Udostępnij za pośrednictwem


Wymagania wstępne dotyczące implementowania zasad dostępu do tożsamości zerowej zaufania i urządzeń

W tym artykule opisano wymagania wstępne, które administratorzy muszą spełnić, aby używać zalecanych zasad dostępu do tożsamości zerowej zaufania i urządzeń oraz używania dostępu warunkowego. Omówiono również zalecane ustawienia domyślne konfigurowania platform klienckich w celu uzyskania najlepszego środowiska logowania jednokrotnego.

Wymagania wstępne

Przed użyciem zalecanych zasad dostępu do urządzeń i tożsamości zerowej zaufania twoja organizacja musi spełnić wymagania wstępne. Wymagania różnią się w przypadku różnych modeli tożsamości i uwierzytelniania wymienionych:

  • Tylko w chmurze
  • Hybryda z uwierzytelnianiem synchronizacji skrótów haseł (PHS)
  • Rozwiązanie hybrydowe z uwierzytelnianiem przekazywanym (PTA)
  • Federacyjni

W poniższej tabeli przedstawiono funkcje wymagań wstępnych i ich konfigurację, które mają zastosowanie do wszystkich modeli tożsamości, z wyjątkiem przypadków, w których określono.

Konfigurowanie Wyjątki Licencjonowanie
Konfigurowanie phS. Ta funkcja musi być włączona w celu wykrywania ujawnionych poświadczeń i działania na nich w celu uzyskania dostępu warunkowego opartego na ryzyku.Należy pamiętać, że jest to wymagane niezależnie od tego, czy organizacja korzysta z uwierzytelniania federacyjnego. Tylko w chmurze Microsoft 365 E3 lub E5
Włącz bezproblemowe logowanie jednokrotne , aby automatycznie logować użytkowników, gdy znajdują się na urządzeniach organizacji połączonych z siecią organizacji. Tylko chmura i federacyjna Microsoft 365 E3 lub E5
Skonfiguruj nazwane lokalizacje. Ochrona tożsamości Microsoft Entra zbiera i analizuje wszystkie dostępne dane sesji w celu wygenerowania oceny ryzyka. Zalecamy określenie publicznych zakresów adresów IP twojej organizacji dla sieci w konfiguracji lokalizacji identyfikatora Entra firmy Microsoft. Ruch pochodzący z tych zakresów otrzymuje obniżony wynik ryzyka, a ruch spoza środowiska organizacji otrzymuje wyższy wskaźnik ryzyka. Microsoft 365 E3 lub E5
Zarejestruj wszystkich użytkowników na potrzeby samoobsługowego resetowania hasła (SSPR) i uwierzytelniania wieloskładnikowego (MFA). Zalecamy zarejestrowanie użytkowników na potrzeby uwierzytelniania wieloskładnikowego firmy Microsoft przed upływem czasu. Ochrona tożsamości Microsoft Entra korzysta z uwierzytelniania wieloskładnikowego firmy Microsoft w celu przeprowadzenia dodatkowej weryfikacji zabezpieczeń. Ponadto w celu uzyskania najlepszego środowiska logowania zalecamy użytkownikom zainstalowanie aplikacji Microsoft Authenticator i aplikacji Microsoft Portal firmy na swoich urządzeniach. Można je zainstalować ze sklepu z aplikacjami dla każdej platformy. Microsoft 365 E3 lub E5
Zaplanuj implementację dołączania hybrydowego firmy Microsoft Entra. Dostęp warunkowy zapewnia, że urządzenia łączące się z aplikacjami są przyłączone do domeny lub są zgodne. Aby można było to obsługiwać na komputerach z systemem Windows, urządzenie musi być zarejestrowane w usłudze Microsoft Entra ID. W tym artykule omówiono sposób konfigurowania automatycznej rejestracji urządzeń. Tylko w chmurze Microsoft 365 E3 lub E5
Przygotuj zespół pomocy technicznej. Masz plan dla użytkowników, którzy nie mogą ukończyć uwierzytelniania wieloskładnikowego. Może to być dodanie ich do grupy wykluczeń zasad lub zarejestrowanie nowych informacji uwierzytelniania wieloskładnikowego. Przed wprowadzeniem jednej z tych zmian wrażliwych na zabezpieczenia należy upewnić się, że rzeczywisty użytkownik wysyła żądanie. Wymaganie od menedżerów użytkowników pomocy w zatwierdzeniu jest skutecznym krokiem. Microsoft 365 E3 lub E5
Konfigurowanie zapisywania zwrotnego haseł w lokalnej usłudze AD. Zapisywanie zwrotne haseł umożliwia usłudze Microsoft Entra ID wymaganie od użytkowników zmiany haseł lokalnych po wykryciu naruszenia zabezpieczeń konta wysokiego ryzyka. Tę funkcję można włączyć za pomocą programu Microsoft Entra Connect na jeden z dwóch sposobów: włączyć funkcję zapisywania zwrotnego haseł na ekranie opcjonalnych funkcji konfiguracji programu Microsoft Entra Connect lub włączyć ją za pomocą programu Windows PowerShell. Tylko w chmurze Microsoft 365 E3 lub E5
Skonfiguruj ochronę haseł w usłudze Microsoft Entra. Firma Microsoft Entra Password Protection wykrywa i blokuje znane słabe hasła i ich warianty, a także może blokować dodatkowe słabe terminy specyficzne dla twojej organizacji. Domyślne globalne listy zakazanych haseł są automatycznie stosowane do wszystkich użytkowników w dzierżawie firmy Microsoft Entra. Dodatkowe wpisy można zdefiniować na niestandardowej liście zakazanych haseł. Gdy użytkownicy zmieniają lub resetują swoje hasła, te listy zakazanych haseł są sprawdzane, aby wymusić użycie silnych haseł. Microsoft 365 E3 lub E5
Włącz Ochrona tożsamości Microsoft Entra. Ochrona tożsamości Microsoft Entra umożliwia wykrywanie potencjalnych luk w zabezpieczeniach wpływających na tożsamości organizacji i konfigurowanie zasad zautomatyzowanego korygowania pod względem ryzyka niskiego, średniego i wysokiego ryzyka związanego z logowaniem oraz ryzyka związanego z użytkownikiem. Microsoft 365 E5 lub Microsoft 365 E3 z dodatkiem E5 Security
Włącz nowoczesne uwierzytelnianie dla usługi Exchange Online i usługi Skype dla firm Online. Nowoczesne uwierzytelnianie jest wymaganiem wstępnym dotyczącym korzystania z uwierzytelniania wieloskładnikowego. Nowoczesne uwierzytelnianie jest domyślnie włączone dla klientów pakietu Office 2016 i 2019, programu SharePoint i OneDrive dla Firm. Microsoft 365 E3 lub E5
Włącz ciągłą ocenę dostępu dla identyfikatora Entra firmy Microsoft. Ciągła ocena dostępu aktywnie kończy aktywne sesje użytkowników i wymusza zmiany zasad dzierżawy niemal w czasie rzeczywistym. Microsoft 365 E3 lub E5

W tej sekcji opisano domyślne konfiguracje klientów platformy, które zalecamy, aby zapewnić użytkownikom najlepsze środowisko logowania jednokrotnego, a także wymagania techniczne dotyczące dostępu warunkowego.

Urządzenia z systemem Windows

Zalecamy system Windows 11 lub Windows 10 (wersja 2004 lub nowsza), ponieważ platforma Azure ma na celu zapewnienie bezproblemowego środowiska logowania jednokrotnego możliwego zarówno dla lokalnego, jak i microsoft Entra ID. Urządzenia służbowe powinny być skonfigurowane do dołączania bezpośrednio do identyfikatora Entra firmy Microsoft lub jeśli organizacja korzysta z lokalnego przyłączania do domeny usługi AD, te urządzenia powinny być konfigurowane tak, aby automatycznie i dyskretnie rejestrować się przy użyciu identyfikatora Entra firmy Microsoft.

W przypadku urządzeń z systemem Windows BYOD użytkownicy mogą używać pozycji Dodaj konto służbowe. Należy pamiętać , że użytkownicy przeglądarki Google Chrome na urządzeniach z systemem Windows 11 lub Windows 10 muszą zainstalować rozszerzenie , aby uzyskać takie samo bezproblemowe środowisko logowania, jak użytkownicy przeglądarki Microsoft Edge. Ponadto jeśli organizacja ma urządzenia z systemem Windows 8 lub 8.1 przyłączone do domeny, możesz zainstalować narzędzie Microsoft Workplace Join dla komputerów z systemem innym niż Windows 10. Pobierz pakiet, aby zarejestrować urządzenia za pomocą identyfikatora Entra firmy Microsoft.

Urządzenia iOS

Zalecamy zainstalowanie aplikacji Microsoft Authenticator na urządzeniach użytkowników przed wdrożeniem zasad dostępu warunkowego lub uwierzytelniania wieloskładnikowego. Co najmniej aplikacja powinna zostać zainstalowana, gdy użytkownicy zostaną poproszeni o zarejestrowanie urządzenia przy użyciu identyfikatora Entra firmy Microsoft przez dodanie konta służbowego lub zainstalowanie aplikacji Portal firmy usługi Intune w celu zarejestrowania urządzenia w zarządzaniu. Zależy to od skonfigurowanych zasad dostępu warunkowego.

Urządzenia Android

Zalecamy użytkownikom zainstalowanie aplikacji Intune — Portal firmy i aplikacji Microsoft Authenticator przed wdrożeniem zasad dostępu warunkowego lub w razie potrzeby podczas niektórych prób uwierzytelniania. Po zainstalowaniu aplikacji użytkownicy mogą zostać poproszeni o zarejestrowanie się w usłudze Microsoft Entra ID lub zarejestrowanie urządzenia w usłudze Intune. Zależy to od skonfigurowanych zasad dostępu warunkowego.

Zalecamy również, aby urządzenia należące do organizacji zostały ustandaryzowane na maszynach OEM i wersjach, które obsługują program Android for Work lub Samsung Knox, aby zezwalać na konta poczty, być zarządzane i chronione przez zasady zarządzania urządzeniami przenośnymi usługi Intune.

Następujący klienci poczty e-mail obsługują nowoczesne uwierzytelnianie i dostęp warunkowy.

Platforma Klient Wersja/uwagi
Windows Outlook 2019, 2016

Wymagane aktualizacje

iOS Outlook dla systemu iOS Najnowszy
Android Outlook dla systemu Android Najnowszy
macOS Outlook 2019 i 2016 r.
Linux Nieobsługiwane

W przypadku zastosowania zasad bezpiecznych dokumentów zaleca się wykonanie następujących klientów.

Platforma Word/Excel/PowerPoint OneNote Aplikacja OneDrive Aplikacja programu SharePoint klient synchronizacja usługi OneDrive
Windows 11 lub Windows 10 Obsługiwane Obsługiwane Brak Brak Obsługiwane
Windows 8.1 Obsługiwane Obsługiwane Brak Brak Obsługiwane
Android Obsługiwane Obsługiwane Obsługiwane Obsługiwane Nie dotyczy
iOS Obsługiwane Obsługiwane Obsługiwane Obsługiwane Nie dotyczy
macOS Obsługiwane Obsługiwane Brak Brak Nieobsługiwane
Linux Nieobsługiwane Nieobsługiwane Nieobsługiwane Nieobsługiwane Nieobsługiwane

Obsługa klienta platformy Microsoft 365

Aby uzyskać więcej informacji na temat obsługi klienta na platformie Microsoft 365, zobacz następujące artykuły:

Ochrona kont administratorów

W przypadku platformy Microsoft 365 E3 lub E5 lub z oddzielnymi licencjami microsoft Entra ID P1 lub P2 można wymagać uwierzytelniania wieloskładnikowego dla kont administratorów z ręcznie utworzonymi zasadami dostępu warunkowego. Zobacz Dostęp warunkowy: Wymagaj uwierzytelniania wieloskładnikowego dla administratorów , aby uzyskać szczegółowe informacje.

W przypadku wersji platformy Microsoft 365 lub usługi Office 365, które nie obsługują dostępu warunkowego, można włączyć domyślne ustawienia zabezpieczeń, aby wymagać uwierzytelniania wieloskładnikowego dla wszystkich kont.

Poniżej przedstawiono kilka dodatkowych zaleceń:

  • Użyj usługi Microsoft Entra Privileged Identity Management , aby zmniejszyć liczbę trwałych kont administracyjnych.
  • Użyj zarządzania dostępem uprzywilejowanym, aby chronić organizację przed naruszeniami, które mogą używać istniejących uprzywilejowanych kont administratorów ze stałym dostępem do poufnych danych lub dostępu do krytycznych ustawień konfiguracji.
  • Utwórz i użyj oddzielnych kont, które są przypisane tylko do ról administratora platformy Microsoft 365 dla celów administracyjnych. Administratorzy powinni mieć własne konto użytkownika do zwykłego użytku niezwiązanego z administracją i używać konta administracyjnego tylko wtedy, gdy jest to konieczne, aby wykonać zadanie skojarzone z ich rolą lub funkcją zadania.
  • Postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi zabezpieczania uprzywilejowanych kont w usłudze Microsoft Entra ID.

Następny krok

Krok 2. Skonfiguruj wspólną tożsamość zero zaufania i zasady dostępu warunkowego.

Konfigurowanie typowych zasad dostępu do urządzeń i tożsamości zerowej zaufania