Wymagania wstępne dotyczące implementowania zasad dostępu do tożsamości zerowej zaufania i urządzeń
W tym artykule opisano wymagania wstępne, które administratorzy muszą spełnić, aby używać zalecanych zasad dostępu do tożsamości zerowej zaufania i urządzeń oraz używania dostępu warunkowego. Omówiono również zalecane ustawienia domyślne konfigurowania platform klienckich w celu uzyskania najlepszego środowiska logowania jednokrotnego.
Wymagania wstępne
Przed użyciem zalecanych zasad dostępu do urządzeń i tożsamości zerowej zaufania twoja organizacja musi spełnić wymagania wstępne. Wymagania różnią się w przypadku różnych modeli tożsamości i uwierzytelniania wymienionych:
- Tylko w chmurze
- Hybryda z uwierzytelnianiem synchronizacji skrótów haseł (PHS)
- Rozwiązanie hybrydowe z uwierzytelnianiem przekazywanym (PTA)
- Federacyjni
W poniższej tabeli przedstawiono funkcje wymagań wstępnych i ich konfigurację, które mają zastosowanie do wszystkich modeli tożsamości, z wyjątkiem przypadków, w których określono.
| Konfigurowanie | Wyjątki | Licencjonowanie |
|---|---|---|
| Konfigurowanie phS. Ta funkcja musi być włączona w celu wykrywania ujawnionych poświadczeń i działania na nich w celu uzyskania dostępu warunkowego opartego na ryzyku.Należy pamiętać, że jest to wymagane niezależnie od tego, czy organizacja korzysta z uwierzytelniania federacyjnego. | Tylko w chmurze | Microsoft 365 E3 lub E5 |
| Włącz bezproblemowe logowanie jednokrotne , aby automatycznie logować użytkowników, gdy znajdują się na urządzeniach organizacji połączonych z siecią organizacji. | Tylko chmura i federacyjna | Microsoft 365 E3 lub E5 |
| Skonfiguruj nazwane lokalizacje. Ochrona tożsamości Microsoft Entra zbiera i analizuje wszystkie dostępne dane sesji w celu wygenerowania oceny ryzyka. Zalecamy określenie publicznych zakresów adresów IP twojej organizacji dla sieci w konfiguracji lokalizacji identyfikatora Entra firmy Microsoft. Ruch pochodzący z tych zakresów otrzymuje obniżony wynik ryzyka, a ruch spoza środowiska organizacji otrzymuje wyższy wskaźnik ryzyka. | Microsoft 365 E3 lub E5 | |
| Zarejestruj wszystkich użytkowników na potrzeby samoobsługowego resetowania hasła (SSPR) i uwierzytelniania wieloskładnikowego (MFA). Zalecamy zarejestrowanie użytkowników na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft przed upływem czasu. Ochrona tożsamości Microsoft Entra korzysta z uwierzytelniania wieloskładnikowego firmy Microsoft w celu przeprowadzenia dodatkowej weryfikacji zabezpieczeń. Ponadto w celu uzyskania najlepszego środowiska logowania zalecamy użytkownikom zainstalowanie aplikacji Microsoft Authenticator i aplikacji Microsoft Portal firmy na swoich urządzeniach. Można je zainstalować ze sklepu z aplikacjami dla każdej platformy. | Microsoft 365 E3 lub E5 | |
| Zaplanuj implementację dołączania hybrydowego firmy Microsoft Entra. Dostęp warunkowy zapewnia, że urządzenia łączące się z aplikacjami są przyłączone do domeny lub są zgodne. Aby można było to obsługiwać na komputerach z systemem Windows, urządzenie musi być zarejestrowane w usłudze Microsoft Entra ID. W tym artykule omówiono sposób konfigurowania automatycznej rejestracji urządzeń. | Tylko w chmurze | Microsoft 365 E3 lub E5 |
| Przygotuj zespół pomocy technicznej. Masz plan dla użytkowników, którzy nie mogą ukończyć uwierzytelniania wieloskładnikowego. Może to być dodanie ich do grupy wykluczeń zasad lub zarejestrowanie nowych informacji uwierzytelniania wieloskładnikowego. Przed wprowadzeniem jednej z tych zmian wrażliwych na zabezpieczenia należy upewnić się, że rzeczywisty użytkownik wysyła żądanie. Wymaganie od menedżerów użytkowników pomocy w zatwierdzeniu jest skutecznym krokiem. | Microsoft 365 E3 lub E5 | |
| Konfigurowanie zapisywania zwrotnego haseł w lokalnej usłudze AD. Zapisywanie zwrotne haseł umożliwia usłudze Microsoft Entra ID wymaganie od użytkowników zmiany haseł lokalnych po wykryciu naruszenia zabezpieczeń konta wysokiego ryzyka. Tę funkcję można włączyć przy użyciu usługi Microsoft Entra Połączenie na jeden z dwóch sposobów: włączyć funkcję zapisywania zwrotnego haseł na ekranie opcjonalnych funkcji instalatora usługi Microsoft Entra Połączenie lub włączyć ją za pomocą programu Windows PowerShell. | Tylko w chmurze | Microsoft 365 E3 lub E5 |
| Skonfiguruj ochronę haseł w usłudze Microsoft Entra. Firma Microsoft Entra Password Protection wykrywa i blokuje znane słabe hasła i ich warianty, a także może blokować dodatkowe słabe terminy specyficzne dla twojej organizacji. Domyślne globalne listy zakazanych haseł są automatycznie stosowane do wszystkich użytkowników w dzierżawie firmy Microsoft Entra. Dodatkowe wpisy można zdefiniować na niestandardowej liście zakazanych haseł. Gdy użytkownicy zmieniają lub resetują swoje hasła, te listy zakazanych haseł są sprawdzane, aby wymusić użycie silnych haseł. | Microsoft 365 E3 lub E5 | |
| Włącz Ochrona tożsamości Microsoft Entra. Ochrona tożsamości Microsoft Entra umożliwia wykrywanie potencjalnych luk w zabezpieczeniach wpływających na tożsamości organizacji i konfigurowanie zasad zautomatyzowanego korygowania pod względem ryzyka niskiego, średniego i wysokiego ryzyka związanego z logowaniem oraz ryzyka związanego z użytkownikiem. | Microsoft 365 E5 lub Microsoft 365 E3 z dodatkiem E5 Security | |
| Włącz nowoczesne uwierzytelnianie dla usługi Exchange Online i usługi Skype dla firm Online. Nowoczesne uwierzytelnianie jest wymaganiem wstępnym dotyczącym korzystania z uwierzytelniania wieloskładnikowego. Nowoczesne uwierzytelnianie jest domyślnie włączone dla klientów pakietu Office 2016 i 2019, programu SharePoint i OneDrive dla Firm. | Microsoft 365 E3 lub E5 | |
| Włącz ciągłą ocenę dostępu dla identyfikatora Entra firmy Microsoft. Ciągła ocena dostępu aktywnie kończy aktywne sesje użytkowników i wymusza zmiany zasad dzierżawy niemal w czasie rzeczywistym. | Microsoft 365 E3 lub E5 |
Zalecane konfiguracje klientów
W tej sekcji opisano domyślne konfiguracje klientów platformy, które zalecamy, aby zapewnić użytkownikom najlepsze środowisko logowania jednokrotnego, a także wymagania techniczne dotyczące dostępu warunkowego.
Urządzenia z systemem Windows
Zalecamy system Windows 11 lub Windows 10 (wersja 2004 lub nowsza), ponieważ platforma Azure ma na celu zapewnienie bezproblemowego środowiska logowania jednokrotnego możliwego zarówno dla lokalnego, jak i microsoft Entra ID. Urządzenia służbowe powinny być skonfigurowane do dołączania bezpośrednio do identyfikatora Entra firmy Microsoft lub jeśli organizacja korzysta z lokalnego przyłączania do domeny usługi AD, te urządzenia powinny być konfigurowane tak, aby automatycznie i dyskretnie rejestrować się przy użyciu identyfikatora Entra firmy Microsoft.
W przypadku urządzeń z systemem Windows BYOD użytkownicy mogą używać pozycji Dodaj konto służbowe. Należy pamiętać , że użytkownicy przeglądarki Google Chrome na urządzeniach z systemem Windows 11 lub Windows 10 muszą zainstalować rozszerzenie , aby uzyskać takie samo bezproblemowe środowisko logowania, jak użytkownicy przeglądarki Microsoft Edge. Ponadto jeśli organizacja ma urządzenia z systemem Windows 8 lub 8.1 przyłączone do domeny, możesz zainstalować narzędzie Microsoft Workplace Join dla komputerów z systemem innym niż Windows 10. Pobierz pakiet, aby zarejestrować urządzenia za pomocą identyfikatora Entra firmy Microsoft.
Urządzenia iOS
Zalecamy zainstalowanie aplikacji Microsoft Authenticator na urządzeniach użytkowników przed wdrożeniem zasad dostępu warunkowego lub uwierzytelniania wieloskładnikowego. Co najmniej aplikacja powinna zostać zainstalowana, gdy użytkownicy zostaną poproszeni o zarejestrowanie urządzenia przy użyciu identyfikatora Entra firmy Microsoft przez dodanie konta służbowego lub zainstalowanie aplikacji Portal firmy usługi Intune w celu zarejestrowania urządzenia w zarządzaniu. Zależy to od skonfigurowanych zasad dostępu warunkowego.
Urządzenia Android
Zalecamy użytkownikom zainstalowanie aplikacji Intune — Portal firmy i aplikacji Microsoft Authenticator przed wdrożeniem zasad dostępu warunkowego lub w razie potrzeby podczas niektórych prób uwierzytelniania. Po zainstalowaniu aplikacji użytkownicy mogą zostać poproszeni o zarejestrowanie się w usłudze Microsoft Entra ID lub zarejestrowanie urządzenia w usłudze Intune. Zależy to od skonfigurowanych zasad dostępu warunkowego.
Zalecamy również, aby urządzenia należące do organizacji zostały ustandaryzowane na maszynach OEM i wersjach, które obsługują program Android for Work lub Samsung Knox, aby zezwalać na konta poczty, być zarządzane i chronione przez zasady zarządzania urządzeniami przenośnymi usługi Intune.
Zalecani klienci poczty e-mail
Następujący klienci poczty e-mail obsługują nowoczesne uwierzytelnianie i dostęp warunkowy.
| Platforma | Klient | Wersja/uwagi |
|---|---|---|
| Windows | Outlook | 2019, 2016 |
| iOS | Outlook dla systemu iOS | Najnowsza |
| Android | Outlook dla systemu Android | Najnowsza |
| macOS | Outlook | 2019 i 2016 r. |
| Linux | Nieobsługiwane |
Zalecane platformy klienckie podczas zabezpieczania dokumentów
W przypadku zastosowania zasad bezpiecznych dokumentów zaleca się wykonanie następujących klientów.
| Platforma | Word/Excel/PowerPoint | OneNote | Aplikacja OneDrive | Aplikacja programu SharePoint | klient synchronizacja usługi OneDrive |
|---|---|---|---|---|---|
| Windows 11 lub Windows 10 | Obsługiwane | Obsługiwane | Brak | Brak | Obsługiwane |
| Windows 8.1 | Obsługiwane | Obsługiwane | Brak | Brak | Obsługiwane |
| Android | Obsługiwane | Obsługiwane | Obsługiwane | Obsługiwane | Nie dotyczy |
| iOS | Obsługiwane | Obsługiwane | Obsługiwane | Obsługiwane | Nie dotyczy |
| macOS | Obsługiwane | Obsługiwane | Brak | Brak | Nieobsługiwane |
| Linux | Nieobsługiwane | Nieobsługiwane | Nieobsługiwane | Nieobsługiwane | Nieobsługiwane |
Obsługa klienta platformy Microsoft 365
Aby uzyskać więcej informacji na temat obsługi klienta na platformie Microsoft 365, zobacz następujące artykuły:
- Obsługa aplikacji klienckich platformy Microsoft 365 — dostęp warunkowy
- Obsługa aplikacji klienckich platformy Microsoft 365 — uwierzytelnianie wieloskładnikowe
Ochrona kont administratorów
W przypadku platformy Microsoft 365 E3 lub E5 lub z oddzielnymi licencjami microsoft Entra ID P1 lub P2 można wymagać uwierzytelniania wieloskładnikowego dla kont administratorów z ręcznie utworzonymi zasadami dostępu warunkowego. Zobacz Dostęp warunkowy: Wymagaj uwierzytelniania wieloskładnikowego dla administratorów , aby uzyskać szczegółowe informacje.
W przypadku wersji platformy Microsoft 365 lub usługi Office 365, które nie obsługują dostępu warunkowego, można włączyć domyślne ustawienia zabezpieczeń, aby wymagać uwierzytelniania wieloskładnikowego dla wszystkich kont.
Poniżej przedstawiono kilka dodatkowych zaleceń:
- Użyj usługi Microsoft Entra Privileged Identity Management , aby zmniejszyć liczbę trwałych kont administracyjnych.
- Użyj zarządzania dostępem uprzywilejowanym, aby chronić organizację przed naruszeniami, które mogą używać istniejących uprzywilejowanych kont administratorów ze stałym dostępem do poufnych danych lub dostępu do krytycznych ustawień konfiguracji.
- Utwórz i użyj oddzielnych kont, które są przypisane tylko do róladministratora platformy Microsoft 365 dla celów administracyjnych. Administracja powinny mieć własne konto użytkownika do zwykłego nieadministracyjnych użycia i używać konta administracyjnego tylko wtedy, gdy jest to konieczne, aby wykonać zadanie skojarzone z ich rolą lub funkcją zadania.
- Postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi zabezpieczania uprzywilejowanych kont w usłudze Microsoft Entra ID.
Następny krok
Konfigurowanie typowych zasad dostępu do urządzeń i tożsamości zerowej zaufania
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla