Поделиться через


Общие политики безопасности для организаций Microsoft 365

Организации могут беспокоиться о развертывании Microsoft 365 для своей организации. Политики условного доступа, защиты приложений и устройств, на которые ссылается эта статья, основаны на рекомендациях Майкрософт и трех руководящих принципах нулевого доверия:

  • Прямая проверка
  • Использование наименьших привилегий
  • Предполагайте наличие бреши в системе безопасности

Организации могут использовать эти политики как есть или настраивать их в соответствии с потребностями. По возможности проверьте политики в нерабочей среде перед развертыванием для рабочих пользователей. Тестирование крайне важно для выявления и обмена данными о возможных последствиях для пользователей.

Мы группируем эти политики на три уровня защиты на основе того, где вы находитесь в пути развертывания:

  • Отправная точка — базовые элементы управления, которые вводят многофакторную проверку подлинности, безопасные изменения паролей и политики защиты приложений.
  • Enterprise — расширенные элементы управления, которые вводят соответствие устройств.
  • Специализированная безопасность — политики, требующие многофакторной проверки подлинности каждый раз для определенных наборов данных или пользователей.

На следующей схеме показано, какой уровень защиты применяется к каждой политике и к каким политикам применяются компьютеры или телефоны и планшеты, или обе категории устройств.

Схема с общими политиками удостоверений и устройств, поддерживающими принципы нулевого доверия.

Эту схему можно скачать как PDF-файл .

Совет

Перед регистрацией устройств в Intune рекомендуется использовать многофакторную проверку подлинности (MFA), чтобы убедиться, что устройство находится в распоряжении предполагаемого пользователя. Прежде чем применять политики соответствия устройств, необходимо зарегистрировать устройства в Intune.

Необходимые компоненты

Разрешения

  • Пользователи, которые будут управлять политиками условного доступа, должны иметь возможность войти в портал Azure как минимум администратор условного доступа.
  • Пользователи, которые будут управлять политиками защиты приложений и устройств, должны иметь возможность войти в Intune как минимум администратор Intune.
  • Пользователям, которым требуется только просматривать конфигурации, можно назначить роли средства чтения безопасности или глобального читателя.

Дополнительные сведения о ролях и разрешениях см. в статье о встроенных ролях Microsoft Entra.

Регистрация пользователей

Убедитесь, что пользователи регистрируются для многофакторной проверки подлинности, прежде чем требовать его использования. Если у вас есть лицензии, включающие идентификатор Microsoft Entra ID P2, вы можете использовать политику регистрации MFA в Защита идентификации Microsoft Entra, чтобы требовать, чтобы пользователи регистрировались. Мы предоставляем шаблоны коммуникации, которые можно скачать и настроить, чтобы повысить уровень регистрации.

Группы

Все группы Microsoft Entra, используемые в рамках этих рекомендаций, должны быть созданы как группа Microsoft 365, а не группа безопасности. Это требование важно для развертывания меток конфиденциальности при защите документов в Microsoft Teams и SharePoint позже. Дополнительные сведения см. в статье о группах и правах доступа в идентификаторе Microsoft Entra

Назначение политик

Политики условного доступа могут назначаться пользователям, группам и ролям администратора. Защита приложений Intune и политики соответствия устройств могут быть назначены только группам. Перед настройкой политик следует определить, кто должен быть включен и исключен. Как правило, политики уровня защиты начальной точки применяются ко всем пользователям в организации.

Ниже приведен пример назначения групп и исключений для требования MFA после завершения регистрации пользователей.

  Политика условного доступа Microsoft Entra Включить Исключить
Начальная точка Требовать многофакторную проверку подлинности для среднего или высокого риска входа Все пользователи
  • Учетные записи для аварийного доступа
  • Группа исключений условного доступа
Функции корпоративного уровня Требовать многофакторную проверку подлинности для низкого, среднего или высокого риска входа Группа руководителей
  • Учетные записи для аварийного доступа
  • Группа исключений условного доступа
Специализированная безопасность Всегда требуется многофакторная проверка подлинности Группа Top Secret Project Buckeye
  • Учетные записи для аварийного доступа
  • Группа исключений условного доступа

Будьте осторожны при применении более высокого уровня защиты к группам и пользователям. Цель безопасности заключается в том, чтобы не добавлять ненужные трения в взаимодействие с пользователем. Например, членам группы Top Secret Project Buckeye потребуется использовать MFA при каждом входе, даже если они не работают над специализированным контентом безопасности для своего проекта. Чрезмерное трение в области безопасности может привести к усталости.

Вы можете включить методы проверки подлинности без пароля, такие как Windows Hello для бизнеса или ключи безопасности FIDO2, чтобы снизить некоторые трения, созданные определенными элементами управления безопасностью.

Учетные записи для аварийного доступа

У всех организаций должна быть по крайней мере одна учетная запись аварийного доступа, отслеживаемая для использования и исключенная из политик. Эти учетные записи используются только в том случае, если все остальные учетные записи администратора и методы проверки подлинности будут заблокированы или недоступны. Дополнительные сведения см. в статье об управлении учетными записями аварийного доступа в идентификаторе Microsoft Entra.

Исключения

Рекомендуется создать группу Microsoft Entra для исключений условного доступа. Эта группа предоставляет средства для предоставления доступа пользователю при устранении неполадок с доступом.

Предупреждение

Эта группа рекомендуется использовать только в качестве временного решения. Непрерывно отслеживайте и проверяйте эту группу для изменений и убедитесь, что группа исключений используется только в качестве предполагаемой.

Чтобы добавить эту группу исключений в любые существующие политики, выполните указанные ниже действия.

  1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
  2. Перейдите к условному доступу к защите>.
  3. Выберите существующую политику.
  4. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
    1. В разделе "Исключить" выберите "Пользователи и группы " и выберите учетную запись аварийного доступа или учетные записи условного доступа и группу исключений условного доступа.

Развертывание

Мы рекомендуем реализовать политики начальной точки в порядке, указанном в этой таблице. Однако политики MFA для корпоративных и специализированных уровней безопасности могут быть реализованы в любое время.

Начальная точка

Политика Дополнительные сведения Лицензирование
Требовать многофакторную проверку подлинности, если риск входа является средним или высоким Используйте данные риска из Защита идентификации Microsoft Entra, чтобы требовать многофакторную проверку подлинности только при обнаружении риска Microsoft 365 E5 или Microsoft 365 E3 с надстройкой безопасности E5
Блокировать клиенты, не поддерживающие современную проверку подлинности Клиенты, которые не используют современную проверку подлинности, могут обойти политики условного доступа, поэтому важно заблокировать их. Microsoft 365 E3 или E5
Пользователи с высоким уровнем риска должны изменить пароль Принудительно заставляет пользователей изменять пароль при входе в систему, если для учетной записи обнаружена активность с высоким риском. Microsoft 365 E5 или Microsoft 365 E3 с надстройкой безопасности E5
Применение политик защиты приложений для защиты данных Одна политика защиты приложений Intune для каждой платформы (Windows, iOS/iPadOS, Android). Microsoft 365 E3 или E5
Требовать утвержденные приложения и политики защиты приложений Применяет политики защиты мобильных приложений для телефонов и планшетов с помощью iOS, iPadOS или Android. Microsoft 365 E3 или E5

Функции корпоративного уровня

Политика Дополнительные сведения Лицензирование
Требовать многофакторную проверку подлинности при низком, среднем или высоком риске входа Используйте данные риска из Защита идентификации Microsoft Entra, чтобы требовать многофакторную проверку подлинности только при обнаружении риска Microsoft 365 E5 или Microsoft 365 E3 с надстройкой безопасности E5
Определение политик соответствия устройств Задайте минимальные требования к конфигурации. Одна политика для каждой платформы. Microsoft 365 E3 или E5
Требовать совместимые компьютеры и мобильные устройства Применяет требования к конфигурации для устройств, обращаюющихся к организации Microsoft 365 E3 или E5

Специализированная безопасность

Политика Дополнительные сведения Лицензирование
Всегда требуется многофакторная проверка подлинности Пользователи должны выполнять многофакторную проверку подлинности в любой момент, когда они входят в службы организации. Microsoft 365 E3 или E5

политики защита приложений

политики защита приложений определяют, какие приложения разрешены, а также действия, которые они могут предпринять с данными вашей организации. Есть много вариантов, и это может быть запутано для некоторых. Ниже приведены рекомендуемые конфигурации Майкрософт, которые могут быть адаптированы к вашим потребностям. Мы предоставляем три шаблона для выполнения, но думаю, что большинство организаций выберет уровни 2 и 3.

Уровень 2 сопоставляется с тем, что мы считаем начальной точкой или безопасностью корпоративного уровня, уровень 3 сопоставляется с специализированной безопасностью.

  • Уровень 1 корпоративная базовая защита данных. Корпорация Майкрософт рекомендует эту конфигурацию в качестве минимальной конфигурации защиты данных для корпоративного устройства.

  • Расширенная защита данных уровня 2 предприятия. Корпорация Майкрософт рекомендует эту конфигурацию для устройств, где пользователи получают доступ к конфиденциальной или конфиденциальной информации. Эта конфигурация применима к большинству мобильных пользователей, обращаюющихся к рабочим или учебным данным. Некоторые элементы управления могут повлиять на взаимодействие с пользователем.

  • Уровень 3 корпоративный высокий уровень защиты данных. Корпорация Майкрософт рекомендует эту конфигурацию для устройств, работающих организацией с более крупной или более сложной командой безопасности, или для конкретных пользователей или групп, которые подвергаются уникально высокому риску (пользователи, обрабатывающие конфиденциальные данные, в которых несанкционированное раскрытие данных приводит к значительной потере материала в организации). Организация, скорее всего, будет нацелена на хорошо финансируемых и сложных злоумышленников, должна стремиться к этой конфигурации.

Создание политик защиты приложений

Создайте новую политику защиты приложений для каждой платформы (iOS и Android) в Microsoft Intune с помощью параметров платформы защиты данных:

Политики соответствия устройств

Политики соответствия устройств Intune определяют требования, которые должны соответствовать устройствам.

Необходимо создать политику для каждого компьютера, телефона или планшетной платформы. В этой статье рассматриваются рекомендации для следующих платформ:

Создание политик соответствия устройств

Чтобы создать политики соответствия устройств, войдите в Центр администрирования Microsoft Intune и перейдите к политикам соответствия>устройств>. Выберите " Создать политику".

Пошаговые инструкции по созданию политик соответствия в Intune см. в статье "Создание политики соответствия в Microsoft Intune".

Параметры регистрации и соответствия для iOS/iPadOS

IOS/iPadOS поддерживает несколько сценариев регистрации, два из которых рассматриваются в рамках этой платформы:

Использование принципов, описанных в конфигурациях доступа к устройству и удостоверению нулевого доверия:

  • Начальные точки и уровни защиты предприятия тесно соответствуют параметрам повышенной безопасности уровня 2.
  • Специализированный уровень защиты безопасности тесно сопоставляется с высокими параметрами безопасности уровня 3.
Параметры соответствия для личных зарегистрированных устройств
  • Личная базовая безопасность (уровень 1) — корпорация Майкрософт рекомендует эту конфигурацию в качестве минимальной конфигурации безопасности для личных устройств, где пользователи получают доступ к рабочим или учебным данным. Эта конфигурация выполняется путем применения политик паролей, характеристик блокировки устройства и отключения некоторых функций устройств, таких как ненадежные сертификаты.
  • Личная улучшенная безопасность (уровень 2) — корпорация Майкрософт рекомендует эту конфигурацию для устройств, где пользователи получают доступ к конфиденциальной или конфиденциальной информации. Эта конфигурация принимает элементы управления общим доступом к данным. Эта конфигурация применима к большинству мобильных пользователей, обращаюющихся к рабочим или учебным данным на устройстве.
  • Личная высокая безопасность (уровень 3) — корпорация Майкрософт рекомендует эту конфигурацию для устройств, используемых определенными пользователями или группами, которые уникально подвержены высокому риску (пользователи, обрабатывающие конфиденциальные данные, в которых несанкционированное раскрытие данных приводит к значительной потере материала в организации). Эта конфигурация принимает более строгие политики паролей, отключает определенные функции устройства и применяет дополнительные ограничения на передачу данных.
Параметры соответствия для автоматической регистрации устройств
  • Защищенный базовый уровень безопасности (уровень 1) — корпорация Майкрософт рекомендует эту конфигурацию в качестве минимальной конфигурации безопасности для защищенных устройств, где пользователи получают доступ к рабочим или учебным данным. Эта конфигурация выполняется путем применения политик паролей, характеристик блокировки устройства и отключения некоторых функций устройств, таких как ненадежные сертификаты.
  • Защищенный расширенный уровень безопасности (уровень 2) — корпорация Майкрософт рекомендует эту конфигурацию для устройств, где пользователи получают доступ к конфиденциальной или конфиденциальной информации. Эта конфигурация принимает элементы управления доступом к данным и блокирует доступ к USB-устройствам. Эта конфигурация применима к большинству мобильных пользователей, обращаюющихся к рабочим или учебным данным на устройстве.
  • Защищенный высокий уровень безопасности (уровень 3) — корпорация Майкрософт рекомендует эту конфигурацию для устройств, используемых определенными пользователями или группами, которые являются уникально высоким риском (пользователи, обрабатывающие конфиденциальные данные, в которых несанкционированное раскрытие данных приводит к значительной потере материала в организации). Эта конфигурация принимает более строгие политики паролей, отключает определенные функции устройства, применяет дополнительные ограничения передачи данных и требует установки приложений через программу приобретения томов Apple.

Параметры регистрации и соответствия для Android

Android Enterprise поддерживает несколько сценариев регистрации, два из которых рассматриваются в рамках этой платформы:

  • Рабочий профиль Android Enterprise — эта модель регистрации обычно используется для личных устройств, где ИТ-специалисты хотят обеспечить четкую границу разделения между рабочими и личными данными. Политики, контролируемые ИТ-службой, гарантируют, что рабочие данные не могут быть переданы в личный профиль.
  • Полностью управляемые устройства Android Enterprise — эти устройства являются корпоративными, связанными с одним пользователем, и используются исключительно для работы, а не личного использования.

Платформа конфигурации безопасности Android Enterprise организована в несколько различных сценариев конфигурации, предоставляя рекомендации по рабочим профилям и полностью управляемым сценариям.

Использование принципов, описанных в конфигурациях доступа к устройству и удостоверению нулевого доверия:

  • Начальные точки и уровни защиты предприятия тесно соответствуют параметрам повышенной безопасности уровня 2.
  • Специализированный уровень защиты безопасности тесно сопоставляется с высокими параметрами безопасности уровня 3.
Параметры соответствия для устройств рабочего профиля Android Enterprise
  • Из-за параметров, доступных для личных устройств рабочего профиля, нет базового предложения безопасности (уровня 1). Доступные параметры не оправдывают разницу между уровнем 1 и уровнем 2.
  • Улучшенная безопасность рабочего профиля (уровень 2) — корпорация Майкрософт рекомендует эту конфигурацию в качестве минимальной конфигурации безопасности для личных устройств, где пользователи получают доступ к рабочим или учебным данным. Эта конфигурация содержит требования к паролям, отделяет рабочие и личные данные и проверяет аттестацию устройств Android.
  • Высокий уровень безопасности рабочего профиля (уровень 3) — корпорация Майкрософт рекомендует эту конфигурацию для устройств, используемых определенными пользователями или группами, которые однозначно подвержены высокому риску (пользователи, обрабатывающие конфиденциальные данные, в которых несанкционированное раскрытие данных приводит к значительной потере материала в организации). Эта конфигурация представляет защиту мобильных угроз или Microsoft Defender для конечной точки, устанавливает минимальную версию Android, принимает более строгие политики паролей, а также ограничивает работу и личное разделение.
Параметры соответствия для полностью управляемых устройств Android Enterprise
  • Полностью управляемая базовая безопасность (уровень 1) — корпорация Майкрософт рекомендует эту конфигурацию в качестве минимальной конфигурации безопасности для корпоративного устройства. Эта конфигурация применима к большинству мобильных пользователей, обращаюющихся к рабочим или учебным данным. Эта конфигурация вводит требования к паролям, задает минимальную версию Android и принимает определенные ограничения устройств.
  • Полностью управляемая расширенная безопасность (уровень 2) — корпорация Майкрософт рекомендует эту конфигурацию для устройств, где пользователи получают доступ к конфиденциальной или конфиденциальной информации. Эта конфигурация принимает более строгие политики паролей и отключает возможности пользователя или учетной записи.
  • Полностью управляемая высокая безопасность (уровень 3) — корпорация Майкрософт рекомендует эту конфигурацию для устройств, используемых определенными пользователями или группами, которые являются уникальными высокими рисками. Эти пользователи могут обрабатывать конфиденциальные данные, в которых несанкционированное раскрытие может привести к значительной потере материала организации. Эта конфигурация увеличивает минимальную версию Android, вводит защиту от угроз для мобильных устройств или Microsoft Defender для конечной точки и применяет дополнительные ограничения устройств.

На шаге 2 настроены следующие параметры: параметры соответствия требованиям, процесс создания политики соответствия для устройств Windows 10 и более новых версий. Эти параметры соответствуют принципам, описанным в конфигурациях доступа к устройству и удостоверению нулевого доверия.

Правила оценки службы аттестации работоспособности > Windows см. в этой таблице.

Свойство Значение
Требовать BitLocker Требуется
Требовать включения безопасной загрузки на устройстве Требуется
Требовать целостность кода Требуется

Для свойств устройства укажите соответствующие значения версий операционной системы на основе политик ИТ и безопасности.

Для соответствия Configuration Manager, если вы находитесь в совместно управляемой среде с Configuration Manager, выберите "Требовать в противном случае" выберите "Не настроено".

Сведения о системной безопасности см. в этой таблице.

Свойство Значение
Запрашивать пароль для разблокировки мобильных устройств Требуется
Простые пароли Блокировка
Тип пароля Устройство по умолчанию
Минимальная длина пароля 6
Максимальное количество минут бездействия до того, как требуется пароль 15 минут
Срок действия пароля (в днях) 41
Число предыдущих паролей для предотвращения повторного использования 5
Требовать пароль при возврате устройства из состояния простоя (Mobile и Holographic) Требуется
Требование шифрования хранилища данных на устройстве Требуется
Брандмауэр Требуется
Антивирусная программа Требуется
Антишпиостер Требуется
Антивредоносное ПО в Microsoft Defender Требуется
Минимальная версия антивредоносного по Microsoft Defender Корпорация Майкрософт рекомендует не более пяти версий из последней версии.
Сигнатура защиты от вредоносных программ в Microsoft Defender до актуальной версии Требуется
защита в режиме реального времени; Требуется

Для Microsoft Defender для конечной точки

Свойство Значение
Требовать, чтобы устройство было на уровне или под оценкой риска компьютера Средняя

Политики условного доступа

После создания политик защиты приложений и соответствия устройств в Intune можно включить принудительное применение с помощью политик условного доступа.

Требовать многофакторную проверку подлинности на основе риска входа

Следуйте указаниям в статье Общая политика условного доступа: проверка подлинности на основе многофакторной проверки подлинности на основе рисков для входа в систему, чтобы создать политику, чтобы требовать многофакторную проверку подлинности на основе риска входа.

При настройке политики используйте следующие уровни риска.

Уровень защиты Необходимые значения уровня риска Действие
Начальная точка Высокий, средний Проверьте оба.
Функции корпоративного уровня Высокий, средний, низкий Проверьте все три.

Блокировать клиенты, не поддерживающие многофакторную проверку подлинности

Следуйте указаниям в статье Общая политика условного доступа: блокировка устаревшей проверки подлинности для блокировки устаревшей проверки подлинности .

Пользователи с высоким уровнем риска должны сменить пароль

Следуйте указаниям в политике общего условного доступа: изменение пароля на основе рисков пользователей требует от пользователей с скомпрометированных учетных данных для изменения пароля.

Используйте эту политику вместе с защитой паролей Microsoft Entra, которая обнаруживает и блокирует известные слабые пароли и их варианты в дополнение к условиям, характерным для вашей организации. Использование защиты паролей Microsoft Entra гарантирует, что измененные пароли сильнее.

Требовать утвержденные приложения и политики защиты приложений

Чтобы применить политики защиты приложений, созданные в Intune, необходимо создать политику условного доступа. Для применения политик защиты приложений требуется политика условного доступа и соответствующая политика защиты приложений.

Чтобы создать политику условного доступа, требующую утвержденных приложений и защиты приложений, выполните действия, описанные в разделе "Требовать утвержденные клиентские приложения" или политику защиты приложений с мобильными устройствами. Эта политика позволяет учетным записям только в мобильных приложениях, защищенных политиками защиты приложений, получать доступ к конечным точкам Microsoft 365.

Блокировка устаревшей проверки подлинности для других клиентских приложений на устройствах iOS и Android гарантирует, что эти клиенты не могут обойти политики условного доступа. Если вы используете инструкции в этой статье, вы уже настроили блочные клиенты, которые не поддерживают современную проверку подлинности.

Требовать совместимые компьютеры и мобильные устройства

Следующие шаги помогут создать политику условного доступа для требования, чтобы устройства, обращающиеся к ресурсам, были помечены как соответствующие политикам соответствия организации Intune.

Внимание

Перед включением этой политики убедитесь, что устройство соответствует требованиям. В противном случае вы можете заблокировать эту политику и не сможете изменить эту политику, пока учетная запись пользователя не будет добавлена в группу исключений условного доступа.

  1. Войдите на портал Azure.
  2. Перейдите к условному доступу к идентификаторам Microsoft Entra ID>>.
  3. Выберите Новая политика.
  4. Присвойте политике имя. Мы рекомендуем организациям присваивать политикам понятные имена.
  5. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
    1. В разделе Включить выберите Все пользователи.
    2. В разделе Исключить выберите Пользователи и группы, а затем выберите учетные записи для аварийного доступа или для обхода стандартной системы контроля доступа в вашей организации.
  6. В разделе Облачные приложения или действия>Включить выберите Все облачные приложения.
    1. Если необходимо исключить из политики определенные приложения, их можно выбрать на вкладке Исключение в разделе Выберите исключенные облачные приложения и нажмите кнопку Выбрать.
  7. Выберите Элементы управления доступом>Предоставить разрешение.
    1. Выберите " Требовать, чтобы устройство было помечено как соответствующее".
    2. Выберите Выбрать.
  8. Подтвердите параметры и задайте для параметра Включить политику значение Включить.
  9. Нажмите Создать, чтобы создать и включить политику.

Примечание.

Вы можете зарегистрировать новые устройства в Intune, даже если в политике выбрано значение "Требовать, чтобы устройство было помечено как соответствующее требованиям для всех пользователей и всех облачных приложений ". Требовать, чтобы устройство было помечено как соответствующее элементу управления, не блокирует регистрацию Intune и доступ к приложению Microsoft Intune Web Корпоративный портал.

Активация подписки

Организации, использующие функцию активации подписки, чтобы пользователи могли "шагнуть" из одной версии Windows в другую, может потребоваться исключить API-интерфейсы универсальной службы магазина и веб-приложение, AppID 45a30b1-b1ec-4cc1-9161-9f03992aa49f из политики соответствия устройств.

Всегда требуется многофакторная проверка подлинности

Следуйте указаниям в политике общего условного доступа. Требовать многофакторную проверку подлинности для всех пользователей , которым требуются специализированные пользователи уровня безопасности для всегда выполнения многофакторной проверки подлинности.

Предупреждение

При настройке политики выберите группу, требующую специализированной безопасности, и используйте ее вместо выбора всех пользователей.

Следующие шаги

Шаг 3. Политики для гостевых и внешних пользователей.

Сведения о рекомендациях политики для гостевых и внешних пользователей