Typowe zasady zabezpieczeń dla organizacji platformy Microsoft 365
Organizacje mają wiele powodów do obaw podczas wdrażania platformy Microsoft 365 dla swojej organizacji. Zasady dostępu warunkowego, ochrony aplikacji i zgodności urządzeń, do których odwołuje się ten artykuł, są oparte na zaleceniach firmy Microsoft i trzech podstawowych zasadach Zero Trust:
- Jawne weryfikowanie
- Korzystanie z najniższych uprawnień
- Załóżmy, że naruszenie
Organizacje mogą korzystać z tych zasad zgodnie z potrzebami lub dostosowywać je do swoich potrzeb. Jeśli to możliwe, przetestuj zasady w środowisku nieprodukcyjnym przed wdrożeniem dla użytkowników produkcyjnych. Testowanie ma kluczowe znaczenie dla identyfikowania i przekazywania wszelkich możliwych skutków użytkownikom.
Te zasady grupujemy na trzy poziomy ochrony w zależności od tego, gdzie jesteś w podróży wdrożenia:
- Punkt początkowy — podstawowe kontrolki, które wprowadzają uwierzytelnianie wieloskładnikowe, bezpieczne zmiany haseł i zasady ochrony aplikacji.
- Przedsiębiorstwo — rozszerzone kontrolki wprowadzające zgodność urządzeń.
- Wyspecjalizowane zabezpieczenia — zasady wymagające uwierzytelniania wieloskładnikowego za każdym razem dla określonych zestawów danych lub użytkowników.
Na poniższym diagramie przedstawiono poziom ochrony, do którego mają zastosowanie poszczególne zasady i czy zasady mają zastosowanie do komputerów, telefonów i tabletów, czy obu kategorii urządzeń.
Ten diagram można pobrać jako plik PDF .
Porada
Wymaganie korzystania z uwierzytelniania wieloskładnikowego (MFA) jest zalecane przed zarejestrowaniem urządzeń w Intune w celu zapewnienia, że urządzenie jest w posiadaniu zamierzonego użytkownika. Aby można było wymusić zasady zgodności urządzeń, należy zarejestrować urządzenia w Intune.
Wymagania wstępne
Uprawnienia
- Użytkownicy, którzy będą zarządzać zasadami dostępu warunkowego, muszą mieć możliwość logowania się do Azure Portal jako administrator dostępu warunkowego, administrator zabezpieczeń lub administrator globalny.
- Użytkownicy, którzy będą zarządzać zasadami ochrony aplikacji i zgodności urządzeń, muszą mieć możliwość logowania się do Intune jako administrator Intune lub administrator globalny.
- Tym użytkownikom, którzy muszą tylko wyświetlać konfiguracje, można przypisać role Czytelnik zabezpieczeń lub Czytelnik globalny .
Aby uzyskać więcej informacji na temat ról i uprawnień, zobacz artykuł Microsoft Entra role wbudowane.
Rejestracja użytkownika
Przed wymaganiem jego użycia upewnij się, że użytkownicy rejestrują się w celu uwierzytelniania wieloskładnikowego. Jeśli masz licencje obejmujące Tożsamość Microsoft Entra P2, możesz użyć zasad rejestracji usługi MFA w ramach Ochrona tożsamości Microsoft Entra, aby wymagać rejestracji użytkowników. Udostępniamy szablony komunikacji, które można pobrać i dostosować, aby promować rejestrację.
Grupy
Wszystkie grupy Microsoft Entra używane w ramach tych zaleceń muszą być tworzone jako grupa platformy Microsoft 365, a nie grupa zabezpieczeń. To wymaganie jest ważne w przypadku wdrażania etykiet poufności podczas zabezpieczania dokumentów w usłudze Microsoft Teams i programie SharePoint później. Aby uzyskać więcej informacji, zobacz artykuł Dowiedz się więcej o grupach i prawach dostępu w Tożsamość Microsoft Entra
Przypisywanie zasad
Zasady dostępu warunkowego mogą być przypisane do użytkowników, grup i ról administratora. Intune zasady ochrony aplikacji i zgodności urządzeń mogą być przypisane tylko do grup. Przed skonfigurowaniem zasad należy określić, kto powinien zostać uwzględniony i wykluczony. Zazwyczaj zasady poziomu ochrony punktu początkowego mają zastosowanie do wszystkich w organizacji.
Oto przykład przypisywania grup i wykluczeń wymagających uwierzytelniania wieloskładnikowego po zakończeniu rejestracji użytkowników przez użytkowników.
| Microsoft Entra zasad dostępu warunkowego | Obejmują | Wykluczyć | |
|---|---|---|---|
| Punkt początkowy | Wymagaj uwierzytelniania wieloskładnikowego dla średniego lub wysokiego ryzyka logowania | Wszyscy użytkownicy |
|
| Enterprise | Wymagaj uwierzytelniania wieloskładnikowego w przypadku niskiego, średniego lub wysokiego ryzyka logowania | Grupa kadry kierowniczej |
|
| Wyspecjalizowane zabezpieczenia | Wymagaj uwierzytelniania wieloskładnikowego zawsze | Ściśle tajna grupa projektów Buckeye |
|
Należy zachować ostrożność podczas stosowania wyższych poziomów ochrony do grup i użytkowników. Celem zabezpieczeń nie jest dodanie niepotrzebnych tarć do środowiska użytkownika. Na przykład członkowie grupy Buckeye projektu ściśle tajnego będą musieli używać uwierzytelniania wieloskładnikowego za każdym razem, gdy się logują, nawet jeśli nie pracują nad wyspecjalizowaną zawartością zabezpieczeń dla swojego projektu. Nadmierne tarcie bezpieczeństwa może prowadzić do zmęczenia.
Możesz rozważyć włączenie metod uwierzytelniania bez hasła, takich jak klucze zabezpieczeń Windows Hello dla firm lub FIDO2, aby zmniejszyć pewne problemy spowodowane przez niektóre mechanizmy kontroli zabezpieczeń.
Konta dostępu awaryjnego
Wszystkie organizacje powinny mieć co najmniej jedno konto dostępu awaryjnego, które jest monitorowane pod kątem użycia i wykluczone z zasad. Te konta są używane tylko w przypadku, gdy wszystkie inne konta administratorów i metody uwierzytelniania zostaną zablokowane lub w inny sposób niedostępne. Więcej informacji można znaleźć w artykule Zarządzanie kontami dostępu awaryjnego w Tożsamość Microsoft Entra.
Wykluczenia
Zalecanym rozwiązaniem jest utworzenie grupy Microsoft Entra dla wykluczeń dostępu warunkowego. Ta grupa umożliwia zapewnienie dostępu do użytkownika podczas rozwiązywania problemów z dostępem.
Ostrzeżenie
Ta grupa jest zalecana tylko do użycia jako rozwiązanie tymczasowe. Stale monitoruj i przeprowadzaj inspekcję tej grupy pod kątem zmian i upewnij się, że grupa wykluczeń jest używana tylko zgodnie z przeznaczeniem.
Aby dodać tę grupę wykluczeń do istniejących zasad:
- Zaloguj się do Azure Portal jako administrator dostępu warunkowego, administrator zabezpieczeń lub administrator globalny.
- Przejdź do Tożsamość Microsoft Entra>Zabezpieczenia>dostępu warunkowego.
- Wybierz istniejące zasady.
- W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
- W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy , a następnie wybierz konta z dostępem awaryjnym lub dostępem awaryjnym w organizacji oraz grupę wykluczeń dostępu warunkowego.
Wdrożenie
Zalecamy zaimplementowanie zasad punktu początkowego w kolejności wymienionej w tej tabeli. Jednak zasady uwierzytelniania wieloskładnikowego dla przedsiębiorstw i wyspecjalizowanych poziomów zabezpieczeń ochrony można zaimplementować w dowolnym momencie.
Punkt początkowy
| Zasad | Więcej informacji | Licencjonowanie |
|---|---|---|
| Wymagaj uwierzytelniania wieloskładnikowego, gdy ryzyko logowania jest średnie lub wysokie | Używanie danych o ryzyku z Ochrona tożsamości Microsoft Entra w celu wymagania uwierzytelniania wieloskładnikowego tylko w przypadku wykrycia ryzyka | Microsoft 365 E5 lub Microsoft 365 E3 z dodatkiem E5 Security |
| Blokuj klientów, którzy nie obsługują nowoczesnego uwierzytelniania | Klienci, którzy nie korzystają z nowoczesnego uwierzytelniania, mogą pominąć zasady dostępu warunkowego, dlatego ważne jest, aby je zablokować. | Microsoft 365 E3 lub E5 |
| Użytkownicy wysokiego ryzyka muszą zmienić hasło | Wymusza na użytkownikach zmianę hasła podczas logowania w przypadku wykrycia działania wysokiego ryzyka dla ich konta. | Microsoft 365 E5 lub Microsoft 365 E3 z dodatkiem E5 Security |
| Stosowanie zasad ochrony aplikacji na potrzeby ochrony danych | Jedna Intune zasad ochrony aplikacji na platformę (Windows, iOS/iPadOS, Android). | Microsoft 365 E3 lub E5 |
| Wymagaj zatwierdzonych aplikacji i zasad ochrony aplikacji | Wymusza zasady ochrony aplikacji mobilnych dla telefonów i tabletów przy użyciu systemów iOS, iPadOS lub Android. | Microsoft 365 E3 lub E5 |
Enterprise
| Zasad | Więcej informacji | Licencjonowanie |
|---|---|---|
| Wymagaj uwierzytelniania wieloskładnikowego, gdy ryzyko logowania jest niskie, średnie lub wysokie | Używanie danych o ryzyku z Ochrona tożsamości Microsoft Entra w celu wymagania uwierzytelniania wieloskładnikowego tylko w przypadku wykrycia ryzyka | Microsoft 365 E5 lub Microsoft 365 E3 z dodatkiem E5 Security |
| Definiowanie zasad zgodności urządzeń | Ustaw minimalne wymagania dotyczące konfiguracji. Jedna zasada dla każdej platformy. | Microsoft 365 E3 lub E5 |
| Wymagaj zgodnych komputerów i urządzeń przenośnych | Wymusza wymagania konfiguracji dla urządzeń uzyskujących dostęp do organizacji | Microsoft 365 E3 lub E5 |
Wyspecjalizowane zabezpieczenia
| Zasad | Więcej informacji | Licencjonowanie |
|---|---|---|
| Zawsze wymagaj uwierzytelniania wieloskładnikowego | Użytkownicy muszą wykonywać uwierzytelnianie wieloskładnikowe za każdym razem, gdy logują się do usług organizacji | Microsoft 365 E3 lub E5 |
zasady Ochrona aplikacji
Ochrona aplikacji zasady określają, które aplikacje są dozwolone, oraz akcje, które mogą wykonywać z danymi organizacji. Dostępnych jest wiele opcji i może to być mylące dla niektórych. Poniżej przedstawiono zalecane konfiguracje firmy Microsoft, które mogą być dostosowane do Twoich potrzeb. Udostępniamy trzy szablony do naśladowania, ale większość organizacji wybierze poziomy 2 i 3.
Poziom 2 mapuje na to, co uważamy za punkt początkowy lub zabezpieczenia na poziomie przedsiębiorstwa , poziom 3 mapuje na wyspecjalizowane zabezpieczenia.
Podstawowa ochrona danych na poziomie 1 — firma Microsoft zaleca tę konfigurację jako minimalną konfigurację ochrony danych dla urządzenia przedsiębiorstwa.
Rozszerzona ochrona danych na poziomie 2 — firma Microsoft zaleca tę konfigurację dla urządzeń, na których użytkownicy uzyskują dostęp do informacji poufnych lub poufnych. Ta konfiguracja ma zastosowanie do większości użytkowników mobilnych uzyskujących dostęp do danych służbowych. Niektóre kontrolki mogą mieć wpływ na środowisko użytkownika.
Wysoki poziom ochrony danych na poziomie 3 — firma Microsoft zaleca tę konfigurację dla urządzeń uruchamianych przez organizację z większym lub bardziej zaawansowanym zespołem ds. zabezpieczeń lub dla określonych użytkowników lub grup, którzy są wyjątkowo narażeni na ryzyko (użytkownicy obsługują wysoce poufne dane, gdy nieautoryzowane ujawnienie powoduje znaczne straty materialne w organizacji). Organizacja, która może być celem dobrze finansowanych i zaawansowanych przeciwników, powinna dążyć do tej konfiguracji.
zasady ochrony aplikacji Twórca
Twórca nowe zasady ochrony aplikacji dla każdej platformy (iOS i Android) w ramach Microsoft Intune przy użyciu ustawień struktury ochrony danych przez:
- Ręcznie utwórz zasady, wykonując kroki opisane w temacie How to create and deploy app protection policies with Microsoft Intune (Jak tworzyć i wdrażać zasady ochrony aplikacji za pomocą Microsoft Intune).
- Zaimportuj przykładowe szablony JSON programu Intune App Protection Policy Configuration Framework przy użyciu skryptów programu PowerShell Intune.
Zasady zgodności urządzeń
Intune zasady zgodności urządzeń definiują wymagania, które urządzenia muszą spełniać, aby zostały określone jako zgodne.
Należy utworzyć zasady dla każdego komputera, telefonu lub tabletu platformy. W tym artykule opisano zalecenia dotyczące następujących platform:
zasady zgodności urządzeń Twórca
Aby utworzyć zasady zgodności urządzeń, zaloguj się do centrum administracyjnego Microsoft Intune i przejdź do obszaruZasady> zgodności urządzeń>. Wybierz pozycję Twórca Zasady.
Aby uzyskać szczegółowe wskazówki dotyczące tworzenia zasad zgodności w Intune, zobacz Twórca zasad zgodności w Microsoft Intune.
Ustawienia rejestracji i zgodności dla systemu iOS/iPadOS
System iOS/iPadOS obsługuje kilka scenariuszy rejestracji, z których dwa są objęte tą strukturą:
- Rejestracja urządzeń osobistych — te urządzenia są własnością osobistą i są używane zarówno do użytku służbowego, jak i osobistego.
- Automatyczna rejestracja urządzeń należących do firmy — te urządzenia są własnością firmy, są skojarzone z jednym użytkownikiem i są używane wyłącznie do użytku służbowego, a nie osobistego.
Korzystanie z zasad opisanych w Zero Trust konfiguracji tożsamości i dostępu do urządzeń:
- Poziomy punktu początkowego i ochrony przedsiębiorstwa są ściśle mapowane przy użyciu rozszerzonych ustawień zabezpieczeń poziomu 2.
- Wyspecjalizowany poziom ochrony zabezpieczeń jest mapowana ściśle do wysokich ustawień zabezpieczeń poziomu 3.
Ustawienia zgodności dla urządzeń zarejestrowanych przez użytkownika
- Podstawowe zabezpieczenia osobiste (poziom 1) — firma Microsoft zaleca tę konfigurację jako minimalną konfigurację zabezpieczeń dla urządzeń osobistych, na których użytkownicy uzyskują dostęp do danych służbowych. Ta konfiguracja jest wykonywana przez wymuszanie zasad haseł, charakterystyki blokady urządzenia i wyłączanie niektórych funkcji urządzeń, takich jak niezaufane certyfikaty.
- Osobiste rozszerzone zabezpieczenia (poziom 2) — firma Microsoft zaleca tę konfigurację dla urządzeń, na których użytkownicy uzyskują dostęp do informacji poufnych lub poufnych. Ta konfiguracja wprowadza mechanizmy kontroli udostępniania danych. Ta konfiguracja ma zastosowanie do większości użytkowników mobilnych uzyskujących dostęp do danych służbowych na urządzeniu.
- Wysoki poziom zabezpieczeń osobistych (poziom 3) — firma Microsoft zaleca tę konfigurację dla urządzeń używanych przez określonych użytkowników lub grupy, którzy są wyjątkowo wysokiego ryzyka (użytkownicy obsługują wysoce poufne dane, gdy nieautoryzowane ujawnienie powoduje znaczne straty materialne w organizacji). Ta konfiguracja wprowadza silniejsze zasady haseł, wyłącza niektóre funkcje urządzenia i wymusza dodatkowe ograniczenia transferu danych.
Ustawienia zgodności dla automatycznego rejestrowania urządzeń
- Nadzorowane zabezpieczenia podstawowe (poziom 1) — firma Microsoft zaleca tę konfigurację jako minimalną konfigurację zabezpieczeń dla urządzeń nadzorowanych, na których użytkownicy uzyskują dostęp do danych służbowych. Ta konfiguracja jest wykonywana przez wymuszanie zasad haseł, charakterystyki blokady urządzenia i wyłączanie niektórych funkcji urządzeń, takich jak niezaufane certyfikaty.
- Nadzorowane rozszerzone zabezpieczenia (poziom 2) — firma Microsoft zaleca tę konfigurację dla urządzeń, na których użytkownicy uzyskują dostęp do informacji poufnych lub poufnych. Ta konfiguracja wprowadza mechanizmy kontroli udostępniania danych i blokuje dostęp do urządzeń USB. Ta konfiguracja ma zastosowanie do większości użytkowników mobilnych uzyskujących dostęp do danych służbowych na urządzeniu.
- Nadzorowane wysokie zabezpieczenia (poziom 3) — firma Microsoft zaleca tę konfigurację dla urządzeń używanych przez określonych użytkowników lub grupy, które są wyjątkowo wysokiego ryzyka (użytkownicy obsługują wysoce poufne dane, gdy nieautoryzowane ujawnienie powoduje znaczne straty materialne w organizacji). Ta konfiguracja wprowadza silniejsze zasady haseł, wyłącza niektóre funkcje urządzenia, wymusza dodatkowe ograniczenia transferu danych i wymaga instalowania aplikacji za pośrednictwem programu zakupów zbiorczych firmy Apple.
Ustawienia rejestracji i zgodności dla systemu Android
System Android Enterprise obsługuje kilka scenariuszy rejestracji, z których dwa są objęte w ramach tej struktury:
- Profil służbowy systemu Android Enterprise — ten model rejestracji jest zwykle używany w przypadku urządzeń należących do użytkownika, gdzie it chce zapewnić wyraźną granicę separacji między danymi służbowymi i osobistymi. Zasady kontrolowane przez it zapewniają, że dane służbowe nie mogą być przesyłane do profilu osobistego.
- W pełni zarządzane urządzenia z systemem Android Enterprise — te urządzenia są własnością firmy, są skojarzone z jednym użytkownikiem i są używane wyłącznie do użytku służbowego, a nie osobistego.
Struktura konfiguracji zabezpieczeń systemu Android Enterprise jest zorganizowana w kilka różnych scenariuszy konfiguracji, zapewniając wskazówki dotyczące profilu służbowego i w pełni zarządzanych scenariuszy.
Korzystanie z zasad opisanych w Zero Trust konfiguracji tożsamości i dostępu do urządzeń:
- Poziomy punktu początkowego i ochrony przedsiębiorstwa są ściśle mapowane przy użyciu rozszerzonych ustawień zabezpieczeń poziomu 2.
- Wyspecjalizowany poziom ochrony zabezpieczeń jest mapowana ściśle do wysokich ustawień zabezpieczeń poziomu 3.
Ustawienia zgodności dla urządzeń z profilem służbowym systemu Android Enterprise
- Ze względu na ustawienia dostępne dla urządzeń z profilem służbowym należącym do użytkownika nie ma podstawowej oferty zabezpieczeń (poziom 1). Dostępne ustawienia nie uzasadniają różnicy między poziomem 1 a poziomem 2.
- Rozszerzone zabezpieczenia profilu służbowego (poziom 2) — firma Microsoft zaleca tę konfigurację jako minimalną konfigurację zabezpieczeń dla urządzeń osobistych, na których użytkownicy uzyskują dostęp do danych służbowych. Ta konfiguracja wprowadza wymagania dotyczące haseł, oddziela dane służbowe i osobowe oraz weryfikuje zaświadczanie urządzeń z systemem Android.
- Wysoki poziom zabezpieczeń profilu służbowego (poziom 3) — firma Microsoft zaleca tę konfigurację dla urządzeń używanych przez określonych użytkowników lub grupy, którzy są wyjątkowo wysokiego ryzyka (użytkownicy, którzy obsługują wysoce poufne dane, gdy nieautoryzowane ujawnienie powoduje znaczne straty materialne w organizacji). Ta konfiguracja wprowadza ochronę przed zagrożeniami mobilnymi lub Ochrona punktu końcowego w usłudze Microsoft Defender, ustawia minimalną wersję systemu Android, wprowadza silniejsze zasady haseł i dodatkowo ogranicza separację służb i osobistą.
Ustawienia zgodności dla w pełni zarządzanych urządzeń z systemem Android Enterprise
- W pełni zarządzane podstawowe zabezpieczenia (poziom 1) — firma Microsoft zaleca tę konfigurację jako minimalną konfigurację zabezpieczeń dla urządzenia przedsiębiorstwa. Ta konfiguracja ma zastosowanie do większości użytkowników mobilnych uzyskujących dostęp do danych służbowych. Ta konfiguracja wprowadza wymagania dotyczące haseł, ustawia minimalną wersję systemu Android i wprowadza pewne ograniczenia dotyczące urządzeń.
- W pełni zarządzane rozszerzone zabezpieczenia (poziom 2) — firma Microsoft zaleca tę konfigurację dla urządzeń, na których użytkownicy uzyskują dostęp do informacji poufnych lub poufnych. Ta konfiguracja wprowadza silniejsze zasady haseł i wyłącza możliwości użytkownika/konta.
- W pełni zarządzane wysokie zabezpieczenia (poziom 3) — firma Microsoft zaleca tę konfigurację dla urządzeń używanych przez określonych użytkowników lub grupy, które są wyjątkowo wysokiego ryzyka. Ci użytkownicy mogą obsługiwać wysoce poufne dane, gdy nieautoryzowane ujawnienie może spowodować znaczne straty materialne w organizacji. Ta konfiguracja zwiększa minimalną wersję systemu Android, wprowadza ochronę przed zagrożeniami mobilnymi lub Ochrona punktu końcowego w usłudze Microsoft Defender i wymusza dodatkowe ograniczenia dotyczące urządzeń.
Zalecane ustawienia zgodności dla Windows 10 i nowszych
Następujące ustawienia zostały skonfigurowane w kroku 2: Ustawienia zgodnościprocesu tworzenia zasad zgodności dla Windows 10 i nowszych urządzeń. Te ustawienia są zgodne z zasadami opisanymi w Zero Trust konfiguracji tożsamości i dostępu do urządzeń.
Aby zapoznać się z regułami oceny usługi zaświadczania o kondycji > urządzenia systemu Windows, zobacz tę tabelę.
| Właściwość | Value |
|---|---|
| Wymagaj funkcji BitLocker | Wymagają |
| Wymagaj włączenia bezpiecznego rozruchu na urządzeniu | Wymagają |
| Wymagaj integralności kodu | Wymagają |
W obszarze Właściwości urządzenia określ odpowiednie wartości dla wersji systemu operacyjnego na podstawie zasad IT i zabezpieczeń.
W przypadku Configuration Manager Zgodności, jeśli jesteś w środowisku współzarządzanym z Configuration Manager wybierz pozycję Wymagaj w przeciwnym razie wybierz pozycję Nie skonfigurowano.
Aby uzyskać informacje o zabezpieczeniach systemu, zobacz tę tabelę.
| Właściwość | Value |
|---|---|
| Wymagaj hasła do odblokowania urządzeń przenośnych | Wymagają |
| Proste hasła | Blokuj |
| Typ hasła | Domyślne urządzenie |
| Minimalna długość hasła | 6 |
| Maksymalna liczba minut braku aktywności przed wymaganiem hasła | 15 minut |
| Wygaśnięcie hasła (dni) | 41 |
| Liczba poprzednich haseł, aby zapobiec ponownemu użyciu | 5 |
| Wymagaj hasła po powrocie urządzenia ze stanu bezczynności (urządzenia przenośne i holograficzne) | Wymagają |
| Wymagaj szyfrowania magazynu danych na urządzeniu | Wymagają |
| Zapory | Wymagają |
| Antivirus | Wymagają |
| Antyspyware | Wymagają |
| ochrona przed złośliwym kodem Microsoft Defender | Wymagają |
| minimalna wersja oprogramowania chroniącego przed złośliwym kodem Microsoft Defender | Firma Microsoft zaleca wersje nie więcej niż pięć z tyłu od najnowszej wersji. |
| Microsoft Defender sygnatura ochrony przed złośliwym kodem jest aktualna | Wymagają |
| Ochrona w czasie rzeczywistym | Wymagają |
Dla Ochrona punktu końcowego w usłudze Microsoft Defender
| Właściwość | Value |
|---|---|
| Wymagaj, aby urządzenie było na poziomie lub poniżej oceny ryzyka maszyny | Średnie |
Zasady dostępu warunkowego
Po utworzeniu zasad ochrony aplikacji i zgodności urządzeń w Intune można włączyć wymuszanie za pomocą zasad dostępu warunkowego.
Wymaganie uwierzytelniania wieloskładnikowego na podstawie ryzyka logowania
Postępuj zgodnie ze wskazówkami w artykule Common Conditional Access policy: Sign-in risk-based multifactor authentication (Typowe zasady dostępu warunkowego: uwierzytelnianie wieloskładnikowe oparte na ryzyku logowania ), aby utworzyć zasady wymagające uwierzytelniania wieloskładnikowego na podstawie ryzyka logowania.
Podczas konfigurowania zasad użyj następujących poziomów ryzyka.
| Poziom ochrony | Wymagane wartości poziomu ryzyka | Akcja |
|---|---|---|
| Punkt początkowy | Wysoki, średni | Sprawdź oba. |
| Enterprise | Wysoki, średni, niski | Sprawdź wszystkie trzy. |
Blokuj klientów, którzy nie obsługują uwierzytelniania wieloskładnikowego
Postępuj zgodnie ze wskazówkami w artykule Typowe zasady dostępu warunkowego: Blokuj starsze uwierzytelnianie , aby zablokować starsze uwierzytelnianie.
Użytkownicy wysokiego ryzyka muszą zmienić hasło
Postępuj zgodnie ze wskazówkami w artykule Common Conditional Access policy: User risk-based password change to require users with compromised credentials to change their password ( Typowe zasady dostępu warunkowego: zmiana hasła oparta na ryzyku użytkownika ), aby wymagać od użytkowników ze złamanymi poświadczeniami zmiany hasła.
Użyj tych zasad wraz z Microsoft Entra ochroną haseł, która wykrywa i blokuje znane słabe hasła i ich warianty oprócz terminów specyficznych dla twojej organizacji. Użycie Microsoft Entra ochrony hasłem zapewnia, że zmienione hasła są silniejsze.
Wymagaj zatwierdzonych aplikacji i zasad ochrony aplikacji
Należy utworzyć zasady dostępu warunkowego, aby wymusić zasady ochrony aplikacji utworzone w Intune. Wymuszanie zasad ochrony aplikacji wymaga zasad dostępu warunkowego i odpowiednich zasad ochrony aplikacji.
Aby utworzyć zasady dostępu warunkowego wymagające zatwierdzonych aplikacji i ochrony aplikacji, wykonaj kroki opisane w temacie Wymagaj zatwierdzonych aplikacji klienckich lub zasad ochrony aplikacji na urządzeniach przenośnych. Te zasady zezwalają na dostęp do punktów końcowych platformy Microsoft 365 tylko na kontach w aplikacjach mobilnych chronionych przez zasady ochrony aplikacji.
Blokowanie starszego uwierzytelniania dla innych aplikacji klienckich na urządzeniach z systemami iOS i Android gwarantuje, że ci klienci nie będą mogli pominąć zasad dostępu warunkowego. Jeśli postępujesz zgodnie ze wskazówkami w tym artykule, skonfigurowano już klientów bloku, którzy nie obsługują nowoczesnego uwierzytelniania.
Wymagaj zgodnych komputerów i urządzeń przenośnych
Poniższe kroki pomogą w utworzeniu zasad dostępu warunkowego, które będą wymagać, aby urządzenia uzyskujące dostęp do zasobów były oznaczone jako zgodne z zasadami zgodności Intune organizacji.
Uwaga
Przed włączeniem tych zasad upewnij się, że urządzenie jest zgodne. W przeciwnym razie możesz zostać zablokowany i nie możesz zmienić tych zasad, dopóki konto użytkownika nie zostanie dodane do grupy wykluczeń dostępu warunkowego.
- Zaloguj się do witryny Azure Portal.
- Przejdź do Tożsamość Microsoft Entra>Zabezpieczenia>dostępu warunkowego.
- Wybierz pozycję Nowe zasady.
- Nadaj zasadom nazwę. Zalecamy, aby organizacje utworzyły zrozumiały standard nazw swoich zasad.
- W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
- W obszarze Uwzględnij wybierz pozycję Wszyscy użytkownicy.
- W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy , a następnie wybierz konta z dostępem awaryjnym lub dostępem awaryjnym w organizacji.
- W obszarze Aplikacje lub akcje> w chmurzeUwzględnij wybierz pozycję Wszystkie aplikacje w chmurze.
- Jeśli musisz wykluczyć określone aplikacje z zasad, możesz wybrać je na karcie Wyklucz w obszarze Wybierz wykluczone aplikacje w chmurze i wybrać pozycję Wybierz.
- W obszarze Udzielanie kontroli> dostępu.
- Wybierz pozycję Wymagaj, aby urządzenie było oznaczone jako zgodne.
- Wybierz pozycję Wybierz.
- Potwierdź ustawienia i ustaw opcję Włącz zasadyna Wł.
- Wybierz pozycję Twórca, aby utworzyć, aby włączyć zasady.
Uwaga
Nowe urządzenia można zarejestrować w celu Intune nawet wtedy, gdy wybierzesz pozycję Wymagaj, aby urządzenie było oznaczone jako zgodne dla wszystkich użytkowników i wszystkich aplikacji w chmurze w zasadach. Wymaganie, aby urządzenie było oznaczone jako zgodne, nie blokuje rejestracji Intune ani dostępu do aplikacji Microsoft Intune Web Portal firmy.
Aktywacja subskrypcji
Organizacje korzystające z funkcji aktywacji subskrypcji , aby umożliwić użytkownikom "inicjowanie" z jednej wersji systemu Windows do innej, mogą chcieć wykluczyć interfejsy API usługi magazynu uniwersalnego i aplikację internetową AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f ze swoich zasad zgodności urządzeń.
Zawsze wymagaj uwierzytelniania wieloskładnikowego
Postępuj zgodnie ze wskazówkami w artykule Typowe zasady dostępu warunkowego: Wymagaj uwierzytelniania wieloskładnikowego dla wszystkich użytkowników , aby wymagać od wyspecjalizowanych użytkowników poziomu zabezpieczeń, aby zawsze przeprowadzali uwierzytelnianie wieloskładnikowe.
Ostrzeżenie
Podczas konfigurowania zasad wybierz grupę wymagającą wyspecjalizowanych zabezpieczeń i użyj jej zamiast wybierać pozycję Wszyscy użytkownicy.
Następne kroki
Dowiedz się więcej o zaleceniach dotyczących zasad dla gości i użytkowników zewnętrznych
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla