Udostępnij za pośrednictwem

Zalecane zasady dla określonych obciążeń platformy Microsoft 365

Po skonfigurowaniu typowych zasad zabezpieczeń dla usługi Zero Trust w organizacji platformy Microsoft 365 należy skonfigurować dodatkowe zasady i ustawienia dla określonych aplikacji i obciążeń zgodnie z trzema podstawowymi zasadami zerowego zaufania:

  • Zweryfikuj jawnie
  • Użyj najniższych uprawnień
  • Przyjmij naruszenie

Dodatkowe zasady i ustawienia dla określonych aplikacji i obciążeń zostały opisane w tym artykule.

Wskazówka

Jeśli to możliwe, przetestuj zasady w środowisku nieprodukcyjnym przed ich wdrożeniem do użytkowników produkcyjnych. Testowanie ma kluczowe znaczenie dla identyfikowania i przekazywania wszelkich możliwych efektów użytkownikom.

Zalecenia dotyczące rozwiązania Microsoft Copilot dla rozwiązania Zero Trust

Aby uzyskać więcej informacji, zobacz Korzystaj z zabezpieczeń Zero Trust, aby przygotować się na towarzyszy sztucznej inteligencji, w tym Microsoft Copilots.

Zalecenia dotyczące usługi Exchange Online dla usługi Zero Trust

W tej sekcji opisano zalecane ustawienia zerowego zaufania w usłudze Exchange Online.

Sprawdź, czy automatyczne przekazywanie wiadomości e-mail do adresatów zewnętrznych jest wyłączone

Domyślnie zasady spamu wychodzącego w usłudze Exchange Online Protection (EOP) blokują automatyczne przekazywanie wiadomości e-mail do zewnętrznych adresatów przez reguły skrzynki odbiorczej lub przekazywanie skrzynki pocztowej (nazywane również przekazywaniem SMTP). Aby uzyskać więcej informacji, zobacz Kontrolowanie automatycznego przekazywania zewnętrznych wiadomości e-mail na platformie Microsoft 365.

We wszystkich zasadach spamu dla ruchu wychodzącego sprawdź, czy wartość ustawienia Reguły automatycznego przesyłania dalej to Automatyczne — sterowane przez system (wartość domyślna) lub Wyłączone — Przekazywanie jest wyłączone. Obie wartości blokują automatyczne przekazywanie wiadomości e-mail do adresatów zewnętrznych przez użytkowników, których dotyczy problem. Domyślne zasady dotyczą wszystkich użytkowników, a administratorzy mogą tworzyć zasady niestandardowe, które mają zastosowanie do określonych grup użytkowników. Aby uzyskać więcej informacji, zobacz Konfigurowanie zasad spamu wychodzącego w programie EOP.

Blokuj klientów programu Exchange ActiveSync

Exchange ActiveSync to protokół klienta, który synchronizuje dane poczty e-mail i kalendarza na komputerach i urządzeniach przenośnych. Blokuj dostęp do firmowej poczty e-mail przez niezabezpieczonych klientów programu ActiveSync zgodnie z opisem w następujących procedurach:

  • Urządzenia przenośne: aby zablokować dostęp do poczty e-mail z następujących typów urządzeń przenośnych, utwórz zasady dostępu warunkowego opisane w temacie Wymagaj zatwierdzonych aplikacji lub zasad ochrony aplikacji:

    • Klienci programu ActiveSync korzystający z uwierzytelniania podstawowego.
    • Klienci ActiveSync, którzy obsługują nowoczesne metody uwierzytelniania, ale nie obsługują zasad ochrony aplikacji Intune.
    • Urządzenia, które obsługują zasady ochrony aplikacji usługi Intune, ale nie są zdefiniowane w zasadach ochrony aplikacji. Aby uzyskać więcej informacji, zobacz Wymagaj zasad ochrony aplikacji.

    Wskazówka

    Zalecamy program Microsoft Outlook dla systemów iOS i Android jako aplikację w celu uzyskania dostępu do firmowej poczty e-mail z urządzeń z systemami iOS/iPadOS i Android.

  • Komputery i inne urządzenia: aby zablokować wszystkich klientów programu ActiveSync korzystających z uwierzytelniania podstawowego, utwórz zasady dostępu warunkowego opisane w artykule Blokuj program Exchange ActiveSync na wszystkich urządzeniach.

Ogranicz dostęp do załączników wiadomości e-mail w programie Outlook w sieci Web i nowym programie Outlook dla systemu Windows

Możesz ograniczyć sposób, w jaki użytkownicy na urządzeniach niezarządzanych mogą korzystać z załączników wiadomości e-mail w programie Outlook w sieci Web (wcześniej znanej jako Outlook Web App lub OWA) oraz w nowym programie Outlook dla systemu Windows:

  • Uniemożliwianie użytkownikom pobierania załączników wiadomości e-mail. Mogą wyświetlać i edytować te pliki przy użyciu usługi Office Online bez wycieku i przechowywania plików na urządzeniu.
  • Blokuj użytkownikom nawet wyświetlanie załączników.

Te ograniczenia są wymuszane przy użyciu zasad skrzynki pocztowej programu Outlook w sieci Web. Organizacje korzystające z platformy Microsoft 365, które posiadają skrzynki pocztowe usługi Exchange Online, mają wbudowaną, domyślną politykę skrzynek pocztowych programu Outlook w sieci Web o nazwie OwaMailboxPolicy-Default. Domyślnie te zasady są stosowane do wszystkich użytkowników. Administratorzy mogą również tworzyć zasady niestandardowe, które mają zastosowanie do określonych grup użytkowników.

Poniżej przedstawiono kroki ograniczania dostępu do załączników wiadomości e-mail na urządzeniach niezarządzanych:

  1. Połącz się z Exchange Online PowerShell.

  2. Aby wyświetlić dostępne zasady skrzynki pocztowej programu Outlook w sieci Web, uruchom następujące polecenie:

    Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy

  3. Użyj następującej składni, aby ograniczyć dostęp do załączników wiadomości e-mail w programie Outlook w sieci Web i nowym programie Outlook dla systemu Windows na urządzeniach niezarządzanych:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy <ReadOnly | ReadOnlyPlusAttachmentsBlocked>

    W tym przykładzie można wyświetlać załączniki, ale nie pobierać ich w zasadach domyślnych .

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly

    Ten przykład blokuje wyświetlanie załączników w zasadach domyślnych .

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

  4. Na stronie dostęp warunkowy | Omówienie w centrum administracyjnym Microsoft Entra w witrynie https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Overviewutwórz nowe zasady dostępu warunkowego z następującymi ustawieniami:

    • Sekcja Zadania:
      • Użytkownicy: wybierz odpowiednich użytkowników i grupy, których chcesz uwzględnić lub wykluczyć na kartach Uwzględnij i Wyklucz.
      • docelowe zasoby: Wybierz, do jakich zasobów stosuje się ta zasada>Zasoby (wcześniej znane jako aplikacje w chmurze)>uwzględnij kartę>Wybierz zasoby>Wybierz> znajdź i wybierz Office 365 Exchange Online.
    • sekcja Kontrola dostępu: Sesja> wybierz pozycję Użyj ograniczeń wymuszonych przez aplikację.
    • Włącz sekcję zasad: wybierz W.

Konfigurowanie szyfrowania komunikatów

Dzięki szyfrowaniu komunikatów usługi Microsoft Purview, które korzysta z funkcji ochrony w usłudze Azure Information Protection, organizacja może łatwo udostępniać chronioną pocztę e-mail wszystkim osobom na dowolnym urządzeniu. Użytkownicy mogą wysyłać i odbierać chronione wiadomości z innymi organizacjami korzystającymi z platformy Microsoft 365, Outlook.com, Gmail i innych usług poczty e-mail.

Aby uzyskać więcej informacji, zobacz Konfigurowanie szyfrowania komunikatów.

Zalecenia programu SharePoint dotyczące zera zaufania

W tej sekcji opisano zalecane ustawienia zerowego zaufania w programie SharePoint.

Konfigurowanie kontroli dostępu programu SharePoint w celu ograniczenia dostępu przez urządzenia niezarządzane

Wskazówka

Ustawienia w tej sekcji wymagają identyfikatora Microsoft Entra ID P1 lub P2. Aby uzyskać więcej informacji, zobacz Plany i cennik firmy Microsoft Entra.

Podczas konfigurowania kontroli dostępu dla niezarządzanych urządzeń w programie SharePoint odpowiednie zasady dostępu warunkowego w celu wymuszenia poziomu dostępu są automatycznie tworzone w identyfikatorze Entra firmy Microsoft. To ustawienie dla całej organizacji dotyczy wszystkich użytkowników, ale ma wpływ tylko na dostęp do witryn uwzględnionych w kontroli dostępu programu SharePoint.

W szczególności należy uwzględnić witryny w kontroli dostępu programu SharePoint, które korzystają z zabezpieczeń przedsiębiorstwa lub wyspecjalizowanych zabezpieczeń dla Zero Trust, zgodnie z opisem w następujących krokach:

  1. Skonfiguruj opcję Zezwalaj na ograniczony dostęp tylko do sieci Web lub Blokuj dostęp dla urządzeń niezarządzanych w kontroli dostępu programu SharePoint. To ustawienie dotyczy wszystkich użytkowników, ale nie ma wpływu na dostęp do witryn, w których mają już uprawnienia witryny, chyba że witryna jest uwzględniona w kontroli dostępu programu SharePoint (następnym krokiem).

    Wskazówka

    Dostęp na poziomie witryny nie może być bardziej permisywny niż ustawienie kontroli dostępu organizacji. Na przykład wybierz pozycję Zezwalaj na ograniczony dostęp tylko do sieci Web dla urządzeń niezarządzanych w całej organizacji, aby można było używać AllowLimitedAccess lub BlockAccess w określonych witrynach. Jeśli wybierzesz pozycję Blokuj dostęp dla urządzeń niezarządzanych w kontroli dostępu w całej organizacji, nie możesz używać AllowLimitedAccess na określonych stronach (tylko BlockAccess jest dostępne).

  2. Połącz się z programem SharePoint Online PowerShell i użyj parametru ConditionalAccessPolicy w poleceniu cmdlet Set-SPOSite , aby uwzględnić witrynę w kontroli dostępu programu SharePoint dla urządzeń niezarządzanych:

    • Witryny przedsiębiorstwa: użyj wartości AllowLimitedAccess , aby uniemożliwić użytkownikom na urządzeniach niezarządzanych pobieranie, drukowanie lub synchronizowanie plików.
    • Wyspecjalizowane strony zabezpieczeń: Użyj wartości BlockAccess, aby zablokować dostęp z urządzeń niezarządzanych.

    Aby uzyskać instrukcje, zobacz Blokowanie lub ograniczanie dostępu do określonej witryny programu SharePoint lub usługi OneDrive

Tradycyjnie właściciele witryn zarządzają uprawnieniami witryny programu SharePoint w zależności od potrzeb biznesowych w celu uzyskania dostępu do witryny. Skonfigurowanie kontroli dostępu programu SharePoint dla urządzeń niezarządzanych na poziomie organizacji i na poziomie lokacji zapewnia spójną ochronę tych witryn na podstawie poziomu ochrony zero trust.

Rozważmy następujące przykładowe witryny w organizacji firmy Contoso. Kontrola dostępu programu SharePoint dla urządzeń niezarządzanych jest konfigurowana na poziomie zezwalania na ograniczony dostęp tylko do sieci Web dla organizacji:

  • Witryna zespołu analitycznego skonfigurowana z zabezpieczeniami na poziomie przedsiębiorstwa: witryna jest skonfigurowana AllowLimitedAccess dla urządzeń niezarządzanych w kontroli dostępu SharePoint. Użytkownicy z uprawnieniami witryny uzyskują dostęp tylko do przeglądarki w witrynie na urządzeniach niezarządzanych. Mogą oni uzyskiwać dostęp do witryny przy użyciu innych aplikacji na urządzeniach zarządzanych.
  • Witryna tajemnice handlowe jest skonfigurowana z wyspecjalizowanąBlock ochroną zabezpieczeń: witryna jest skonfigurowana dla urządzeń niezarządzanych w kontroli dostępu w SharePoint. Użytkownicy z uprawnieniami witryny nie mogą uzyskiwać dostępu do witryny na urządzeniach niezarządzanych. Mogą oni uzyskiwać dostęp do witryny tylko na zarządzanych urządzeniach.

Zalecenia dotyczące usługi Microsoft Teams dla rozwiązania Zero Trust

W tej sekcji opisano zalecane ustawienia usługi Zero Trust w usłudze Microsoft Teams.

Architektura usług zależnych Teams

Diagram w aplikacji Microsoft Teams i powiązanych usług zwiększających produktywność na platformie Microsoft 365 dla architektów IT ilustruje usługi używane przez usługę Microsoft Teams.

Dostęp gościa i zewnętrzny w usłudze Teams

Usługa Microsoft Teams definiuje następujące typy dostępu dla użytkowników spoza organizacji:

  • dostęp dla gości: używa konta Microsoft Entra B2B dla każdego użytkownika, który może być dodany jako członek zespołu. Dostęp gościa umożliwia dostęp do zasobów usługi Teams i interakcji z użytkownikami wewnętrznymi w konwersacjach grupowych, czatach i spotkaniach.

    Aby uzyskać więcej informacji na temat dostępu gościa i sposobu jej implementacji, zobacz Dostęp gościa w usłudze Microsoft Teams.

  • dostęp zewnętrzny: użytkownicy spoza organizacji, którzy nie mają kont Microsoft Entra B2B. Dostęp zewnętrzny może obejmować zaproszenia i udział w połączeniach, czatach i spotkaniach, ale nie obejmuje członkostwa w zespole ani dostępu do zasobów zespołu. Dostęp zewnętrzny to sposób, w jaki użytkownicy usługi Teams w domenie zewnętrznej mogą znajdować, dzwonić, rozmawiać i konfigurować spotkania w aplikacji Teams z użytkownikami w organizacji.

    Administratorzy usługi Teams mogą używać zasad niestandardowych do konfigurowania dostępu zewnętrznego dla organizacji, grup użytkowników lub poszczególnych użytkowników. Aby uzyskać więcej informacji, zobacz Administratorzy IT — jak zarządzać spotkaniami zewnętrznymi i czatem z osobami i organizacjami przy użyciu tożsamości Microsoft.

Użytkownicy dostępu zewnętrznego mają mniejszy dostęp i funkcjonalność niż użytkownicy dostępu gości. Na przykład użytkownicy dostępu zewnętrznego mogą rozmawiać z użytkownikami wewnętrznymi przy użyciu usługi Teams, ale nie mogą uzyskiwać dostępu do kanałów zespołu, plików ani innych zasobów.

Zasady dostępu warunkowego mają zastosowanie tylko do użytkowników korzystających z dostępu gości w usłudze Teams, ponieważ istnieją odpowiednie konta Microsoft Entra B2B. Dostęp zewnętrzny nie korzysta z kont Microsoft Entra B2B i dlatego nie może używać zasad dostępu warunkowego.

Aby uzyskać zalecane zasady umożliwiające dostęp przy użyciu konta Microsoft Entra B2B, sprawdź Zasady umożliwiające dostęp dla gości i zewnętrznych kont B2B.

Zalecenia dotyczące aplikacji SaaS dla rozwiązania Zero Trust

Usługa Microsoft Defender for Cloud Apps opiera się na zasadach dostępu warunkowego firmy Microsoft Entra, aby umożliwić monitorowanie i kontrolowanie szczegółowych akcji za pomocą aplikacji SaaS (software as a service), takich jak blokowanie pobierania, przekazywania, kopiowania/wklejania i drukowania. Ta funkcja dodaje zabezpieczenia do sesji, które niosą ze sobą związane z ryzykiem, takie jak dostęp do zasobów firmowych z niezarządzanych urządzeń lub przez gości.

Aby uzyskać więcej informacji, zobacz Integrowanie aplikacji SaaS for Zero Trust z platformą Microsoft 365.