Wymagania wstępne dotyczące implementowania zasad Zero Trust tożsamości i dostępu do urządzeń

W tym artykule opisano wymagania wstępne, które administratorzy muszą spełnić, aby korzystać z zalecanych Zero Trust zasad dostępu do tożsamości i urządzeń oraz korzystać z dostępu warunkowego. Omówiono w nim również zalecane wartości domyślne dotyczące konfigurowania platform klienckich dla najlepszego środowiska logowania jednokrotnego.

Wymagania wstępne

Przed użyciem Zero Trust zasad dostępu do tożsamości i urządzeń, które są zalecane, organizacja musi spełnić wymagania wstępne. Wymagania są różne dla różnych modeli tożsamości i uwierzytelniania wymienionych na liście:

  • Tylko w chmurze
  • Uwierzytelnianie hybrydowe z uwierzytelnianiem synchronizacji skrótów haseł (PHS)
  • Hybrydowe z uwierzytelnianiem przekazywanym (PTA)
  • Federacyjnych

W poniższej tabeli szczegółowo opisano funkcje wymagań wstępnych i ich konfigurację, które mają zastosowanie do wszystkich modeli tożsamości, z wyjątkiem sytuacji, w których zostały zanotowane.

Konfiguracja Wyjątki Licencjonowanie
Skonfiguruj język PHS. Ta funkcja musi być włączona w celu wykrywania wyciekłych poświadczeń i działania na ich podstawie w przypadku dostępu warunkowego opartego na ryzyku. Uwaga: Jest to wymagane niezależnie od tego, czy organizacja korzysta z uwierzytelniania federacyjnego. Tylko w chmurze Microsoft 365 E3 lub E5
Włącz bezproblemowe logowanie jednokrotne , aby automatycznie logować użytkowników, gdy znajdują się na urządzeniach organizacji połączonych z siecią organizacji. Tylko w chmurze i federacyjne Microsoft 365 E3 lub E5
Skonfiguruj nazwane lokalizacje. Ochrona tożsamości Microsoft Entra zbiera i analizuje wszystkie dostępne dane sesji w celu wygenerowania oceny ryzyka. Zalecamy określenie zakresów publicznych adresów IP organizacji dla sieci w konfiguracji Tożsamość Microsoft Entra nazwanych lokalizacji. Ruch pochodzący z tych zakresów otrzymuje obniżoną ocenę ryzyka, a ruch spoza środowiska organizacji otrzymuje wyższy wynik ryzyka. Microsoft 365 E3 lub E5
Zarejestruj wszystkich użytkowników na potrzeby samoobsługowego resetowania haseł (SSPR) i uwierzytelniania wieloskładnikowego (MFA). Zalecamy zarejestrowanie użytkowników w celu Microsoft Entra uwierzytelniania wieloskładnikowego. Ochrona tożsamości Microsoft Entra korzysta z uwierzytelniania wieloskładnikowego Microsoft Entra w celu przeprowadzenia dodatkowej weryfikacji zabezpieczeń. Ponadto w celu zapewnienia najlepszego środowiska logowania zalecamy użytkownikom zainstalowanie aplikacji Microsoft Authenticator i aplikacji Microsoft Portal firmy na swoich urządzeniach. Można je zainstalować ze sklepu z aplikacjami dla każdej platformy. Microsoft 365 E3 lub E5
Zaplanuj implementację przyłączania hybrydowego Microsoft Entra. Dostęp warunkowy zapewni, że urządzenia łączące się z aplikacjami są przyłączone do domeny lub są zgodne. Aby obsługiwać tę funkcję na komputerach z systemem Windows, urządzenie musi być zarejestrowane w Tożsamość Microsoft Entra. W tym artykule omówiono sposób konfigurowania automatycznej rejestracji urządzeń. Tylko w chmurze Microsoft 365 E3 lub E5
Przygotuj zespół pomocy technicznej. Utwórz plan dla użytkowników, którzy nie mogą ukończyć uwierzytelniania wieloskładnikowego. Może to być dodanie ich do grupy wykluczeń zasad lub zarejestrowanie dla nich nowych informacji uwierzytelniania wieloskładnikowego. Przed wprowadzeniem jednej z tych zmian wrażliwych na zabezpieczenia należy upewnić się, że rzeczywisty użytkownik wykonuje żądanie. Wymaganie od menedżerów użytkowników pomocy w zatwierdzaniu jest skutecznym krokiem. Microsoft 365 E3 lub E5
Skonfiguruj zapisywanie zwrotne haseł w lokalnej usłudze AD. Zapisywanie zwrotne haseł umożliwia Tożsamość Microsoft Entra wymaganie od użytkowników zmiany haseł lokalnych po wykryciu naruszenia zabezpieczeń konta wysokiego ryzyka. Tę funkcję można włączyć przy użyciu programu Microsoft Entra Connect na jeden z dwóch sposobów: włącz funkcję zapisywania zwrotnego haseł na opcjonalnym ekranie funkcji konfiguracji programu Microsoft Entra Connect lub włącz ją za pośrednictwem Windows PowerShell. Tylko w chmurze Microsoft 365 E3 lub E5
Skonfiguruj ochronę haseł Microsoft Entra. Microsoft Entra ochrona haseł wykrywa i blokuje znane słabe hasła i ich warianty, a także może blokować dodatkowe słabe terminy specyficzne dla twojej organizacji. Domyślne globalne listy zakazanych haseł są automatycznie stosowane do wszystkich użytkowników w dzierżawie Microsoft Entra. Dodatkowe wpisy można zdefiniować na niestandardowej liście zakazanych haseł. Gdy użytkownicy zmieniają lub resetują swoje hasła, te listy zakazanych haseł są sprawdzane w celu wymuszenia użycia silnych haseł. Microsoft 365 E3 lub E5
Włącz Ochrona tożsamości Microsoft Entra. Ochrona tożsamości Microsoft Entra umożliwia wykrywanie potencjalnych luk w zabezpieczeniach wpływających na tożsamości organizacji i konfigurowanie zautomatyzowanych zasad korygowania do niskiego, średniego i wysokiego ryzyka logowania oraz ryzyka związanego z użytkownikiem. Microsoft 365 E5 lub Microsoft 365 E3 z dodatkiem E5 Security
Włącz nowoczesne uwierzytelnianie dla Exchange Online i dla usługi Skype dla firm Online. Nowoczesne uwierzytelnianie jest warunkiem wstępnym korzystania z uwierzytelniania wieloskładnikowego. Nowoczesne uwierzytelnianie jest domyślnie włączone dla klientów pakietu Office 2016 i 2019, programu SharePoint i OneDrive dla Firm. Microsoft 365 E3 lub E5
Włącz ciągłą ocenę dostępu dla Tożsamość Microsoft Entra. Ciągła ocena dostępu proaktywnie przerywa aktywne sesje użytkowników i wymusza zmiany zasad dzierżawy niemal w czasie rzeczywistym. Microsoft 365 E3 lub E5

W tej sekcji opisano domyślne konfiguracje klienta platformy, które zalecamy, aby zapewnić użytkownikom najlepsze środowisko logowania jednokrotnego, a także wymagania techniczne dotyczące dostępu warunkowego.

Urządzenia z systemem Windows

Zalecamy Windows 11 lub Windows 10 (wersja 2004 lub nowsza), ponieważ platforma Azure została zaprojektowana tak, aby zapewnić bezproblemowe środowisko logowania jednokrotnego dla środowiska lokalnego i Tożsamość Microsoft Entra. Urządzenia służbowe powinny być skonfigurowane do bezpośredniego dołączania do Tożsamość Microsoft Entra lub jeśli organizacja korzysta z lokalnego przyłączania do domeny usługi AD, te urządzenia powinny być skonfigurowane do automatycznego i dyskretnego rejestrowania w Tożsamość Microsoft Entra.

W przypadku urządzeń z systemem Windows BYOD użytkownicy mogą używać funkcji Dodaj konto służbowe. Należy pamiętać, że użytkownicy przeglądarki Google Chrome na urządzeniach Windows 11 lub Windows 10 muszą zainstalować rozszerzenie, aby uzyskać takie samo bezproblemowe logowanie jak użytkownicy przeglądarki Microsoft Edge. Ponadto jeśli organizacja ma przyłączone do domeny urządzenia Windows 8 lub 8.1, możesz zainstalować program Microsoft Workplace Join dla komputerów innych niż Windows 10. Pobierz pakiet, aby zarejestrować urządzenia w Tożsamość Microsoft Entra.

Urządzenia z systemem iOS

Zalecamy zainstalowanie aplikacji Microsoft Authenticator na urządzeniach użytkowników przed wdrożeniem zasad dostępu warunkowego lub uwierzytelniania wieloskładnikowego. Co najmniej należy zainstalować aplikację, gdy użytkownicy zostaną poproszeni o zarejestrowanie urządzenia w Tożsamość Microsoft Entra przez dodanie konta służbowego lub zainstalowanie aplikacji portalu firmy Intune w celu zarejestrowania urządzenia w zarządzaniu. Zależy to od skonfigurowanych zasad dostępu warunkowego.

Urządzenia z systemem Android

Zalecamy użytkownikom zainstalowanie aplikacji Intune — Portal firmy i aplikacji Microsoft Authenticator przed wdrożeniem zasad dostępu warunkowego lub gdy jest to wymagane podczas niektórych prób uwierzytelniania. Po zainstalowaniu aplikacji użytkownicy mogą zostać poproszeni o zarejestrowanie się w Tożsamość Microsoft Entra lub zarejestrowanie urządzenia przy użyciu Intune. Zależy to od skonfigurowanych zasad dostępu warunkowego.

Zalecamy również, aby urządzenia należące do organizacji były ustandaryzowane na maszynach OEM i wersjach, które obsługują system Android for Work lub Samsung Knox, aby zezwalać na konta poczty, być zarządzane i chronione przez zasady zarządzania urządzeniami przenośnymi Intune.

Następujący klienci poczty e-mail obsługują nowoczesne uwierzytelnianie i dostęp warunkowy.

Platforma Klient Wersja/uwagi
Windows Outlook 2019, 2016

Wymagane aktualizacje

iOS Outlook dla systemu iOS Najnowsza
Android Outlook dla systemu Android Najnowsza
macOS Outlook 2019 i 2016
Linux Nieobsługiwane

Po zastosowaniu zasad bezpiecznych dokumentów zaleca się następujących klientów.

Platforma Word/Excel/PowerPoint OneNote Aplikacja OneDrive Aplikacja programu SharePoint Klient synchronizacji OneDrive
Windows 11 lub Windows 10 Obsługiwane Obsługiwane Nie dotyczy nd. Obsługiwane
Windows 8.1 Obsługiwane Obsługiwane Nie dotyczy nd. Obsługiwane
Android Obsługiwane Obsługiwane Obsługiwane Obsługiwane Nie dotyczy
iOS Obsługiwane Obsługiwane Obsługiwane Obsługiwane Nie dotyczy
macOS Obsługiwane Obsługiwane Nie dotyczy nd. Nieobsługiwane
Linux Nieobsługiwane Nieobsługiwane Nieobsługiwane Nieobsługiwane Nieobsługiwane

Obsługa klienta platformy Microsoft 365

Aby uzyskać więcej informacji na temat obsługi klienta w usłudze Microsoft 365, zobacz następujące artykuły:

Ochrona kont administratorów

W przypadku Microsoft 365 E3 lub E5 lub z oddzielnymi licencjami Tożsamość Microsoft Entra P1 lub P2 można wymagać uwierzytelniania wieloskładnikowego dla kont administratorów z ręcznie utworzonymi zasadami dostępu warunkowego. Aby uzyskać szczegółowe informacje, zobacz Dostęp warunkowy: Wymagaj uwierzytelniania wieloskładnikowego dla administratorów .

W przypadku wersji platformy Microsoft 365 lub Office 365, które nie obsługują dostępu warunkowego, można włączyć ustawienia domyślne zabezpieczeń, aby wymagać uwierzytelniania wieloskładnikowego dla wszystkich kont.

Oto kilka dodatkowych zaleceń:

  • Użyj Microsoft Entra Privileged Identity Management, aby zmniejszyć liczbę trwałych kont administracyjnych.
  • Zarządzanie dostępem uprzywilejowanym umożliwia ochronę organizacji przed naruszeniami, które mogą korzystać z istniejących kont administratorów uprzywilejowanych z dostępem do poufnych danych lub dostępem do krytycznych ustawień konfiguracji.
  • Utwórz i użyj oddzielnych kont, do których przypisano role administratora platformy Microsoft 365tylko na potrzeby administracji. Administratorzy powinni mieć własne konto użytkownika do regularnego użytku nieadministracyjnym i używać konta administracyjnego tylko wtedy, gdy jest to konieczne do wykonania zadania skojarzonego z ich rolą lub funkcją zadania.
  • Postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi zabezpieczania uprzywilejowanych kont w Tożsamość Microsoft Entra.

Następny krok

Krok 2. Konfigurowanie typowych zasad Zero Trust tożsamości i dostępu do dostępu warunkowego.

Konfigurowanie typowych zasad tożsamości Zero Trust i dostępu do urządzeń