Konfiguracje Zero Trust dostępu do tożsamości i urządzeń

Architektury zabezpieczeń korzystające z zapór sieciowych i wirtualnych sieci prywatnych (VPN) do izolowania i ograniczania dostępu do zasobów i usług technologicznych organizacji nie są już wystarczające dla pracowników, którzy regularnie wymagają dostępu do aplikacji i zasobów, które istnieją poza tradycyjnymi granicami sieci firmowej.

Aby rozwiązać ten nowy świat przetwarzania, firma Microsoft zdecydowanie zaleca model zabezpieczeń Zero Trust, który jest oparty na następujących zasadach przewodnich:

  • Jawne weryfikowanie

    Zawsze uwierzytelniaj się i autoryzuj na podstawie wszystkich dostępnych punktów danych. W tym miejscu zasady Zero Trust tożsamości i dostępu do urządzeń mają kluczowe znaczenie dla logowania i ciągłej weryfikacji.

  • Korzystanie z dostępu z najniższymi uprawnieniami

    Ogranicz dostęp użytkowników za pomocą funkcji just in time i just-enough-access (JIT/JEA), zasad adaptacyjnych opartych na ryzyku i ochrony danych.

  • Załóżmy, że naruszenie

    Minimalizuj promień wybuchu i dostęp do segmentu. Zweryfikuj kompleksowe szyfrowanie i użyj analizy, aby uzyskać widoczność, zwiększyć wykrywanie zagrożeń i ulepszyć ochronę.

Oto ogólna architektura Zero Trust.

Architektura Zero Trust firmy Microsoft

Zero Trust zasady dostępu do tożsamości i urządzeń dotyczą zasady Jawne sprawdzanie identyfikatora guid dla:

  • Tożsamości

    Gdy tożsamość próbuje uzyskać dostęp do zasobu, sprawdź tę tożsamość przy użyciu silnego uwierzytelniania i upewnij się, że żądany dostęp jest zgodny i typowy.

  • Urządzenia (nazywane również punktami końcowymi)

    Monitorowanie i wymuszanie wymagań dotyczących kondycji i zgodności urządzeń w celu zapewnienia bezpiecznego dostępu.

  • Aplikacje

    Stosowanie kontrolek i technologii w celu odnajdywania w tle akcji IT, zapewniania odpowiednich uprawnień w aplikacji, uzyskiwania dostępu w oparciu o analizę w czasie rzeczywistym, monitorowania nietypowego zachowania, kontrolowania akcji użytkownika i weryfikowania bezpiecznych opcji konfiguracji.

W tej serii artykułów opisano zestaw konfiguracji wymagań wstępnych dotyczących tożsamości i dostępu do urządzeń oraz zestaw dostępu warunkowego usługi Azure Active Directory (Azure AD), Microsoft Intune i innych zasad dotyczących Zero Trust dostępu do usługi Microsoft 365 dla aplikacji i usług w chmurze dla przedsiębiorstw, innych usług SaaS i aplikacji lokalnych opublikowanych za pomocą programu Azure AD serwer proxy aplikacji.

Zero Trust ustawienia i zasady dostępu do tożsamości i urządzeń są zalecane w trzech warstwach: punkt początkowy, przedsiębiorstwo i wyspecjalizowane zabezpieczenia dla środowisk z wysoce regulowanymi lub sklasyfikowanymi danymi. Te warstwy i odpowiednie konfiguracje zapewniają spójne poziomy Zero Trust ochrony danych, tożsamości i urządzeń.

Te możliwości i ich zalecenia:

Jeśli Twoja organizacja ma unikatowe wymagania środowiskowe lub złożoność, skorzystaj z tych zaleceń jako punktu wyjścia. Jednak większość organizacji może zaimplementować te zalecenia zgodnie z zaleceniami.

Obejrzyj ten film wideo, aby zapoznać się z szybkim omówieniem konfiguracji tożsamości i dostępu do urządzeń dla platformy Microsoft 365 dla przedsiębiorstw.


Uwaga

Firma Microsoft sprzedaje również licencje Enterprise Mobility + Security (EMS) dla subskrypcji Office 365. Możliwości EMS E3 i EMS E5 są równoważne możliwościom Microsoft 365 E3 i Microsoft 365 E5. Aby uzyskać szczegółowe informacje , zobacz Plany pakietu EMS .

Odbiorcy

Zalecenia te są przeznaczone dla architektów przedsiębiorstw i specjalistów IT, którzy znają usługi microsoft 365 w zakresie produktywności i zabezpieczeń w chmurze, w tym Azure AD (tożsamość), Microsoft Intune (zarządzanie urządzeniami) i Microsoft Purview Information Protection (ochrona danych).

Środowisko klienta

Zalecane zasady mają zastosowanie do organizacji korporacyjnych działających zarówno w całości w chmurze firmy Microsoft, jak i dla klientów z infrastrukturą tożsamości hybrydowej, która jest lasem usług lokalna usługa Active Directory Domain Services (AD DS) synchronizowanym z dzierżawą Azure AD.

Wiele z podanych zaleceń opiera się na usługach dostępnych tylko z Microsoft 365 E5, Microsoft 365 E3 z dodatkiem E5 Security, licencjami EMS E5 lub Azure AD — wersja Premium P2.

W przypadku tych organizacji, które nie mają tych licencji, firma Microsoft zaleca co najmniej zaimplementowanie ustawień domyślnych zabezpieczeń, które są dołączone do wszystkich planów platformy Microsoft 365.

Zastrzeżenia

Twoja organizacja może podlegać przepisom lub innym wymaganiom dotyczącym zgodności, w tym konkretnym rekomendacjom, które mogą wymagać zastosowania zasad, które różnią się od tych zalecanych konfiguracji. Te konfiguracje zalecają kontrolki użycia, które nie były w przeszłości dostępne. Zalecamy te mechanizmy kontroli, ponieważ uważamy, że stanowią one równowagę między bezpieczeństwem a produktywnością.

Zrobiliśmy wszystko, co w naszej mocy, aby uwzględnić szeroką gamę wymagań dotyczących ochrony organizacji, ale nie możemy uwzględnić wszystkich możliwych wymagań ani wszystkich unikatowych aspektów organizacji.

Trzy warstwy ochrony

Większość organizacji ma określone wymagania dotyczące zabezpieczeń i ochrony danych. Wymagania te różnią się w zależności od segmentu branżowego i funkcji zadań w organizacjach. Na przykład dział prawny i administratorzy mogą wymagać dodatkowych mechanizmów kontroli zabezpieczeń i ochrony informacji dotyczących korespondencji e-mail, które nie są wymagane dla innych jednostek biznesowych.

Każda branża ma również własny zestaw wyspecjalizowanych przepisów. Zamiast udostępniać listę wszystkich możliwych opcji zabezpieczeń lub rekomendacji dla segmentu branżowego lub funkcji zadania, przedstawiono zalecenia dotyczące trzech różnych poziomów zabezpieczeń i ochrony, które mogą być stosowane na podstawie stopnia szczegółowości twoich potrzeb.

  • Punkt początkowy: Zalecamy, aby wszyscy klienci ustanawiali i korzystali z minimalnego standardu ochrony danych, a także tożsamości i urządzeń uzyskujących dostęp do danych. Możesz postępować zgodnie z tymi zaleceniami, aby zapewnić silną domyślną ochronę jako punkt wyjścia dla wszystkich organizacji.
  • Przedsiębiorstwo: Niektórzy klienci mają podzestaw danych, które muszą być chronione na wyższych poziomach lub mogą wymagać ochrony wszystkich danych na wyższym poziomie. Zwiększoną ochronę można zastosować do wszystkich lub określonych zestawów danych w środowisku platformy Microsoft 365. Zalecamy ochronę tożsamości i urządzeń, które uzyskują dostęp do poufnych danych z porównywalnymi poziomami zabezpieczeń.
  • Wyspecjalizowane zabezpieczenia: w razie potrzeby kilku klientów ma niewielką ilość danych, które są wysoce sklasyfikowane, stanowią tajemnice handlowe lub są regulowane. Firma Microsoft oferuje możliwości ułatwiające tym klientom spełnienie tych wymagań, w tym dodatkową ochronę tożsamości i urządzeń.

Stożek zabezpieczeń

W tych wskazówkach pokazano, jak zaimplementować ochronę Zero Trust tożsamości i urządzeń dla każdego z tych poziomów ochrony. Skorzystaj z tych wskazówek jako minimum dla organizacji i dostosuj zasady, aby spełniać określone wymagania organizacji.

Ważne jest, aby używać spójnych poziomów ochrony między tożsamościami, urządzeniami i danymi. Na przykład ochrona użytkowników z kontami—priorytetowymi, takimi jak kadra kierownicza, liderzy, menedżerowie i inne—osoby, powinna obejmować ten sam poziom ochrony tożsamości, urządzeń i danych, do których uzyskują dostęp.

Ponadto zapoznaj się z rozwiązaniem Deploy information protection for data privacy regulations (Wdrażanie ochrony informacji dla zasad ochrony prywatności danych ), aby chronić informacje przechowywane na platformie Microsoft 365.

Kompromisy w zakresie bezpieczeństwa i produktywności

Wdrożenie dowolnej strategii zabezpieczeń wymaga kompromisów między bezpieczeństwem a produktywnością. Warto ocenić, w jaki sposób każda decyzja wpływa na równowagę zabezpieczeń, funkcjonalności i łatwości użycia.

Zabezpieczenia równoważenia triady zabezpieczeń, funkcjonalność i łatwość użycia

Podane zalecenia są oparte na następujących zasadach:

  • Znaj swoich użytkowników i bądź elastyczny w zależności od ich wymagań dotyczących zabezpieczeń i funkcjonalności.
  • Zastosuj zasady zabezpieczeń w samą porę i upewnij się, że są one istotne.

Usługi i pojęcia dotyczące Zero Trust tożsamości i ochrony dostępu do urządzeń

Platforma Microsoft 365 dla przedsiębiorstw została zaprojektowana dla dużych organizacji, aby umożliwić wszystkim pracę twórczą i bezpieczną współpracę.

Ta sekcja zawiera omówienie usług i możliwości platformy Microsoft 365, które są ważne dla Zero Trust tożsamości i dostępu do urządzeń.

Azure AD

Azure AD zapewnia pełny zestaw możliwości zarządzania tożsamościami. Zalecamy użycie tych możliwości w celu zabezpieczenia dostępu.

Możliwość lub funkcja Opis Licencjonowanie
Uwierzytelnianie wieloskładnikowe (MFA) Uwierzytelnianie wieloskładnikowe wymaga od użytkowników podania dwóch form weryfikacji, takich jak hasło użytkownika oraz powiadomienie z aplikacji Microsoft Authenticator lub połączenie telefoniczne. Uwierzytelnianie wieloskładnikowe znacznie zmniejsza ryzyko użycia skradzionych poświadczeń w celu uzyskania dostępu do środowiska. Platforma Microsoft 365 używa usługi Azure AD Multi-Factor Authentication do logowania opartego na uwierzytelnianiu wieloskładnikowym. Microsoft 365 E3 lub E5
Dostęp warunkowy Azure AD ocenia warunki logowania użytkownika i używa zasad dostępu warunkowego do określenia dozwolonego dostępu. Na przykład w tych wskazówkach przedstawiono sposób tworzenia zasad dostępu warunkowego w celu wymagania zgodności urządzeń w celu uzyskania dostępu do poufnych danych. Znacznie zmniejsza to ryzyko, że haker z własnym urządzeniem i skradzionymi poświadczeniami będzie mógł uzyskać dostęp do poufnych danych. Chroni również poufne dane na urządzeniach, ponieważ urządzenia muszą spełniać określone wymagania dotyczące kondycji i zabezpieczeń. Microsoft 365 E3 lub E5
grupy Azure AD Zasady dostępu warunkowego, zarządzanie urządzeniami z Intune, a nawet uprawnienia do plików i witryn w organizacji zależą od przypisania do kont użytkowników lub grup Azure AD. Zalecamy utworzenie grup Azure AD, które odpowiadają zaimplementowaniu poziomów ochrony. Na przykład pracownicy kadry kierowniczej są prawdopodobnie celami o wyższej wartości dla hakerów. Dlatego warto dodać konta użytkowników tych pracowników do grupy Azure AD i przypisać tę grupę do zasad dostępu warunkowego i innych zasad, które wymuszają wyższy poziom ochrony dostępu. Microsoft 365 E3 lub E5
Rejestrowanie urządzeń Zarejestrowanie urządzenia w Azure AD w celu utworzenia tożsamości dla urządzenia. Ta tożsamość służy do uwierzytelniania urządzenia podczas logowania użytkownika i stosowania zasad dostępu warunkowego, które wymagają komputerów przyłączonych do domeny lub zgodnych. Aby uzyskać te wskazówki, używamy rejestracji urządzeń do automatycznego rejestrowania komputerów z systemem Windows przyłączonych do domeny. Rejestrowanie urządzeń jest wymaganie wstępne do zarządzania urządzeniami z Intune. Microsoft 365 E3 lub E5
Ochrona tożsamości w usłudze Azure AD Umożliwia wykrywanie potencjalnych luk w zabezpieczeniach wpływających na tożsamości organizacji i konfigurowanie zasad zautomatyzowanego korygowania na potrzeby niskiego, średniego i wysokiego ryzyka logowania oraz ryzyka związanego z użytkownikiem. Te wskazówki opierają się na tej ocenie ryzyka w celu zastosowania zasad dostępu warunkowego na potrzeby uwierzytelniania wieloskładnikowego. Te wskazówki obejmują również zasady dostępu warunkowego, które wymagają od użytkowników zmiany hasła w przypadku wykrycia działania wysokiego ryzyka dla konta. Microsoft 365 E5, Microsoft 365 E3 z dodatkiem E5 Security, licencjami EMS E5 lub Azure AD — wersja Premium P2
Samodzielne resetowanie hasła (SSPR) Zezwalaj użytkownikom na bezpieczne resetowanie haseł i bez interwencji pomocy technicznej, zapewniając weryfikację wielu metod uwierzytelniania, które może kontrolować administrator. Microsoft 365 E3 lub E5
Azure AD ochrony hasłem Wykrywanie i blokowanie znanych słabych haseł oraz ich wariantów oraz dodatkowych słabych terminów specyficznych dla Organizacji. Domyślne globalne listy zakazanych haseł są automatycznie stosowane do wszystkich użytkowników w dzierżawie Azure AD. Dodatkowe wpisy można zdefiniować na niestandardowej liście zakazanych haseł. Gdy użytkownicy zmieniają lub resetują swoje hasła, te listy zakazanych haseł są sprawdzane w celu wymuszenia użycia silnych haseł. Microsoft 365 E3 lub E5

Poniżej przedstawiono składniki Zero Trust tożsamości i dostępu do urządzeń, w tym Intune i Azure AD obiektów, ustawień i podusług.

Składniki tożsamości Zero Trust i dostępu do urządzeń

Microsoft Intune

Intune to oparta na chmurze usługa zarządzania urządzeniami przenośnymi firmy Microsoft. Te wskazówki zalecają zarządzanie urządzeniami komputerów z systemem Windows przy użyciu Intune i zalecają konfiguracje zasad zgodności urządzeń. Intune określa, czy urządzenia są zgodne, i wysyła te dane do Azure AD do użycia podczas stosowania zasad dostępu warunkowego.

ochrona aplikacji Intune

Intune zasad ochrony aplikacji można używać do ochrony danych organizacji w aplikacjach mobilnych przy użyciu lub bez rejestrowania urządzeń w zarządzaniu. Intune pomaga chronić informacje, upewniając się, że pracownicy mogą nadal pracować wydajnie i zapobiegać utracie danych. Implementując zasady na poziomie aplikacji, możesz ograniczyć dostęp do zasobów firmy i utrzymać dane pod kontrolą działu IT.

W tych wskazówkach przedstawiono sposób tworzenia zalecanych zasad w celu wymuszania korzystania z zatwierdzonych aplikacji i określania, w jaki sposób te aplikacje mogą być używane z danymi biznesowymi.

Microsoft 365

W tych wskazówkach pokazano, jak zaimplementować zestaw zasad ochrony dostępu do usług w chmurze Platformy Microsoft 365, takich jak Microsoft Teams, Exchange, SharePoint i OneDrive. Oprócz implementowania tych zasad zalecamy również podniesienie poziomu ochrony dzierżawy przy użyciu następujących zasobów:

Windows 11 lub Windows 10 z Aplikacje Microsoft 365 dla przedsiębiorstw

Windows 11 lub Windows 10 z Aplikacje Microsoft 365 dla przedsiębiorstw jest zalecanym środowiskiem klienckim dla komputerów. Zalecamy Windows 11 lub Windows 10, ponieważ platforma Azure została zaprojektowana tak, aby zapewnić bezproblemowe środowisko dla środowiska lokalnego i Azure AD. Windows 11 lub Windows 10 obejmuje również zaawansowane funkcje zabezpieczeń, które można zarządzać za pośrednictwem Intune. Aplikacje Microsoft 365 dla przedsiębiorstw zawiera najnowsze wersje aplikacji pakietu Office. Korzystają one z nowoczesnego uwierzytelniania, które jest bezpieczniejsze i wymaga dostępu warunkowego. Te aplikacje obejmują również ulepszone narzędzia do zapewniania zgodności i zabezpieczeń.

Stosowanie tych możliwości w trzech warstwach ochrony

Poniższa tabela zawiera podsumowanie zaleceń dotyczących korzystania z tych funkcji w trzech warstwach ochrony.

Mechanizm ochrony Punkt początkowy Enterprise Wyspecjalizowane zabezpieczenia
Wymuszanie uwierzytelniania wieloskładnikowego Na średnim lub wyższym ryzyku logowania Przy niskim lub wyższym ryzyku logowania We wszystkich nowych sesjach
Wymuszanie zmiany hasła Dla użytkowników wysokiego ryzyka Dla użytkowników wysokiego ryzyka Dla użytkowników wysokiego ryzyka
Wymuszanie ochrony aplikacji Intune Tak Tak Tak
Wymuszanie rejestracji Intune dla urządzenia należącego do organizacji Wymagaj zgodnego lub przyłączanego do domeny komputera, ale zezwalaj na telefony i tablety byod (bring-your-own devices) Wymagaj urządzenia zgodnego lub przyłączanego do domeny Wymagaj urządzenia zgodnego lub przyłączanego do domeny

Własność urządzenia

Powyższa tabela odzwierciedla tendencję wielu organizacji do obsługi kombinacji urządzeń należących do organizacji, a także urządzeń osobistych lub BYOD, aby umożliwić produktywność urządzeń przenośnych dla pracowników. Intune zasady ochrony aplikacji zapewniają ochronę poczty e-mail przed eksfiltracjami z aplikacji mobilnej Outlook i innych aplikacji mobilnych pakietu Office zarówno na urządzeniach należących do organizacji, jak i przy użyciu identyfikatorów BYOD.

Zalecamy, aby urządzenia należące do organizacji były zarządzane przez Intune lub przyłączone do domeny w celu zastosowania dodatkowych zabezpieczeń i kontroli. W zależności od poufności danych organizacja może nie zezwalać na używanie identyfikatorów BYOD dla określonych populacji użytkowników lub określonych aplikacji.

Wdrażanie i aplikacje

Przed skonfigurowaniem i wprowadzeniem konfiguracji Zero Trust tożsamości i dostępu do urządzenia dla aplikacji zintegrowanych z Azure AD należy wykonać następujące czynności:

  • Zdecyduj, które aplikacje są używane w organizacji, które chcesz chronić.

  • Przeanalizuj tę listę aplikacji, aby określić zestawy zasad, które zapewniają odpowiednie poziomy ochrony.

    Nie należy tworzyć oddzielnych zestawów zasad dla aplikacji, ponieważ zarządzanie nimi może stać się kłopotliwe. Firma Microsoft zaleca grupowanie aplikacji, które mają te same wymagania dotyczące ochrony dla tych samych użytkowników.

    Na przykład możesz mieć jeden zestaw zasad obejmujący wszystkie aplikacje platformy Microsoft 365 dla wszystkich użytkowników na potrzeby ochrony punktu początkowego i drugi zestaw zasad dla wszystkich poufnych aplikacji, takich jak aplikacje używane przez działy kadr lub działy finansowe, i zastosować je do tych grup.

Po określeniu zestawu zasad dla aplikacji, które chcesz zabezpieczyć, należy stopniowo wdrażać zasady dla użytkowników i rozwiązywać problemy po drodze.

Na przykład skonfiguruj zasady, które będą używane dla wszystkich aplikacji platformy Microsoft 365 tylko dla programu Exchange, z dodatkowymi zmianami dla programu Exchange. Wprowadź te zasady dla użytkowników i przeprowadź wszelkie problemy. Następnie dodaj aplikację Teams z dodatkowymi zmianami i wprowadź ją dla użytkowników. Następnie dodaj program SharePoint ze swoimi dodatkowymi zmianami. Kontynuuj dodawanie pozostałych aplikacji, dopóki nie będzie można bezpiecznie skonfigurować tych zasad punktu początkowego w celu uwzględnienia wszystkich aplikacji platformy Microsoft 365.

Podobnie w przypadku aplikacji poufnych utwórz zestaw zasad i dodaj jedną aplikację naraz i przeprowadź wszelkie problemy, dopóki nie zostaną uwzględnione w poufnym zestawie zasad aplikacji.

Firma Microsoft zaleca, aby nie tworzyć zestawów zasad, które mają zastosowanie do wszystkich aplikacji, ponieważ może to spowodować pewne niezamierzone konfiguracje. Na przykład zasady blokujące wszystkie aplikacje mogą zablokować administratorów z Azure Portal i nie można skonfigurować wykluczeń dla ważnych punktów końcowych, takich jak Microsoft Graph.

Kroki konfigurowania tożsamości Zero Trust i dostępu do urządzeń

Kroki konfigurowania tożsamości Zero Trust i dostępu do urządzeń

  1. Konfigurowanie funkcji tożsamości wymagań wstępnych i ich ustawień.
  2. Skonfiguruj typowe zasady dostępu warunkowego i tożsamości.
  3. Skonfiguruj zasady dostępu warunkowego dla użytkowników-gości i użytkowników zewnętrznych.
  4. Skonfiguruj zasady dostępu warunkowego dla aplikacji—w chmurze platformy Microsoft 365, takich jak Microsoft Teams, Exchange i SharePoint—oraz zasady Microsoft Defender for Cloud Apps.

Po skonfigurowaniu Zero Trust tożsamości i dostępu do urządzeń zapoznaj się z przewodnikiem wdrażania funkcji Azure AD, aby zapoznać się z etapową listą kontrolną dodatkowych funkcji do rozważenia i Azure AD zarządzania tożsamościami w celu ochrony, monitorowania i inspekcji dostępu.

Następny krok

Wymagania wstępne dotyczące implementowania zasad Zero Trust tożsamości i dostępu do urządzeń