Typowe zasady zabezpieczeń dla organizacji platformy Microsoft 365
Organizacje mają wiele do zmartwień podczas wdrażania platformy Microsoft 365 dla swojej organizacji. Zasady dostępu warunkowego, ochrony aplikacji i zgodności urządzeń, do których odwołuje się ten artykuł, są oparte na zaleceniach firmy Microsoft i trzech wytycznych dotyczących modelu Zero Trust:
- Jawną weryfikację
- Użyj najniższych uprawnień
- Zakładanie naruszeń zabezpieczeń
Organizacje mogą przyjąć te zasady zgodnie z potrzebami lub dostosować je do swoich potrzeb. Jeśli to możliwe, przetestuj zasady w środowisku nieprodukcyjnym przed wdrożeniem do użytkowników produkcyjnych. Testowanie ma kluczowe znaczenie dla identyfikowania i przekazywania wszelkich możliwych efektów użytkownikom.
Te zasady są grupowane na trzy poziomy ochrony w zależności od tego, gdzie jesteś w podróży do wdrożenia:
- Punkt wyjścia — podstawowe mechanizmy kontroli, które wprowadzają uwierzytelnianie wieloskładnikowe, bezpieczne zmiany haseł i zasady ochrony aplikacji.
- Enterprise — ulepszone mechanizmy kontroli, które wprowadzają zgodność urządzeń.
- Wyspecjalizowane zabezpieczenia — zasady wymagające uwierzytelniania wieloskładnikowego za każdym razem dla określonych zestawów danych lub użytkowników.
Na poniższym diagramie przedstawiono poziom ochrony, do którego mają zastosowanie poszczególne zasady, oraz czy zasady dotyczą komputerów, telefonów i tabletów, czy obu kategorii urządzeń.
Ten diagram można pobrać jako plik PDF .
Napiwek
Wymaganie użycia uwierzytelniania wieloskładnikowego (MFA) jest zalecane przed zarejestrowaniem urządzeń w usłudze Intune w celu zapewnienia, że urządzenie jest w posiadaniu zamierzonego użytkownika. Aby można było wymusić zasady zgodności urządzeń, należy zarejestrować urządzenia w usłudze Intune.
Wymagania wstępne
Uprawnienia
- Użytkownicy, którzy będą zarządzać zasadami dostępu warunkowego, muszą być w stanie zalogować się do witryny Azure Portal co najmniej jako administrator dostępu warunkowego.
- Użytkownicy, którzy będą zarządzać ochroną aplikacji i zasadami zgodności urządzeń, muszą mieć możliwość zalogowania się do usługi Intune jako co najmniej administrator usługi Intune.
- Ci użytkownicy, którzy muszą wyświetlać konfiguracje, mogą mieć przypisane role Czytelnik zabezpieczeń lub Czytelnik globalny.
Aby uzyskać więcej informacji na temat ról i uprawnień, zobacz artykuł Microsoft Entra wbudowane role.
Rejestracja użytkownika
Przed wymaganiem użycia upewnij się, że użytkownicy rejestrują się na potrzeby uwierzytelniania wieloskładnikowego. Jeśli masz licencje, które obejmują microsoft Entra ID P2, możesz użyć zasad rejestracji uwierzytelniania wieloskładnikowego w Ochrona tożsamości Microsoft Entra, aby wymagać, aby użytkownicy zarejestrowali się. Udostępniamy szablony komunikacyjne, które można pobrać i dostosować, aby podwyższyć poziom rejestracji.
Grupy
Wszystkie grupy entra firmy Microsoft używane w ramach tych zaleceń muszą zostać utworzone jako grupa platformy Microsoft 365, a nie grupa zabezpieczeń. To wymaganie jest ważne w przypadku wdrażania etykiet poufności podczas zabezpieczania dokumentów w usłudze Microsoft Teams i programie SharePoint później. Aby uzyskać więcej informacji, zobacz artykuł Learn about groups and access rights in Microsoft Entra ID (Dowiedz się więcej o grupach i prawach dostępu w usłudze Microsoft Entra ID)
Przypisywanie zasad
Zasady dostępu warunkowego mogą być przypisywane do użytkowników, grup i ról administratora. Ochrona aplikacji usługi Intune i zasady zgodności urządzeń mogą być przypisywane tylko do grup. Przed skonfigurowaniem zasad należy określić, kto powinien zostać uwzględniony i wykluczony. Zazwyczaj zasady na poziomie ochrony punktu początkowego mają zastosowanie do wszystkich osób w organizacji.
Oto przykład przypisania grupy i wykluczeń wymagających uwierzytelniania wieloskładnikowego po zakończeniu rejestracji użytkowników.
| Zasady dostępu warunkowego firmy Microsoft Entra | Uwzględnia | Wyklucza | |
|---|---|---|---|
| Punkt początkowy | Wymaganie uwierzytelniania wieloskładnikowego dla ryzyka średniego lub wysokiego logowania | Wszyscy użytkownicy |
|
| Przedsiębiorstwo | Wymaganie uwierzytelniania wieloskładnikowego dla ryzyka niskiego, średniego lub wysokiego poziomu logowania | Grupa kadry kierowniczej |
|
| Wyspecjalizowane zabezpieczenia | Wymagaj uwierzytelniania wieloskładnikowego zawsze | Top Secret Project Buckeye group (Top Secret Project Buckeye) |
|
Należy zachować ostrożność podczas stosowania wyższego poziomu ochrony do grup i użytkowników. Celem zabezpieczeń nie jest dodanie niepotrzebnych problemów do środowiska użytkownika. Na przykład członkowie grupy Buckeye projektu top secret będą musieli używać uwierzytelniania wieloskładnikowego za każdym razem, gdy się logują, nawet jeśli nie pracują nad wyspecjalizowaną zawartością zabezpieczeń dla projektu. Nadmierne tarcie bezpieczeństwa może prowadzić do zmęczenia.
Możesz rozważyć włączenie metod uwierzytelniania bez hasła, takich jak Windows Hello dla firm lub klucze zabezpieczeń FIDO2, aby zmniejszyć pewne problemy spowodowane przez niektóre mechanizmy kontroli zabezpieczeń.
Konta dostępu awaryjnego
Wszystkie organizacje powinny mieć co najmniej jedno konto dostępu awaryjnego, które jest monitorowane pod kątem użycia i wykluczone z zasad. Te konta są używane tylko w przypadku, gdy wszystkie inne konta administratora i metody uwierzytelniania staną się zablokowane lub w inny sposób niedostępne. Więcej informacji można znaleźć w artykule Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID.
Wykluczenia
Zalecaną praktyką jest utworzenie grupy Microsoft Entra na potrzeby wykluczeń dostępu warunkowego. Ta grupa umożliwia zapewnienie dostępu użytkownikowi podczas rozwiązywania problemów z dostępem.
Ostrzeżenie
Ta grupa jest zalecana do użycia tylko jako rozwiązanie tymczasowe. Stale monitoruj i przeprowadź inspekcję tej grupy pod kątem zmian i upewnij się, że grupa wykluczeń jest używana tylko zgodnie z oczekiwaniami.
Aby dodać tę grupę wykluczeń do wszystkich istniejących zasad:
- Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
- Przejdź do strony Ochrona>dostępu warunkowego.
- Wybierz istniejące zasady.
- W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
- W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy , a następnie wybierz konta awaryjne lub konta awaryjne oraz grupę wykluczeń dostępu warunkowego.
Wdrożenie
Zalecamy zaimplementowanie zasad punktu początkowego w kolejności wymienionej w tej tabeli. Jednak zasady uwierzytelniania wieloskładnikowego dla przedsiębiorstw i wyspecjalizowanych poziomów zabezpieczeń ochrony można zaimplementować w dowolnym momencie.
Punkt początkowy
| Zasady | Więcej informacji | Licencjonowanie |
|---|---|---|
| Wymagaj uwierzytelniania wieloskładnikowego, gdy ryzyko logowania jest średnie lub wysokie | Użyj danych o ryzyku z Ochrona tożsamości Microsoft Entra, aby wymagać uwierzytelniania wieloskładnikowego tylko w przypadku wykrycia ryzyka | Microsoft 365 E5 lub Microsoft 365 E3 z dodatkiem E5 Security |
| Blokuj klientów, którzy nie obsługują nowoczesnego uwierzytelniania | Klienci, którzy nie korzystają z nowoczesnego uwierzytelniania, mogą pominąć zasady dostępu warunkowego, dlatego ważne jest, aby je zablokować. | Microsoft 365 E3 lub E5 |
| Użytkownicy wysokiego ryzyka muszą zmieniać hasło | Wymusza na użytkownikach zmianę hasła podczas logowania się w przypadku wykrycia aktywności wysokiego ryzyka dla konta. | Microsoft 365 E5 lub Microsoft 365 E3 z dodatkiem E5 Security |
| Stosowanie zasad ochrony aplikacji na potrzeby ochrony danych | Jedna zasada ochrony aplikacji usługi Intune na platformę (Windows, iOS/iPadOS, Android). | Microsoft 365 E3 lub E5 |
| Wymaganie zatwierdzonych aplikacji i zasad ochrony aplikacji | Wymusza zasady ochrony aplikacji mobilnych dla telefonów i tabletów przy użyciu systemów iOS, iPadOS lub Android. | Microsoft 365 E3 lub E5 |
Przedsiębiorstwa
| Zasady | Więcej informacji | Licencjonowanie |
|---|---|---|
| Wymagaj uwierzytelniania wieloskładnikowego, gdy ryzyko logowania jest niskie, średnie lub wysokie | Użyj danych o ryzyku z Ochrona tożsamości Microsoft Entra, aby wymagać uwierzytelniania wieloskładnikowego tylko w przypadku wykrycia ryzyka | Microsoft 365 E5 lub Microsoft 365 E3 z dodatkiem E5 Security |
| Definiowanie zasad zgodności urządzeń | Ustaw minimalne wymagania dotyczące konfiguracji. Jedna zasada dla każdej platformy. | Microsoft 365 E3 lub E5 |
| Wymaganie zgodnych komputerów i urządzeń przenośnych | Wymusza wymagania konfiguracyjne dotyczące urządzeń, które uzyskują dostęp do organizacji | Microsoft 365 E3 lub E5 |
Wyspecjalizowane zabezpieczenia
| Zasady | Więcej informacji | Licencjonowanie |
|---|---|---|
| Zawsze wymagaj uwierzytelniania wieloskładnikowego | Użytkownicy muszą wykonywać uwierzytelnianie wieloskładnikowe w dowolnym momencie logowania się do usług organizacji | Microsoft 365 E3 lub E5 |
zasady Ochrona aplikacji
Ochrona aplikacji zasady definiują, które aplikacje są dozwolone, oraz akcje, które mogą wykonywać z danymi organizacji. Dostępnych jest wiele opcji i może to być mylące dla niektórych. Poniższe punkty odniesienia to zalecane konfiguracje firmy Microsoft, które mogą być dostosowane do Twoich potrzeb. Udostępniamy trzy szablony do naśladowania, ale myślę, że większość organizacji wybierze poziomy 2 i 3.
Poziom 2 mapuje to, co uważamy za punkt początkowy lub zabezpieczenia na poziomie przedsiębiorstwa, poziom 3 mapuje na wyspecjalizowane zabezpieczenia.
Podstawowa ochrona danych na poziomie 1 przedsiębiorstwa — firma Microsoft zaleca tę konfigurację jako minimalną konfigurację ochrony danych dla urządzenia przedsiębiorstwa.
Poziom 2 — rozszerzona ochrona danych w przedsiębiorstwie — firma Microsoft zaleca tę konfigurację dla urządzeń, na których użytkownicy uzyskują dostęp do poufnych lub poufnych informacji. Ta konfiguracja ma zastosowanie do większości użytkowników mobilnych, którzy uzyskują dostęp do danych służbowych. Niektóre kontrolki mogą mieć wpływ na środowisko użytkownika.
Wysoka ochrona danych na poziomie 3 przedsiębiorstwa — firma Microsoft zaleca tę konfigurację dla urządzeń uruchamianych przez organizację z większym lub bardziej zaawansowanym zespołem ds. zabezpieczeń albo dla określonych użytkowników lub grup, którzy są wyjątkowo narażeni na wysokie ryzyko (użytkownicy, którzy obsługują wysoce poufne dane, gdy nieautoryzowane ujawnienie powoduje znaczną stratę materialną w organizacji). Organizacja, która może być objęta dobrze finansowanymi i zaawansowanymi przeciwnikami, powinna dążyć do tej konfiguracji.
Tworzenie zasad ochrony aplikacji
Utwórz nowe zasady ochrony aplikacji dla każdej platformy (iOS i Android) w usłudze Microsoft Intune przy użyciu ustawień platformy ochrony danych:
- Ręcznie utwórz zasady, wykonując kroki opisane w temacie Jak utworzyć i wdrożyć zasady ochrony aplikacji w usłudze Microsoft Intune.
- Zaimportuj przykładowe szablony JSON struktury konfiguracji zasad ochrony aplikacji usługi Intune za pomocą skryptów programu PowerShell usługi Intune.
Zasady zgodności urządzeń
Zasady zgodności urządzeń w usłudze Intune definiują wymagania, które muszą spełniać urządzenia, aby można je było określić jako zgodne.
Należy utworzyć zasady dla każdego komputera, telefonu lub platformy tabletu. W tym artykule omówiono zalecenia dotyczące następujących platform:
Tworzenie zasad zgodności urządzeń
Aby utworzyć zasady zgodności urządzeń, zaloguj się do centrum administracyjnego usługi Microsoft Intune i przejdź do pozycji Zasady> zgodności urządzeń.> Wybierz pozycję Utwórz zasady.
Aby uzyskać szczegółowe wskazówki dotyczące tworzenia zasad zgodności w usłudze Intune, zobacz Tworzenie zasad zgodności w usłudze Microsoft Intune.
Ustawienia rejestracji i zgodności dla systemu iOS/iPadOS
System iOS/iPadOS obsługuje kilka scenariuszy rejestracji, z których dwa są omówione w ramach tej struktury:
- Rejestracja urządzeń osobistych — te urządzenia są własnością osobistą i są używane zarówno do użytku służbowego, jak i osobistego.
- Automatyczna rejestracja urządzeń dla urządzeń należących do firmy — te urządzenia są własnością firmy, skojarzone z jednym użytkownikiem i używane wyłącznie do pracy, a nie do użytku osobistego.
Korzystając z zasad opisanych w temacie Zero Trust identity and device access configurations (Konfiguracje tożsamości zerowej zaufania i dostępu do urządzeń):
- Poziomy punktu początkowego i ochrony przedsiębiorstwa są ściśle mapowanie z ustawieniami zwiększonych zabezpieczeń na poziomie 2.
- Wyspecjalizowany poziom ochrony zabezpieczeń jest ściśle mapowy na poziom 3 wysokich ustawień zabezpieczeń.
Ustawienia zgodności dla urządzeń zarejestrowanych osobiście
- Osobiste podstawowe zabezpieczenia (poziom 1) — firma Microsoft zaleca tę konfigurację jako minimalną konfigurację zabezpieczeń dla urządzeń osobistych, na których użytkownicy uzyskują dostęp do danych służbowych. Ta konfiguracja jest wykonywana przez wymuszanie zasad haseł, właściwości blokady urządzenia i wyłączanie niektórych funkcji urządzeń, takich jak niezaufane certyfikaty.
- Zabezpieczenia osobiste (poziom 2) — firma Microsoft zaleca tę konfigurację dla urządzeń, na których użytkownicy uzyskują dostęp do poufnych lub poufnych informacji. Ta konfiguracja wprowadza mechanizmy kontroli udostępniania danych. Ta konfiguracja ma zastosowanie do większości użytkowników mobilnych, którzy uzyskują dostęp do danych służbowych na urządzeniu.
- Osobiste wysokie zabezpieczenia (poziom 3) — firma Microsoft zaleca tę konfigurację dla urządzeń używanych przez określonych użytkowników lub grup, które są wyjątkowo wysokiego ryzyka (użytkownicy, którzy obsługują wysoce poufne dane, gdy nieautoryzowane ujawnienie powoduje znaczną stratę materialną w organizacji). Ta konfiguracja wprowadza silniejsze zasady haseł, wyłącza niektóre funkcje urządzenia i wymusza dodatkowe ograniczenia transferu danych.
Ustawienia zgodności dla automatycznej rejestracji urządzeń
- Nadzorowane podstawowe zabezpieczenia (poziom 1) — firma Microsoft zaleca tę konfigurację jako minimalną konfigurację zabezpieczeń dla urządzeń nadzorowanych, na których użytkownicy uzyskują dostęp do danych służbowych. Ta konfiguracja jest wykonywana przez wymuszanie zasad haseł, właściwości blokady urządzenia i wyłączanie niektórych funkcji urządzeń, takich jak niezaufane certyfikaty.
- Nadzorowane rozszerzone zabezpieczenia (poziom 2) — firma Microsoft zaleca tę konfigurację dla urządzeń, na których użytkownicy uzyskują dostęp do poufnych lub poufnych informacji. Ta konfiguracja wprowadza mechanizmy kontroli udostępniania danych i blokuje dostęp do urządzeń USB. Ta konfiguracja ma zastosowanie do większości użytkowników mobilnych, którzy uzyskują dostęp do danych służbowych na urządzeniu.
- Nadzorowane wysokie zabezpieczenia (poziom 3) — firma Microsoft zaleca tę konfigurację dla urządzeń używanych przez określonych użytkowników lub grup, które są wyjątkowo wysokiego ryzyka (użytkownicy, którzy obsługują wysoce poufne dane, gdy nieautoryzowane ujawnienie powoduje znaczną stratę materialną w organizacji). Ta konfiguracja wprowadza silniejsze zasady haseł, wyłącza niektóre funkcje urządzeń, wymusza dodatkowe ograniczenia transferu danych i wymaga zainstalowania aplikacji za pośrednictwem programu zakupów zbiorczych firmy Apple.
Ustawienia rejestracji i zgodności dla systemu Android
Rozwiązanie Android Enterprise obsługuje kilka scenariuszy rejestracji, z których dwa są objęte tą strukturą:
- Profil służbowy rozwiązania Android Enterprise — ten model rejestracji jest zwykle używany dla urządzeń osobistych, gdzie dział IT chce zapewnić wyraźną granicę separacji między danymi służbowymi i osobistymi. Zasady kontrolowane przez IT zapewniają, że nie można przenieść danych służbowych do profilu osobistego.
- W pełni zarządzane urządzenia z systemem Android Enterprise — te urządzenia są należące do firmy, skojarzone z jednym użytkownikiem i używane wyłącznie do pracy, a nie do użytku osobistego.
Struktura konfiguracji zabezpieczeń systemu Android Enterprise jest zorganizowana w kilka różnych scenariuszy konfiguracji, zapewniając wskazówki dotyczące profilów służbowych i w pełni zarządzanych scenariuszy.
Korzystając z zasad opisanych w temacie Zero Trust identity and device access configurations (Konfiguracje tożsamości zerowej zaufania i dostępu do urządzeń):
- Poziomy punktu początkowego i ochrony przedsiębiorstwa są ściśle mapowanie z ustawieniami zwiększonych zabezpieczeń na poziomie 2.
- Wyspecjalizowany poziom ochrony zabezpieczeń jest ściśle mapowy na poziom 3 wysokich ustawień zabezpieczeń.
Ustawienia zgodności dla urządzeń z profilem służbowym systemu Android Enterprise
- Ze względu na ustawienia dostępne dla urządzeń z profilem służbowym należącym do użytkownika nie ma podstawowej oferty zabezpieczeń (poziom 1). Dostępne ustawienia nie uzasadniają różnicy między poziomem 1 i poziomem 2.
- Zwiększone zabezpieczenia profilu służbowego (poziom 2) — firma Microsoft zaleca tę konfigurację jako minimalną konfigurację zabezpieczeń dla urządzeń osobistych, na których użytkownicy uzyskują dostęp do danych służbowych. Ta konfiguracja wprowadza wymagania dotyczące haseł, oddziela dane służbowe i osobowe oraz weryfikuje zaświadczania urządzeń z systemem Android.
- Wysoki poziom zabezpieczeń profilu służbowego (poziom 3) — firma Microsoft zaleca tę konfigurację dla urządzeń używanych przez określonych użytkowników lub grup, które są wyjątkowo wysokiego ryzyka (użytkownicy, którzy obsługują wysoce poufne dane, gdy nieautoryzowane ujawnienie powoduje znaczną stratę materialną w organizacji). Ta konfiguracja wprowadza ochronę przed zagrożeniami mobilnymi lub Ochrona punktu końcowego w usłudze Microsoft Defender, ustawia minimalną wersję systemu Android, wprowadza silniejsze zasady haseł i dodatkowo ogranicza separację służbową i osobistą.
Ustawienia zgodności dla w pełni zarządzanych urządzeń z systemem Android Enterprise
- W pełni zarządzane podstawowe zabezpieczenia (poziom 1) — firma Microsoft zaleca tę konfigurację jako minimalną konfigurację zabezpieczeń dla urządzenia przedsiębiorstwa. Ta konfiguracja ma zastosowanie do większości użytkowników mobilnych, którzy uzyskują dostęp do danych służbowych. Ta konfiguracja wprowadza wymagania dotyczące haseł, ustawia minimalną wersję systemu Android i wprowadza pewne ograniczenia dotyczące urządzeń.
- W pełni zarządzane rozszerzone zabezpieczenia (poziom 2) — firma Microsoft zaleca tę konfigurację dla urządzeń, na których użytkownicy uzyskują dostęp do poufnych lub poufnych informacji. Ta konfiguracja wprowadza silniejsze zasady haseł i wyłącza możliwości użytkownika/konta.
- W pełni zarządzane wysokie zabezpieczenia (poziom 3) — firma Microsoft zaleca tę konfigurację dla urządzeń używanych przez określonych użytkowników lub grup, które są wyjątkowo wysokie. Ci użytkownicy mogą obsługiwać wysoce poufne dane, w których nieautoryzowane ujawnienie może spowodować znaczne straty materialne w organizacji. Ta konfiguracja zwiększa minimalną wersję systemu Android, wprowadza ochronę przed zagrożeniami mobilnymi lub Ochrona punktu końcowego w usłudze Microsoft Defender i wymusza dodatkowe ograniczenia urządzeń.
Zalecane ustawienia zgodności dla systemu Windows 10 lub nowszego
Następujące ustawienia są konfigurowane w kroku 2: Ustawienia zgodności procesu tworzenia zasad zgodności dla urządzeń z systemem Windows 10 i nowszych. Te ustawienia są zgodne z zasadami opisanymi w temacie Zero Trust identity and device access configurations (Konfiguracje dostępu do urządzeń i tożsamości zerowej zaufania).
Aby uzyskać informacje o regułach oceny usługi zaświadczania o kondycji > urządzenia z systemem Windows, zobacz tę tabelę.
| Właściwości | Wartość |
|---|---|
| Wymagaj funkcji BitLocker | Wymagaj |
| Wymagaj włączenia bezpiecznego rozruchu na urządzeniu | Wymagaj |
| Wymagaj integralności kodu | Wymagaj |
W obszarze Właściwości urządzenia określ odpowiednie wartości dla wersji systemu operacyjnego na podstawie Twoich zasad IT i zabezpieczeń.
W obszarze Zgodność programu Configuration Manager, jeśli jesteś w środowisku współzarządzanym za pomocą programu Configuration Manager, wybierz pozycję Wymagaj w przeciwnym razie wybierz pozycję Nieskonfigurowane.
Aby uzyskać informacje o zabezpieczeniach systemu, zobacz tę tabelę.
| Właściwości | Wartość |
|---|---|
| Wymagaj hasła do odblokowania urządzeń przenośnych | Wymagaj |
| Proste hasła | Zablokowanie |
| Typ hasła | Ustawienie domyślne urządzenia |
| Minimalna długość hasła | 6 |
| Maksymalna liczba minut braku aktywności przed wymaganym hasłem | 15 min |
| Wygaśnięcie hasła (dni) | 41 |
| Liczba poprzednich haseł, aby zapobiec ponownemu używaniu | 5 |
| Wymagaj hasła, gdy urządzenie powraca ze stanu bezczynności (urządzenia przenośne i holograficzne) | Wymagaj |
| Wymaganie szyfrowania magazynu danych na urządzeniu | Wymagaj |
| Firewall | Wymagaj |
| Antywirus | Wymagaj |
| Oprogramowanie chroniące przed złośliwym kodem | Wymagaj |
| Ochrona przed złośliwym kodem w usłudze Microsoft Defender | Wymagaj |
| Minimalna wersja ochrony przed złośliwym kodem w usłudze Microsoft Defender | Firma Microsoft zaleca wersje nie więcej niż pięć z najnowszej wersji. |
| Aktualna sygnatura ochrony przed złośliwym kodem w usłudze Microsoft Defender | Wymagaj |
| Ochrona w czasie rzeczywistym | Wymagaj |
W przypadku Ochrona punktu końcowego w usłudze Microsoft Defender
| Właściwości | Wartość |
|---|---|
| Wymagaj, aby urządzenie było na poziomie lub w ocenie ryzyka maszynowego | Śred. |
Zasady dostępu warunkowego
Po utworzeniu zasad ochrony aplikacji i zgodności urządzeń w usłudze Intune można włączyć wymuszanie przy użyciu zasad dostępu warunkowego.
Wymaganie uwierzytelniania wieloskładnikowego na podstawie ryzyka związanego z logowaniem
Postępuj zgodnie ze wskazówkami w artykule Typowe zasady dostępu warunkowego: Uwierzytelnianie wieloskładnikowe oparte na ryzyku logowania w celu utworzenia zasad wymagających uwierzytelniania wieloskładnikowego na podstawie ryzyka logowania.
Podczas konfigurowania zasad użyj następujących poziomów ryzyka.
| Poziom ochrony | Wymagane wartości na poziomie ryzyka | Akcja |
|---|---|---|
| Punkt początkowy | Wysoki, średni | Sprawdź oba te elementy. |
| Przedsiębiorstwa | Wysoki, średni, niski | Sprawdź wszystkie trzy. |
Blokuj klientów, którzy nie obsługują uwierzytelniania wieloskładnikowego
Postępuj zgodnie ze wskazówkami w artykule Typowe zasady dostępu warunkowego: Blokowanie starszego uwierzytelniania w celu blokowania starszego uwierzytelniania .
Użytkownicy wysokiego ryzyka muszą zmieniać hasło
Postępuj zgodnie ze wskazówkami w artykule Typowe zasady dostępu warunkowego: zmiana hasła oparta na ryzyku użytkownika, aby wymagać od użytkowników poświadczeń z naruszonymi poświadczeniami w celu zmiany hasła.
Użyj tych zasad wraz z ochroną haseł firmy Microsoft Entra, która wykrywa i blokuje znane słabe hasła i ich warianty oprócz terminów specyficznych dla twojej organizacji. Korzystanie z ochrony haseł firmy Microsoft Entra gwarantuje, że zmienione hasła są silniejsze.
Wymaganie zatwierdzonych aplikacji i zasad ochrony aplikacji
Aby wymusić zasady ochrony aplikacji utworzone w usłudze Intune, należy utworzyć zasady dostępu warunkowego. Wymuszanie zasad ochrony aplikacji wymaga zasad dostępu warunkowego i odpowiednich zasad ochrony aplikacji.
Aby utworzyć zasady dostępu warunkowego, które wymagają zatwierdzonych aplikacji i ochrony aplikacji, wykonaj kroki opisane w temacie Wymagaj zatwierdzonych aplikacji klienckich lub zasad ochrony aplikacji z urządzeniami przenośnymi. Te zasady zezwalają tylko na konta w aplikacjach mobilnych chronionych przez zasady ochrony aplikacji w celu uzyskania dostępu do punktów końcowych platformy Microsoft 365.
Blokowanie starszego uwierzytelniania dla innych aplikacji klienckich na urządzeniach z systemami iOS i Android gwarantuje, że ci klienci nie mogą pominąć zasad dostępu warunkowego. Jeśli korzystasz ze wskazówek w tym artykule, skonfigurowano już klientów blokuj, którzy nie obsługują nowoczesnego uwierzytelniania.
Wymaganie zgodnych komputerów i urządzeń przenośnych
Poniższe kroki ułatwią utworzenie zasad dostępu warunkowego w celu wymagania, aby urządzenia, które uzyskują dostęp do zasobów, zostały oznaczone jako zgodne z zasadami zgodności usługi Intune w organizacji.
Uwaga
Przed włączeniem tych zasad upewnij się, że urządzenie jest zgodne. W przeciwnym razie można zablokować tę zasadę i nie można jej zmienić do momentu dodania konta użytkownika do grupy wykluczeń dostępu warunkowego.
- Zaloguj się w witrynie Azure Portal.
- Przejdź do strony Dostęp warunkowy zabezpieczeń> entra ID>firmy Microsoft.
- Wybierz pozycję Nowe zasady.
- Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
- W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
- W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
- W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy , a następnie wybierz konta awaryjne lub konta ze szkła awaryjnego w organizacji.
- W obszarze Aplikacje lub akcje>w chmurze Dołącz wybierz pozycję Wszystkie aplikacje w chmurze.
- Jeśli musisz wykluczyć określone aplikacje z zasad, możesz wybrać je z karty Wykluczanie w obszarze Wybierz wykluczone aplikacje w chmurze i wybrać pozycję Wybierz.
- W obszarze Kontrola>dostępu Udziel.
- Wybierz pozycję Wymagaj, aby urządzenie było oznaczone jako zgodne.
- Wybierz pozycję Wybierz.
- Potwierdź ustawienia i ustaw opcję Włącz zasady na Włączone.
- Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.
Uwaga
Nowe urządzenia można zarejestrować w usłudze Intune, nawet jeśli wybierzesz pozycję Wymagaj, aby urządzenie było oznaczone jako zgodne dla pozycji Wszyscy użytkownicy i Wszystkie aplikacje w chmurze w zasadach. Wymagaj, aby urządzenie było oznaczone jako zgodne, nie blokuje rejestracji w usłudze Intune i dostępu do aplikacji microsoft Intune Web Portal firmy.
Aktywacja subskrypcji
Organizacje korzystające z funkcji Aktywacji subskrypcji, aby umożliwić użytkownikom "krok do kroku" z jednej wersji systemu Windows do innej, mogą chcieć wykluczyć interfejsy API usługi uniwersalnej sklepu i aplikację internetową, AppID 45a330b1-b1ec-4cc1-9161-9f03992a49f z zasad zgodności urządzeń.
Zawsze wymagaj uwierzytelniania wieloskładnikowego
Postępuj zgodnie ze wskazówkami w artykule Typowe zasady dostępu warunkowego: Wymagaj uwierzytelniania wieloskładnikowego dla wszystkich użytkowników , aby wymagać od użytkowników wyspecjalizowanego poziomu zabezpieczeń, aby zawsze wykonywać uwierzytelnianie wieloskładnikowe.
Ostrzeżenie
Podczas konfigurowania zasad wybierz grupę, która wymaga wyspecjalizowanych zabezpieczeń i użyj jej zamiast wybierać pozycję Wszyscy użytkownicy.
Następne kroki
