Udostępnij za pośrednictwem


Typowe zasady zabezpieczeń dla organizacji platformy Microsoft 365

Organizacje mają wiele do zmartwień podczas wdrażania platformy Microsoft 365 dla swojej organizacji. Zasady dostępu warunkowego, ochrony aplikacji i zgodności urządzeń, do których odwołuje się ten artykuł, są oparte na zaleceniach firmy Microsoft i trzech wytycznych dotyczących modelu Zero Trust:

  • Jawną weryfikację
  • Użyj najniższych uprawnień
  • Zakładanie naruszeń zabezpieczeń

Organizacje mogą przyjąć te zasady zgodnie z potrzebami lub dostosować je do swoich potrzeb. Jeśli to możliwe, przetestuj zasady w środowisku nieprodukcyjnym przed wdrożeniem do użytkowników produkcyjnych. Testowanie ma kluczowe znaczenie dla identyfikowania i przekazywania wszelkich możliwych efektów użytkownikom.

Te zasady są grupowane na trzy poziomy ochrony w zależności od tego, gdzie jesteś w podróży do wdrożenia:

  • Punkt wyjścia — podstawowe mechanizmy kontroli, które wprowadzają uwierzytelnianie wieloskładnikowe, bezpieczne zmiany haseł i zasady ochrony aplikacji.
  • Enterprise — ulepszone mechanizmy kontroli, które wprowadzają zgodność urządzeń.
  • Wyspecjalizowane zabezpieczenia — zasady wymagające uwierzytelniania wieloskładnikowego za każdym razem dla określonych zestawów danych lub użytkowników.

Na poniższym diagramie przedstawiono poziom ochrony, do którego mają zastosowanie poszczególne zasady, oraz czy zasady dotyczą komputerów, telefonów i tabletów, czy obu kategorii urządzeń.

Diagram przedstawiający typowe zasady tożsamości i urządzeń, które obsługują zasady Zero Trust.

Ten diagram można pobrać jako plik PDF .

Napiwek

Wymaganie użycia uwierzytelniania wieloskładnikowego (MFA) jest zalecane przed zarejestrowaniem urządzeń w usłudze Intune w celu zapewnienia, że urządzenie jest w posiadaniu zamierzonego użytkownika. Aby można było wymusić zasady zgodności urządzeń, należy zarejestrować urządzenia w usłudze Intune.

Wymagania wstępne

Uprawnienia

  • Użytkownicy, którzy będą zarządzać zasadami dostępu warunkowego, muszą być w stanie zalogować się do witryny Azure Portal co najmniej jako administrator dostępu warunkowego.
  • Użytkownicy, którzy będą zarządzać ochroną aplikacji i zasadami zgodności urządzeń, muszą mieć możliwość zalogowania się do usługi Intune jako co najmniej administrator usługi Intune.
  • Ci użytkownicy, którzy muszą wyświetlać konfiguracje, mogą mieć przypisane role Czytelnik zabezpieczeń lub Czytelnik globalny.

Aby uzyskać więcej informacji na temat ról i uprawnień, zobacz artykuł Microsoft Entra wbudowane role.

Rejestracja użytkownika

Przed wymaganiem użycia upewnij się, że użytkownicy rejestrują się na potrzeby uwierzytelniania wieloskładnikowego. Jeśli masz licencje, które obejmują microsoft Entra ID P2, możesz użyć zasad rejestracji uwierzytelniania wieloskładnikowego w Ochrona tożsamości Microsoft Entra, aby wymagać, aby użytkownicy zarejestrowali się. Udostępniamy szablony komunikacyjne, które można pobrać i dostosować, aby podwyższyć poziom rejestracji.

Grupy

Wszystkie grupy entra firmy Microsoft używane w ramach tych zaleceń muszą zostać utworzone jako grupa platformy Microsoft 365, a nie grupa zabezpieczeń. To wymaganie jest ważne w przypadku wdrażania etykiet poufności podczas zabezpieczania dokumentów w usłudze Microsoft Teams i programie SharePoint później. Aby uzyskać więcej informacji, zobacz artykuł Learn about groups and access rights in Microsoft Entra ID (Dowiedz się więcej o grupach i prawach dostępu w usłudze Microsoft Entra ID)

Przypisywanie zasad

Zasady dostępu warunkowego mogą być przypisywane do użytkowników, grup i ról administratora. Ochrona aplikacji usługi Intune i zasady zgodności urządzeń mogą być przypisywane tylko do grup. Przed skonfigurowaniem zasad należy określić, kto powinien zostać uwzględniony i wykluczony. Zazwyczaj zasady na poziomie ochrony punktu początkowego mają zastosowanie do wszystkich osób w organizacji.

Oto przykład przypisania grupy i wykluczeń wymagających uwierzytelniania wieloskładnikowego po zakończeniu rejestracji użytkowników.

  Zasady dostępu warunkowego firmy Microsoft Entra Uwzględnia Wyklucza
Punkt początkowy Wymaganie uwierzytelniania wieloskładnikowego dla ryzyka średniego lub wysokiego logowania Wszyscy użytkownicy
  • Konta dostępu awaryjnego
  • Grupa wykluczeń dostępu warunkowego
Przedsiębiorstwo Wymaganie uwierzytelniania wieloskładnikowego dla ryzyka niskiego, średniego lub wysokiego poziomu logowania Grupa kadry kierowniczej
  • Konta dostępu awaryjnego
  • Grupa wykluczeń dostępu warunkowego
Wyspecjalizowane zabezpieczenia Wymagaj uwierzytelniania wieloskładnikowego zawsze Top Secret Project Buckeye group (Top Secret Project Buckeye)
  • Konta dostępu awaryjnego
  • Grupa wykluczeń dostępu warunkowego

Należy zachować ostrożność podczas stosowania wyższego poziomu ochrony do grup i użytkowników. Celem zabezpieczeń nie jest dodanie niepotrzebnych problemów do środowiska użytkownika. Na przykład członkowie grupy Buckeye projektu top secret będą musieli używać uwierzytelniania wieloskładnikowego za każdym razem, gdy się logują, nawet jeśli nie pracują nad wyspecjalizowaną zawartością zabezpieczeń dla projektu. Nadmierne tarcie bezpieczeństwa może prowadzić do zmęczenia.

Możesz rozważyć włączenie metod uwierzytelniania bez hasła, takich jak Windows Hello dla firm lub klucze zabezpieczeń FIDO2, aby zmniejszyć pewne problemy spowodowane przez niektóre mechanizmy kontroli zabezpieczeń.

Konta dostępu awaryjnego

Wszystkie organizacje powinny mieć co najmniej jedno konto dostępu awaryjnego, które jest monitorowane pod kątem użycia i wykluczone z zasad. Te konta są używane tylko w przypadku, gdy wszystkie inne konta administratora i metody uwierzytelniania staną się zablokowane lub w inny sposób niedostępne. Więcej informacji można znaleźć w artykule Zarządzanie kontami dostępu awaryjnego w usłudze Microsoft Entra ID.

Wykluczenia

Zalecaną praktyką jest utworzenie grupy Microsoft Entra na potrzeby wykluczeń dostępu warunkowego. Ta grupa umożliwia zapewnienie dostępu użytkownikowi podczas rozwiązywania problemów z dostępem.

Ostrzeżenie

Ta grupa jest zalecana do użycia tylko jako rozwiązanie tymczasowe. Stale monitoruj i przeprowadź inspekcję tej grupy pod kątem zmian i upewnij się, że grupa wykluczeń jest używana tylko zgodnie z oczekiwaniami.

Aby dodać tę grupę wykluczeń do wszystkich istniejących zasad:

  1. Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator dostępu warunkowego.
  2. Przejdź do strony Ochrona>dostępu warunkowego.
  3. Wybierz istniejące zasady.
  4. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
    1. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy , a następnie wybierz konta awaryjne lub konta awaryjne oraz grupę wykluczeń dostępu warunkowego.

Wdrożenie

Zalecamy zaimplementowanie zasad punktu początkowego w kolejności wymienionej w tej tabeli. Jednak zasady uwierzytelniania wieloskładnikowego dla przedsiębiorstw i wyspecjalizowanych poziomów zabezpieczeń ochrony można zaimplementować w dowolnym momencie.

Punkt początkowy

Zasady Więcej informacji Licencjonowanie
Wymagaj uwierzytelniania wieloskładnikowego, gdy ryzyko logowania jest średnie lub wysokie Użyj danych o ryzyku z Ochrona tożsamości Microsoft Entra, aby wymagać uwierzytelniania wieloskładnikowego tylko w przypadku wykrycia ryzyka Microsoft 365 E5 lub Microsoft 365 E3 z dodatkiem E5 Security
Blokuj klientów, którzy nie obsługują nowoczesnego uwierzytelniania Klienci, którzy nie korzystają z nowoczesnego uwierzytelniania, mogą pominąć zasady dostępu warunkowego, dlatego ważne jest, aby je zablokować. Microsoft 365 E3 lub E5
Użytkownicy wysokiego ryzyka muszą zmieniać hasło Wymusza na użytkownikach zmianę hasła podczas logowania się w przypadku wykrycia aktywności wysokiego ryzyka dla konta. Microsoft 365 E5 lub Microsoft 365 E3 z dodatkiem E5 Security
Stosowanie zasad ochrony aplikacji na potrzeby ochrony danych Jedna zasada ochrony aplikacji usługi Intune na platformę (Windows, iOS/iPadOS, Android). Microsoft 365 E3 lub E5
Wymaganie zatwierdzonych aplikacji i zasad ochrony aplikacji Wymusza zasady ochrony aplikacji mobilnych dla telefonów i tabletów przy użyciu systemów iOS, iPadOS lub Android. Microsoft 365 E3 lub E5

Przedsiębiorstwa

Zasady Więcej informacji Licencjonowanie
Wymagaj uwierzytelniania wieloskładnikowego, gdy ryzyko logowania jest niskie, średnie lub wysokie Użyj danych o ryzyku z Ochrona tożsamości Microsoft Entra, aby wymagać uwierzytelniania wieloskładnikowego tylko w przypadku wykrycia ryzyka Microsoft 365 E5 lub Microsoft 365 E3 z dodatkiem E5 Security
Definiowanie zasad zgodności urządzeń Ustaw minimalne wymagania dotyczące konfiguracji. Jedna zasada dla każdej platformy. Microsoft 365 E3 lub E5
Wymaganie zgodnych komputerów i urządzeń przenośnych Wymusza wymagania konfiguracyjne dotyczące urządzeń, które uzyskują dostęp do organizacji Microsoft 365 E3 lub E5

Wyspecjalizowane zabezpieczenia

Zasady Więcej informacji Licencjonowanie
Zawsze wymagaj uwierzytelniania wieloskładnikowego Użytkownicy muszą wykonywać uwierzytelnianie wieloskładnikowe w dowolnym momencie logowania się do usług organizacji Microsoft 365 E3 lub E5

zasady Ochrona aplikacji

Ochrona aplikacji zasady definiują, które aplikacje są dozwolone, oraz akcje, które mogą wykonywać z danymi organizacji. Dostępnych jest wiele opcji i może to być mylące dla niektórych. Poniższe punkty odniesienia to zalecane konfiguracje firmy Microsoft, które mogą być dostosowane do Twoich potrzeb. Udostępniamy trzy szablony do naśladowania, ale myślę, że większość organizacji wybierze poziomy 2 i 3.

Poziom 2 mapuje to, co uważamy za punkt początkowy lub zabezpieczenia na poziomie przedsiębiorstwa, poziom 3 mapuje na wyspecjalizowane zabezpieczenia.

  • Podstawowa ochrona danych na poziomie 1 przedsiębiorstwa — firma Microsoft zaleca tę konfigurację jako minimalną konfigurację ochrony danych dla urządzenia przedsiębiorstwa.

  • Poziom 2 — rozszerzona ochrona danych w przedsiębiorstwie — firma Microsoft zaleca tę konfigurację dla urządzeń, na których użytkownicy uzyskują dostęp do poufnych lub poufnych informacji. Ta konfiguracja ma zastosowanie do większości użytkowników mobilnych, którzy uzyskują dostęp do danych służbowych. Niektóre kontrolki mogą mieć wpływ na środowisko użytkownika.

  • Wysoka ochrona danych na poziomie 3 przedsiębiorstwa — firma Microsoft zaleca tę konfigurację dla urządzeń uruchamianych przez organizację z większym lub bardziej zaawansowanym zespołem ds. zabezpieczeń albo dla określonych użytkowników lub grup, którzy są wyjątkowo narażeni na wysokie ryzyko (użytkownicy, którzy obsługują wysoce poufne dane, gdy nieautoryzowane ujawnienie powoduje znaczną stratę materialną w organizacji). Organizacja, która może być objęta dobrze finansowanymi i zaawansowanymi przeciwnikami, powinna dążyć do tej konfiguracji.

Tworzenie zasad ochrony aplikacji

Utwórz nowe zasady ochrony aplikacji dla każdej platformy (iOS i Android) w usłudze Microsoft Intune przy użyciu ustawień platformy ochrony danych:

Zasady zgodności urządzeń

Zasady zgodności urządzeń w usłudze Intune definiują wymagania, które muszą spełniać urządzenia, aby można je było określić jako zgodne.

Należy utworzyć zasady dla każdego komputera, telefonu lub platformy tabletu. W tym artykule omówiono zalecenia dotyczące następujących platform:

Tworzenie zasad zgodności urządzeń

Aby utworzyć zasady zgodności urządzeń, zaloguj się do centrum administracyjnego usługi Microsoft Intune i przejdź do pozycji Zasady> zgodności urządzeń.> Wybierz pozycję Utwórz zasady.

Aby uzyskać szczegółowe wskazówki dotyczące tworzenia zasad zgodności w usłudze Intune, zobacz Tworzenie zasad zgodności w usłudze Microsoft Intune.

Ustawienia rejestracji i zgodności dla systemu iOS/iPadOS

System iOS/iPadOS obsługuje kilka scenariuszy rejestracji, z których dwa są omówione w ramach tej struktury:

Korzystając z zasad opisanych w temacie Zero Trust identity and device access configurations (Konfiguracje tożsamości zerowej zaufania i dostępu do urządzeń):

  • Poziomy punktu początkowego i ochrony przedsiębiorstwa są ściśle mapowanie z ustawieniami zwiększonych zabezpieczeń na poziomie 2.
  • Wyspecjalizowany poziom ochrony zabezpieczeń jest ściśle mapowy na poziom 3 wysokich ustawień zabezpieczeń.
Ustawienia zgodności dla urządzeń zarejestrowanych osobiście
  • Osobiste podstawowe zabezpieczenia (poziom 1) — firma Microsoft zaleca tę konfigurację jako minimalną konfigurację zabezpieczeń dla urządzeń osobistych, na których użytkownicy uzyskują dostęp do danych służbowych. Ta konfiguracja jest wykonywana przez wymuszanie zasad haseł, właściwości blokady urządzenia i wyłączanie niektórych funkcji urządzeń, takich jak niezaufane certyfikaty.
  • Zabezpieczenia osobiste (poziom 2) — firma Microsoft zaleca tę konfigurację dla urządzeń, na których użytkownicy uzyskują dostęp do poufnych lub poufnych informacji. Ta konfiguracja wprowadza mechanizmy kontroli udostępniania danych. Ta konfiguracja ma zastosowanie do większości użytkowników mobilnych, którzy uzyskują dostęp do danych służbowych na urządzeniu.
  • Osobiste wysokie zabezpieczenia (poziom 3) — firma Microsoft zaleca tę konfigurację dla urządzeń używanych przez określonych użytkowników lub grup, które są wyjątkowo wysokiego ryzyka (użytkownicy, którzy obsługują wysoce poufne dane, gdy nieautoryzowane ujawnienie powoduje znaczną stratę materialną w organizacji). Ta konfiguracja wprowadza silniejsze zasady haseł, wyłącza niektóre funkcje urządzenia i wymusza dodatkowe ograniczenia transferu danych.
Ustawienia zgodności dla automatycznej rejestracji urządzeń
  • Nadzorowane podstawowe zabezpieczenia (poziom 1) — firma Microsoft zaleca tę konfigurację jako minimalną konfigurację zabezpieczeń dla urządzeń nadzorowanych, na których użytkownicy uzyskują dostęp do danych służbowych. Ta konfiguracja jest wykonywana przez wymuszanie zasad haseł, właściwości blokady urządzenia i wyłączanie niektórych funkcji urządzeń, takich jak niezaufane certyfikaty.
  • Nadzorowane rozszerzone zabezpieczenia (poziom 2) — firma Microsoft zaleca tę konfigurację dla urządzeń, na których użytkownicy uzyskują dostęp do poufnych lub poufnych informacji. Ta konfiguracja wprowadza mechanizmy kontroli udostępniania danych i blokuje dostęp do urządzeń USB. Ta konfiguracja ma zastosowanie do większości użytkowników mobilnych, którzy uzyskują dostęp do danych służbowych na urządzeniu.
  • Nadzorowane wysokie zabezpieczenia (poziom 3) — firma Microsoft zaleca tę konfigurację dla urządzeń używanych przez określonych użytkowników lub grup, które są wyjątkowo wysokiego ryzyka (użytkownicy, którzy obsługują wysoce poufne dane, gdy nieautoryzowane ujawnienie powoduje znaczną stratę materialną w organizacji). Ta konfiguracja wprowadza silniejsze zasady haseł, wyłącza niektóre funkcje urządzeń, wymusza dodatkowe ograniczenia transferu danych i wymaga zainstalowania aplikacji za pośrednictwem programu zakupów zbiorczych firmy Apple.

Ustawienia rejestracji i zgodności dla systemu Android

Rozwiązanie Android Enterprise obsługuje kilka scenariuszy rejestracji, z których dwa są objęte tą strukturą:

  • Profil służbowy rozwiązania Android Enterprise — ten model rejestracji jest zwykle używany dla urządzeń osobistych, gdzie dział IT chce zapewnić wyraźną granicę separacji między danymi służbowymi i osobistymi. Zasady kontrolowane przez IT zapewniają, że nie można przenieść danych służbowych do profilu osobistego.
  • W pełni zarządzane urządzenia z systemem Android Enterprise — te urządzenia są należące do firmy, skojarzone z jednym użytkownikiem i używane wyłącznie do pracy, a nie do użytku osobistego.

Struktura konfiguracji zabezpieczeń systemu Android Enterprise jest zorganizowana w kilka różnych scenariuszy konfiguracji, zapewniając wskazówki dotyczące profilów służbowych i w pełni zarządzanych scenariuszy.

Korzystając z zasad opisanych w temacie Zero Trust identity and device access configurations (Konfiguracje tożsamości zerowej zaufania i dostępu do urządzeń):

  • Poziomy punktu początkowego i ochrony przedsiębiorstwa są ściśle mapowanie z ustawieniami zwiększonych zabezpieczeń na poziomie 2.
  • Wyspecjalizowany poziom ochrony zabezpieczeń jest ściśle mapowy na poziom 3 wysokich ustawień zabezpieczeń.
Ustawienia zgodności dla urządzeń z profilem służbowym systemu Android Enterprise
  • Ze względu na ustawienia dostępne dla urządzeń z profilem służbowym należącym do użytkownika nie ma podstawowej oferty zabezpieczeń (poziom 1). Dostępne ustawienia nie uzasadniają różnicy między poziomem 1 i poziomem 2.
  • Zwiększone zabezpieczenia profilu służbowego (poziom 2) — firma Microsoft zaleca tę konfigurację jako minimalną konfigurację zabezpieczeń dla urządzeń osobistych, na których użytkownicy uzyskują dostęp do danych służbowych. Ta konfiguracja wprowadza wymagania dotyczące haseł, oddziela dane służbowe i osobowe oraz weryfikuje zaświadczania urządzeń z systemem Android.
  • Wysoki poziom zabezpieczeń profilu służbowego (poziom 3) — firma Microsoft zaleca tę konfigurację dla urządzeń używanych przez określonych użytkowników lub grup, które są wyjątkowo wysokiego ryzyka (użytkownicy, którzy obsługują wysoce poufne dane, gdy nieautoryzowane ujawnienie powoduje znaczną stratę materialną w organizacji). Ta konfiguracja wprowadza ochronę przed zagrożeniami mobilnymi lub Ochrona punktu końcowego w usłudze Microsoft Defender, ustawia minimalną wersję systemu Android, wprowadza silniejsze zasady haseł i dodatkowo ogranicza separację służbową i osobistą.
Ustawienia zgodności dla w pełni zarządzanych urządzeń z systemem Android Enterprise
  • W pełni zarządzane podstawowe zabezpieczenia (poziom 1) — firma Microsoft zaleca tę konfigurację jako minimalną konfigurację zabezpieczeń dla urządzenia przedsiębiorstwa. Ta konfiguracja ma zastosowanie do większości użytkowników mobilnych, którzy uzyskują dostęp do danych służbowych. Ta konfiguracja wprowadza wymagania dotyczące haseł, ustawia minimalną wersję systemu Android i wprowadza pewne ograniczenia dotyczące urządzeń.
  • W pełni zarządzane rozszerzone zabezpieczenia (poziom 2) — firma Microsoft zaleca tę konfigurację dla urządzeń, na których użytkownicy uzyskują dostęp do poufnych lub poufnych informacji. Ta konfiguracja wprowadza silniejsze zasady haseł i wyłącza możliwości użytkownika/konta.
  • W pełni zarządzane wysokie zabezpieczenia (poziom 3) — firma Microsoft zaleca tę konfigurację dla urządzeń używanych przez określonych użytkowników lub grup, które są wyjątkowo wysokie. Ci użytkownicy mogą obsługiwać wysoce poufne dane, w których nieautoryzowane ujawnienie może spowodować znaczne straty materialne w organizacji. Ta konfiguracja zwiększa minimalną wersję systemu Android, wprowadza ochronę przed zagrożeniami mobilnymi lub Ochrona punktu końcowego w usłudze Microsoft Defender i wymusza dodatkowe ograniczenia urządzeń.

Następujące ustawienia są konfigurowane w kroku 2: Ustawienia zgodności procesu tworzenia zasad zgodności dla urządzeń z systemem Windows 10 i nowszych. Te ustawienia są zgodne z zasadami opisanymi w temacie Zero Trust identity and device access configurations (Konfiguracje dostępu do urządzeń i tożsamości zerowej zaufania).

Aby uzyskać informacje o regułach oceny usługi zaświadczania o kondycji > urządzenia z systemem Windows, zobacz tę tabelę.

Właściwości Wartość
Wymagaj funkcji BitLocker Wymagaj
Wymagaj włączenia bezpiecznego rozruchu na urządzeniu Wymagaj
Wymagaj integralności kodu Wymagaj

W obszarze Właściwości urządzenia określ odpowiednie wartości dla wersji systemu operacyjnego na podstawie Twoich zasad IT i zabezpieczeń.

W obszarze Zgodność programu Configuration Manager, jeśli jesteś w środowisku współzarządzanym za pomocą programu Configuration Manager, wybierz pozycję Wymagaj w przeciwnym razie wybierz pozycję Nieskonfigurowane.

Aby uzyskać informacje o zabezpieczeniach systemu, zobacz tę tabelę.

Właściwości Wartość
Wymagaj hasła do odblokowania urządzeń przenośnych Wymagaj
Proste hasła Zablokowanie
Typ hasła Ustawienie domyślne urządzenia
Minimalna długość hasła 6
Maksymalna liczba minut braku aktywności przed wymaganym hasłem 15 min
Wygaśnięcie hasła (dni) 41
Liczba poprzednich haseł, aby zapobiec ponownemu używaniu 5
Wymagaj hasła, gdy urządzenie powraca ze stanu bezczynności (urządzenia przenośne i holograficzne) Wymagaj
Wymaganie szyfrowania magazynu danych na urządzeniu Wymagaj
Firewall Wymagaj
Antywirus Wymagaj
Oprogramowanie chroniące przed złośliwym kodem Wymagaj
Ochrona przed złośliwym kodem w usłudze Microsoft Defender Wymagaj
Minimalna wersja ochrony przed złośliwym kodem w usłudze Microsoft Defender Firma Microsoft zaleca wersje nie więcej niż pięć z najnowszej wersji.
Aktualna sygnatura ochrony przed złośliwym kodem w usłudze Microsoft Defender Wymagaj
Ochrona w czasie rzeczywistym Wymagaj

W przypadku Ochrona punktu końcowego w usłudze Microsoft Defender

Właściwości Wartość
Wymagaj, aby urządzenie było na poziomie lub w ocenie ryzyka maszynowego Śred.

Zasady dostępu warunkowego

Po utworzeniu zasad ochrony aplikacji i zgodności urządzeń w usłudze Intune można włączyć wymuszanie przy użyciu zasad dostępu warunkowego.

Wymaganie uwierzytelniania wieloskładnikowego na podstawie ryzyka związanego z logowaniem

Postępuj zgodnie ze wskazówkami w artykule Typowe zasady dostępu warunkowego: Uwierzytelnianie wieloskładnikowe oparte na ryzyku logowania w celu utworzenia zasad wymagających uwierzytelniania wieloskładnikowego na podstawie ryzyka logowania.

Podczas konfigurowania zasad użyj następujących poziomów ryzyka.

Poziom ochrony Wymagane wartości na poziomie ryzyka Akcja
Punkt początkowy Wysoki, średni Sprawdź oba te elementy.
Przedsiębiorstwa Wysoki, średni, niski Sprawdź wszystkie trzy.

Blokuj klientów, którzy nie obsługują uwierzytelniania wieloskładnikowego

Postępuj zgodnie ze wskazówkami w artykule Typowe zasady dostępu warunkowego: Blokowanie starszego uwierzytelniania w celu blokowania starszego uwierzytelniania .

Użytkownicy wysokiego ryzyka muszą zmieniać hasło

Postępuj zgodnie ze wskazówkami w artykule Typowe zasady dostępu warunkowego: zmiana hasła oparta na ryzyku użytkownika, aby wymagać od użytkowników poświadczeń z naruszonymi poświadczeniami w celu zmiany hasła.

Użyj tych zasad wraz z ochroną haseł firmy Microsoft Entra, która wykrywa i blokuje znane słabe hasła i ich warianty oprócz terminów specyficznych dla twojej organizacji. Korzystanie z ochrony haseł firmy Microsoft Entra gwarantuje, że zmienione hasła są silniejsze.

Wymaganie zatwierdzonych aplikacji i zasad ochrony aplikacji

Aby wymusić zasady ochrony aplikacji utworzone w usłudze Intune, należy utworzyć zasady dostępu warunkowego. Wymuszanie zasad ochrony aplikacji wymaga zasad dostępu warunkowego i odpowiednich zasad ochrony aplikacji.

Aby utworzyć zasady dostępu warunkowego, które wymagają zatwierdzonych aplikacji i ochrony aplikacji, wykonaj kroki opisane w temacie Wymagaj zatwierdzonych aplikacji klienckich lub zasad ochrony aplikacji z urządzeniami przenośnymi. Te zasady zezwalają tylko na konta w aplikacjach mobilnych chronionych przez zasady ochrony aplikacji w celu uzyskania dostępu do punktów końcowych platformy Microsoft 365.

Blokowanie starszego uwierzytelniania dla innych aplikacji klienckich na urządzeniach z systemami iOS i Android gwarantuje, że ci klienci nie mogą pominąć zasad dostępu warunkowego. Jeśli korzystasz ze wskazówek w tym artykule, skonfigurowano już klientów blokuj, którzy nie obsługują nowoczesnego uwierzytelniania.

Wymaganie zgodnych komputerów i urządzeń przenośnych

Poniższe kroki ułatwią utworzenie zasad dostępu warunkowego w celu wymagania, aby urządzenia, które uzyskują dostęp do zasobów, zostały oznaczone jako zgodne z zasadami zgodności usługi Intune w organizacji.

Uwaga

Przed włączeniem tych zasad upewnij się, że urządzenie jest zgodne. W przeciwnym razie można zablokować tę zasadę i nie można jej zmienić do momentu dodania konta użytkownika do grupy wykluczeń dostępu warunkowego.

  1. Zaloguj się w witrynie Azure Portal.
  2. Przejdź do strony Dostęp warunkowy zabezpieczeń> entra ID>firmy Microsoft.
  3. Wybierz pozycję Nowe zasady.
  4. Nadaj zasadzie nazwę. Zalecamy, aby organizacje tworzyły znaczący standard dla nazw swoich zasad.
  5. W obszarze Przypisania wybierz pozycję Użytkownicy lub tożsamości obciążeń.
    1. W obszarze Dołącz wybierz pozycję Wszyscy użytkownicy.
    2. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy , a następnie wybierz konta awaryjne lub konta ze szkła awaryjnego w organizacji.
  6. W obszarze Aplikacje lub akcje>w chmurze Dołącz wybierz pozycję Wszystkie aplikacje w chmurze.
    1. Jeśli musisz wykluczyć określone aplikacje z zasad, możesz wybrać je z karty Wykluczanie w obszarze Wybierz wykluczone aplikacje w chmurze i wybrać pozycję Wybierz.
  7. W obszarze Kontrola>dostępu Udziel.
    1. Wybierz pozycję Wymagaj, aby urządzenie było oznaczone jako zgodne.
    2. Wybierz pozycję Wybierz.
  8. Potwierdź ustawienia i ustaw opcję Włącz zasady na Włączone.
  9. Wybierz pozycję Utwórz , aby utworzyć, aby włączyć zasady.

Uwaga

Nowe urządzenia można zarejestrować w usłudze Intune, nawet jeśli wybierzesz pozycję Wymagaj, aby urządzenie było oznaczone jako zgodne dla pozycji Wszyscy użytkownicy i Wszystkie aplikacje w chmurze w zasadach. Wymagaj, aby urządzenie było oznaczone jako zgodne, nie blokuje rejestracji w usłudze Intune i dostępu do aplikacji microsoft Intune Web Portal firmy.

Aktywacja subskrypcji

Organizacje korzystające z funkcji Aktywacji subskrypcji, aby umożliwić użytkownikom "krok do kroku" z jednej wersji systemu Windows do innej, mogą chcieć wykluczyć interfejsy API usługi uniwersalnej sklepu i aplikację internetową, AppID 45a330b1-b1ec-4cc1-9161-9f03992a49f z zasad zgodności urządzeń.

Zawsze wymagaj uwierzytelniania wieloskładnikowego

Postępuj zgodnie ze wskazówkami w artykule Typowe zasady dostępu warunkowego: Wymagaj uwierzytelniania wieloskładnikowego dla wszystkich użytkowników , aby wymagać od użytkowników wyspecjalizowanego poziomu zabezpieczeń, aby zawsze wykonywać uwierzytelnianie wieloskładnikowe.

Ostrzeżenie

Podczas konfigurowania zasad wybierz grupę, która wymaga wyspecjalizowanych zabezpieczeń i użyj jej zamiast wybierać pozycję Wszyscy użytkownicy.

Następne kroki

Krok 3. Zasady dla użytkowników-gości i użytkowników zewnętrznych.

Dowiedz się więcej o zaleceniach dotyczących zasad dla użytkowników-gości i użytkowników zewnętrznych