust ochrony danych, tożsamości i urządzeń. Te możliwości i ich zalecenia:

Jeśli Twoja organizacja ma unikatowe wymagania lub złożoność, skorzystaj z tych zaleceń jako punktu wyjścia. Jednak większość organizacji może zaimplementować te zalecenia zgodnie z zaleceniami.

Obejrzyj ten film wideo, aby zapoznać się z szybkim omówieniem konfiguracji tożsamości i dostępu do urządzeń dla platformy Microsoft 365 dla przedsiębiorstw.

Uwaga

Firma Microsoft sprzedaje również licencje Enterprise Mobility + Security (EMS) dla subskrypcji Office 365. Możliwości EMS E3 i EMS E5 są równoważne możliwościom Microsoft 365 E3 i Microsoft 365 E5. Aby uzyskać więcej informacji, zobacz Plany pakietu EMS.

Odbiorcy

Te zalecenia są przeznaczone dla architektów przedsiębiorstw i specjalistów IT, którzy znają usługę Microsoft 365 w zakresie produktywności i zabezpieczeń w chmurze. Te usługi obejmują Tożsamość Microsoft Entra (tożsamość), Microsoft Intune (zarządzanie urządzeniami) i Microsoft Purview Information Protection (ochrona danych).

Środowisko klienta

Zalecane zasady mają zastosowanie do organizacji korporacyjnych działających zarówno w całości w chmurze firmy Microsoft, jak i dla klientów z infrastrukturą tożsamości hybrydowej. Struktura tożsamości hybrydowej to las lokalna usługa Active Directory, który jest synchronizowany z Tożsamość Microsoft Entra.

Wiele z naszych zaleceń opiera się na usługach, które są dostępne tylko z następującymi licencjami:

  • Microsoft 365 E5.
  • Microsoft 365 E3 z dodatkiem E5 Security.
  • EMS E5.
  • Tożsamość Microsoft Entra licencji P2.

W przypadku organizacji, które nie mają tych licencji, zalecamy co najmniej zaimplementowanie ustawień domyślnych zabezpieczeń, które są dołączone do wszystkich planów platformy Microsoft 365.

Zastrzeżenia

Twoja organizacja może podlegać przepisom lub innym wymaganiom dotyczącym zgodności, w tym konkretnym rekomendacjom, które wymagają zastosowania zasad, które różnią się od tych zalecanych konfiguracji. Te konfiguracje zalecają mechanizmy kontroli użycia, które nie były w przeszłości dostępne. Zalecamy te mechanizmy kontroli, ponieważ uważamy, że stanowią one równowagę między bezpieczeństwem a produktywnością.

Zrobiliśmy wszystko, co w naszej mocy, aby uwzględnić szeroką gamę wymagań dotyczących ochrony organizacji, ale nie możemy uwzględnić wszystkich możliwych wymagań ani wszystkich unikatowych aspektów twojej organizacji.

Trzy poziomy ochrony

Większość organizacji ma określone wymagania dotyczące zabezpieczeń i ochrony danych. Wymagania te różnią się w zależności od segmentu branżowego i funkcji zadań w organizacjach. Na przykład dział prawny i administratorzy mogą wymagać dodatkowych mechanizmów kontroli zabezpieczeń i ochrony informacji dotyczących korespondencji e-mail, które nie są wymagane dla innych jednostek biznesowych.

Każda branża ma również własny zestaw wyspecjalizowanych przepisów. Nie próbujemy podać listy wszystkich możliwych opcji zabezpieczeń ani rekomendacji dla segmentu branżowego lub funkcji zadania. Zamiast tego udostępniamy zalecenia dotyczące trzech poziomów zabezpieczeń i ochrony, które mogą być stosowane w oparciu o stopień szczegółowości twoich potrzeb.

  • Punkt początkowy: Zalecamy, aby wszyscy klienci ustanawiali i korzystali z minimalnego standardu ochrony danych, a także tożsamości i urządzeń uzyskujących dostęp do danych. Możesz postępować zgodnie z tymi zaleceniami, aby zapewnić silną domyślną ochronę jako punkt wyjścia dla wszystkich organizacji.
  • Przedsiębiorstwo: niektórzy klienci mają podzestaw danych, które muszą być chronione na wyższych poziomach lub wszystkie dane muszą być chronione na wyższym poziomie. Zwiększoną ochronę można zastosować do wszystkich lub określonych zestawów danych w środowisku platformy Microsoft 365. Zalecamy ochronę tożsamości i urządzeń uzyskujących dostęp do poufnych danych z porównywalnymi poziomami zabezpieczeń.
  • Wyspecjalizowane zabezpieczenia: w razie potrzeby kilku klientów ma niewielką ilość danych, które są wysoce sklasyfikowane, stanowią tajemnice handlowe lub są regulowane. Firma Microsoft oferuje możliwości ułatwiające tym klientom spełnienie tych wymagań, w tym dodatkową ochronę tożsamości i urządzeń.

Stożek zabezpieczeń

W tych wskazówkach pokazano, jak zaimplementować ochronę Zero Trust tożsamości i urządzeń dla każdego z tych poziomów ochrony. Skorzystaj z tych wskazówek jako minimum dla organizacji i dostosuj zasady w celu spełnienia określonych wymagań organizacji.

Ważne jest, aby używać spójnych poziomów ochrony między tożsamościami, urządzeniami i danymi. Na przykład ochrona użytkowników z kontami o priorytecie — takimi jak kadra kierownicza, liderzy, menedżerowie i inne — powinna obejmować ten sam poziom ochrony tożsamości, urządzeń i danych, do których uzyskują dostęp.

Ponadto zapoznaj się z rozwiązaniem Deploy information protection for data privacy regulations (Wdrażanie ochrony informacji dla zasad ochrony prywatności danych ), aby chronić informacje przechowywane na platformie Microsoft 365.

Kompromisy w zakresie bezpieczeństwa i produktywności

Wdrożenie dowolnej strategii zabezpieczeń wymaga kompromisów między bezpieczeństwem a produktywnością. Warto ocenić, w jaki sposób każda decyzja wpływa na równowagę zabezpieczeń, funkcjonalności i łatwości użycia.

Zabezpieczenia równoważenia triady zabezpieczeń, funkcjonalność i łatwość użycia

Podane zalecenia są oparte na następujących zasadach:

  • Znaj swoich użytkowników i bądź elastyczny w zależności od ich wymagań dotyczących zabezpieczeń i funkcjonalności.
  • Zastosuj zasady zabezpieczeń w samą porę i upewnij się, że są one istotne.

Usługi i pojęcia dotyczące Zero Trust tożsamości i ochrony dostępu do urządzeń

Platforma Microsoft 365 dla przedsiębiorstw została zaprojektowana dla dużych organizacji, aby umożliwić wszystkim pracę twórczą i bezpieczną współpracę.

Ta sekcja zawiera omówienie usług i możliwości platformy Microsoft 365, które są ważne dla Zero Trust tożsamości i dostępu do urządzeń.

Microsoft Entra ID

Tożsamość Microsoft Entra oferuje pełny zestaw funkcji zarządzania tożsamościami. Zalecamy użycie tych możliwości w celu zabezpieczenia dostępu.

Możliwość lub funkcja Opis Licencjonowanie
Uwierzytelnianie wieloskładnikowe (MFA) Uwierzytelnianie wieloskładnikowe wymaga od użytkowników podania dwóch form weryfikacji, takich jak hasło użytkownika oraz powiadomienie z aplikacji Microsoft Authenticator lub połączenie telefoniczne. Uwierzytelnianie wieloskładnikowe znacznie zmniejsza ryzyko użycia skradzionych poświadczeń w celu uzyskania dostępu do środowiska. Platforma Microsoft 365 używa usługi uwierzytelniania wieloskładnikowego Microsoft Entra na potrzeby logowania opartego na uwierzytelnianiu wieloskładnikowym. Microsoft 365 E3 lub E5
Dostęp warunkowy Tożsamość Microsoft Entra ocenia warunki logowania użytkownika i używa zasad dostępu warunkowego do określenia dozwolonego dostępu. Na przykład w tych wskazówkach pokazano, jak utworzyć zasady dostępu warunkowego w celu wymagania zgodności urządzeń w celu uzyskania dostępu do poufnych danych. Znacznie zmniejsza to ryzyko, że haker z własnym urządzeniem i skradzionymi poświadczeniami będzie mógł uzyskać dostęp do poufnych danych. Chroni również poufne dane na urządzeniach, ponieważ urządzenia muszą spełniać określone wymagania dotyczące kondycji i zabezpieczeń. Microsoft 365 E3 lub E5
grupy Microsoft Entra Zasady dostępu warunkowego, zarządzanie urządzeniami w usłudze Intune, a nawet uprawnienia do plików i witryn w organizacji zależą od przypisania do kont użytkowników lub grup Microsoft Entra. Zalecamy utworzenie grup Microsoft Entra, które odpowiadają zaimplementowaniu poziomów ochrony. Na przykład pracownicy kadry kierowniczej są prawdopodobnie celami o wyższej wartości dla hakerów. Dlatego warto dodać konta użytkowników tych pracowników do grupy Microsoft Entra i przypisać tę grupę do zasad dostępu warunkowego i innych zasad, które wymuszają wyższy poziom ochrony dostępu. Microsoft 365 E3 lub E5
Rejestrowanie urządzeń Zarejestrowanie urządzenia w Tożsamość Microsoft Entra w celu utworzenia tożsamości dla urządzenia. Ta tożsamość służy do uwierzytelniania urządzenia podczas logowania użytkownika i stosowania zasad dostępu warunkowego, które wymagają komputerów przyłączonych do domeny lub zgodnych. Aby uzyskać te wskazówki, używamy rejestracji urządzeń do automatycznego rejestrowania komputerów z systemem Windows przyłączonych do domeny. Rejestrowanie urządzeń to wymaganie wstępne dotyczące zarządzania urządzeniami za pomocą usługi Intune. Microsoft 365 E3 lub E5
Ochrona tożsamości Microsoft Entra Umożliwia wykrywanie potencjalnych luk w zabezpieczeniach wpływających na tożsamości organizacji i konfigurowanie zasad zautomatyzowanego korygowania na potrzeby niskiego, średniego i wysokiego ryzyka logowania oraz ryzyka związanego z użytkownikiem. Te wskazówki opierają się na ocenie ryzyka w celu zastosowania zasad dostępu warunkowego na potrzeby uwierzytelniania wieloskładnikowego. Te wskazówki obejmują również zasady dostępu warunkowego, które wymagają od użytkowników zmiany hasła w przypadku wykrycia działania wysokiego ryzyka dla konta. Microsoft 365 E5, Microsoft 365 E3 z dodatkiem E5 Security, licencjami EMS E5 lub Tożsamość Microsoft Entra P2
Samodzielne resetowanie hasła (SSPR) Zezwalaj użytkownikom na bezpieczne resetowanie haseł i bez interwencji pomocy technicznej, zapewniając weryfikację wielu metod uwierzytelniania, które może kontrolować administrator. Microsoft 365 E3 lub E5
Microsoft Entra ochrony hasłem Wykrywanie i blokowanie znanych słabych haseł oraz ich wariantów oraz dodatkowych słabych terminów specyficznych dla twojej organizacji. Domyślne globalne listy zakazanych haseł są automatycznie stosowane do wszystkich użytkowników w dzierżawie Microsoft Entra. Dodatkowe wpisy można zdefiniować na niestandardowej liście zakazanych haseł. Gdy użytkownicy zmieniają lub resetują swoje hasła, te listy zakazanych haseł są sprawdzane w celu wymuszenia użycia silnych haseł. Microsoft 365 E3 lub E5

Poniżej przedstawiono składniki Zero Trust tożsamości i dostępu do urządzeń, w tym usługi Intune i Microsoft Entra obiektów, ustawień i podusług.

Składniki tożsamości Zero Trust i dostępu do urządzeń

Microsoft Intune

Usługa Intune to oparta na chmurze usługa zarządzania urządzeniami przenośnymi firmy Microsoft. Te wskazówki zalecają zarządzanie urządzeniami komputerów z systemem Windows w usłudze Intune i zalecają konfiguracje zasad zgodności urządzeń. Usługa Intune określa, czy urządzenia są zgodne, i wysyła te dane do Tożsamość Microsoft Entra do użycia podczas stosowania zasad dostępu warunkowego.

Ochrona aplikacji usługi Intune

Zasady ochrony aplikacji usługi Intune mogą służyć do ochrony danych organizacji w aplikacjach mobilnych przy użyciu lub bez rejestrowania urządzeń do zarządzania. Usługa Intune pomaga chronić informacje, upewniając się, że pracownicy mogą nadal pracować wydajnie i zapobiegać utracie danych. Implementując zasady na poziomie aplikacji, możesz ograniczyć dostęp do zasobów firmy i utrzymać dane pod kontrolą działu IT.

W tych wskazówkach przedstawiono sposób tworzenia zalecanych zasad w celu wymuszania korzystania z zatwierdzonych aplikacji i określania, w jaki sposób te aplikacje mogą być używane z danymi biznesowymi.

Microsoft 365

W tych wskazówkach pokazano, jak zaimplementować zestaw zasad ochrony dostępu do usług w chmurze Platformy Microsoft 365, takich jak Microsoft Teams, Exchange, SharePoint i OneDrive. Oprócz implementacji tych zasad zalecamy również podniesienie poziomu ochrony dzierżawy przy użyciu następujących zasobów:

Windows 11 lub Windows 10 z Aplikacje Microsoft 365 dla przedsiębiorstw

Windows 11 lub Windows 10 z Aplikacje Microsoft 365 dla przedsiębiorstw jest zalecanym środowiskiem klienckim dla komputerów. Zalecamy Windows 11 lub Windows 10, ponieważ platforma Azure została zaprojektowana tak, aby zapewnić bezproblemowe środowisko dla środowiska lokalnego i Tożsamość Microsoft Entra. Windows 11 lub Windows 10 obejmuje również zaawansowane funkcje zabezpieczeń, które można zarządzać za pośrednictwem usługi Intune. Aplikacje Microsoft 365 dla przedsiębiorstw zawiera najnowsze wersje aplikacji pakietu Office. Korzystają one z nowoczesnego uwierzytelniania, które jest bezpieczniejsze i wymaga dostępu warunkowego. Te aplikacje obejmują również ulepszone narzędzia do zapewniania zgodności i zabezpieczeń.

Stosowanie tych możliwości na trzech poziomach ochrony

Poniższa tabela zawiera podsumowanie zaleceń dotyczących korzystania z tych funkcji na trzech poziomach ochrony.

Mechanizm ochrony Punkt początkowy Enterprise Wyspecjalizowane zabezpieczenia
Wymuszanie uwierzytelniania wieloskładnikowego Na średnim lub wyższym ryzyku logowania Przy niskim lub wyższym ryzyku logowania We wszystkich nowych sesjach
Wymuszanie zmiany hasła Dla użytkowników wysokiego ryzyka Dla użytkowników wysokiego ryzyka Dla użytkowników wysokiego ryzyka
Wymuszanie ochrony aplikacji usługi Intune Tak Tak Tak
Wymuszanie rejestracji w usłudze Intune dla urządzenia należącego do organizacji Wymagaj zgodnego lub przyłączanego do domeny komputera, ale zezwalaj na telefony i tablety byod (bring-your-own devices) Wymagaj urządzenia zgodnego lub przyłączanego do domeny Wymagaj urządzenia zgodnego lub przyłączanego do domeny

Własność urządzenia

Powyższa tabela odzwierciedla tendencję wielu organizacji do obsługi kombinacji urządzeń należących do organizacji oraz osobistych lub BYOD w celu zapewnienia produktywności urządzeń przenośnych dla pracowników. Zasady ochrony aplikacji usługi Intune zapewniają ochronę poczty e-mail przed eksfiltracjami z aplikacji mobilnej Outlook i innych aplikacji mobilnych pakietu Office zarówno na urządzeniach należących do organizacji, jak i przy użyciu funkcji BYOD.

Zalecamy, aby urządzenia należące do organizacji były zarządzane przez usługę Intune lub przyłączone do domeny w celu zastosowania dodatkowych zabezpieczeń i kontroli. W zależności od poufności danych organizacja może nie zezwalać na używanie identyfikatorów BYOD dla określonych populacji użytkowników lub określonych aplikacji.

Wdrażanie i aplikacje

Przed skonfigurowaniem i wprowadzeniem konfiguracji tożsamości Zero Trust i dostępu do urządzenia dla Microsoft Entra zintegrowanych aplikacji należy wykonać następujące czynności:

  • Zdecyduj, które aplikacje są używane w organizacji, które chcesz chronić.

  • Przeanalizuj tę listę aplikacji, aby określić zestawy zasad, które zapewniają odpowiednie poziomy ochrony.

    Nie należy tworzyć oddzielnych zestawów zasad dla każdej aplikacji, ponieważ zarządzanie nimi może stać się kłopotliwe. Firma Microsoft zaleca grupowanie aplikacji, które mają te same wymagania dotyczące ochrony dla tych samych użytkowników.

    Na przykład masz jeden zestaw zasad, które obejmują wszystkie aplikacje platformy Microsoft 365 dla wszystkich użytkowników na potrzeby ochrony punktu początkowego. Utwórz drugi zestaw zasad dla wszystkich poufnych aplikacji, takich jak aplikacje używane przez działy kadr lub działy finansowe, i zastosuj je do tych grup.

Po określeniu zestawu zasad dla aplikacji, które chcesz zabezpieczyć, należy stopniowo wdrażać zasady dla użytkowników i rozwiązywać problemy po drodze. Przykład:

  1. Skonfiguruj zasady, które mają być używane dla wszystkich aplikacji platformy Microsoft 365.
  2. Dodaj tylko program Exchange z wymaganymi zmianami, wprowadź zasady dla użytkowników i przeprowadź wszelkie problemy.
  3. Dodaj aplikację Teams z wymaganymi zmianami, wprowadź zasady dla użytkowników i przeprowadź wszelkie problemy.
  4. Dodaj program SharePoint z wymaganymi zmianami, wprowadź zasady dla użytkowników i przeprowadź wszelkie problemy.
  5. Kontynuuj dodawanie pozostałych aplikacji, dopóki nie będzie można bezpiecznie skonfigurować tych zasad punktu początkowego w celu uwzględnienia wszystkich aplikacji platformy Microsoft 365.

Podobnie w przypadku aplikacji poufnych utwórz zestaw zasad i dodaj jedną aplikację naraz. Przeprowadź wszystkie problemy, dopóki nie zostaną uwzględnione w poufnym zestawie zasad aplikacji.

Firma Microsoft zaleca, aby nie tworzyć zestawów zasad, które mają zastosowanie do wszystkich aplikacji, ponieważ może to spowodować niezamierzone konfiguracje. Na przykład zasady blokujące wszystkie aplikacje mogą blokować administratorów z Azure Portal i nie można skonfigurować wykluczeń dla ważnych punktów końcowych, takich jak microsoft Graph.

Kroki konfigurowania tożsamości Zero Trust i dostępu do urządzeń

Kroki konfigurowania tożsamości Zero Trust i dostępu do urządzeń

  1. Skonfiguruj funkcje tożsamości wymagań wstępnych i ich ustawienia.
  2. Skonfiguruj typowe zasady dostępu warunkowego i tożsamości.
  3. Skonfiguruj zasady dostępu warunkowego dla użytkowników-gości i użytkowników zewnętrznych.
  4. Skonfiguruj zasady dostępu warunkowego dla aplikacji platformy Microsoft 365 w chmurze, takich jak Microsoft Teams, Exchange i SharePoint, oraz zasady Microsoft Defender for Cloud Apps.

Po skonfigurowaniu tożsamości Zero Trust i dostępu do urządzeń zapoznaj się z przewodnikiem wdrażania funkcji Microsoft Entra, aby zapoznać się z fazową listą kontrolną dodatkowych funkcji do rozważenia i Zarządzanie tożsamością Microsoft Entra w celu ochrony, monitorowania i inspekcji dostępu.

Następny krok

Wymagania wstępne dotyczące implementowania zasad Zero Trust tożsamości i dostępu do urządzeń