Предварительные требования для реализации политик доступа к удостоверению и устройству
В этой статье описаны предварительные требования, необходимые администраторам, которые должны соответствовать рекомендуемой политике удостоверений нулевого доверия и политик доступа к устройству, а также для использования условного доступа. В нем также рассматриваются рекомендуемые значения по умолчанию для настройки клиентских платформ для оптимального единого входа.
Необходимые компоненты
Перед использованием рекомендуемых политик доступа к удостоверению и устройству ваша организация должна соответствовать предварительным требованиям. Требования отличаются для различных моделей идентификации и проверки подлинности, перечисленных ниже.
- Только облако
- Гибридная синхронизация хэша паролей (PHS)
- Гибридная среда с сквозной проверкой подлинности (PTA)
- Федеративные
В следующей таблице описаны необходимые компоненты и их конфигурация, которые применяются ко всем моделям удостоверений, за исключением указанных.
Настройка | Исключения | Лицензирование |
---|---|---|
Настройка PHS. Эта функция должна быть включена для обнаружения утечки учетных данных и действия с ними для условного доступа на основе рисков. Обратите внимание, что это необходимо независимо от того, используется ли в вашей организации федеративная проверка подлинности. | Только облако | Microsoft 365 E3 или E5 |
Включите простой единый вход для автоматического входа пользователей, когда они находятся на устройствах организации, подключенных к вашей сети организации. | Только облако и федеративные | Microsoft 365 E3 или E5 |
Настройте именованные расположения. Защита идентификации Microsoft Entra собирает и анализирует все доступные данные сеанса для создания оценки риска. Рекомендуется указать диапазоны общедоступных IP-адресов вашей организации для сети в конфигурации именованных расположений идентификатора Microsoft Entra. Трафик, поступающий из этих диапазонов, получает сниженную оценку риска, а трафик извне среды организации получает более высокую оценку риска. | Microsoft 365 E3 или E5 | |
Зарегистрируйте всех пользователей для самостоятельного сброса пароля (SSPR) и многофакторной проверки подлинности (MFA). Рекомендуется заранее зарегистрировать пользователей для многофакторной проверки подлинности Microsoft Entra. Защита идентификации Microsoft Entra использует многофакторную проверку подлинности Microsoft Entra для выполнения дополнительной проверки безопасности. Кроме того, для оптимального входа мы рекомендуем пользователям устанавливать приложение Microsoft Authenticator и приложение Microsoft Корпоративный портал на своих устройствах. Их можно установить из магазина приложений для каждой платформы. | Microsoft 365 E3 или E5 | |
Планирование реализации гибридного соединения Microsoft Entra. Условный доступ гарантирует, что устройства, подключающиеся к приложениям, присоединены к домену или соответствуют требованиям. Для поддержки этого на компьютерах Windows устройство должно быть зарегистрировано с идентификатором Microsoft Entra. В этой статье описывается порядок настройки автоматической регистрации. | Только облако | Microsoft 365 E3 или E5 |
Подготовьте команду поддержки. Реализуйте план для пользователей, которым не удается пройти многофакторную идентификацию. Это может быть добавление их в группу исключений политики или регистрация новых сведений MFA для них. Перед внесением любого из этих изменений с учетом безопасности необходимо убедиться, что фактический пользователь выполняет запрос. Эффективным способом является требование от менеджеров пользователей оказывать помощь в утверждении. | Microsoft 365 E3 или E5 | |
Настройте обратную запись паролей в локальную среду AD. Обратная запись паролей позволяет идентификатору Microsoft Entra требовать, чтобы пользователи изменяли свои локальные пароли при обнаружении компрометации учетной записи с высоким риском. Эту функцию можно включить с помощью Microsoft Entra Connect одним из двух способов: включить обратную запись паролей на экране дополнительных функций программы установки Microsoft Entra Connect или включить ее с помощью Windows PowerShell. | Только облако | Microsoft 365 E3 или E5 |
Настройте защиту паролей Microsoft Entra. Microsoft Entra Password Protection обнаруживает и блокирует известные слабые пароли и их варианты, а также может блокировать дополнительные слабые термины, относящиеся к вашей организации. Глобальные списки запрещенных паролей по умолчанию автоматически применяются ко всем пользователям в клиенте Microsoft Entra. Дополнительные записи можно определить в пользовательском списке запрещенных паролей. Когда пользователь изменяет или сбрасывает пароль, такой пароль проверяется по этим спискам, чтобы принудительно использовать надежные пароли. | Microsoft 365 E3 или E5 | |
Включите Защита идентификации Microsoft Entra. Защита идентификации Microsoft Entra позволяет обнаруживать потенциальные уязвимости, влияющие на удостоверения вашей организации, и настраивать политику автоматического исправления на низкий, средний и высокий риск входа и риск пользователя. | Microsoft 365 E5 или Microsoft 365 E3 с надстройкой безопасности E5 | |
Включите современную проверку подлинности для Exchange Online и для Skype для бизнеса Online. Современная проверка подлинности является обязательным условием для использования MFA. Современная проверка подлинности включена по умолчанию для клиентов Office 2016 и 2019, SharePoint и OneDrive для бизнеса. | Microsoft 365 E3 или E5 | |
Включите оценку непрерывного доступа для идентификатора Microsoft Entra. Предварительная оценка непрерывного доступа прерывает активные сеансы пользователей и применяет изменения политики клиента практически в режиме реального времени. | Microsoft 365 E3 или E5 |
Рекомендуемые конфигурации клиентов
В этом разделе описываются конфигурации клиента платформы по умолчанию, которые мы рекомендуем предоставить пользователям лучший единый вход, а также технические предварительные требования для условного доступа.
Устройства Windows
Рекомендуется использовать Windows 11 или Windows 10 (версия 2004 или более поздней версии), так как Azure обеспечивает самый простой единый вход, который можно использовать как для локальной среды, так и для идентификатора Microsoft Entra. Рабочие или учебные устройства должны быть настроены для присоединения к идентификатору Microsoft Entra ID напрямую или, если организация использует присоединение к локальному домену AD, эти устройства должны быть настроены для автоматической и автоматической регистрации с помощью идентификатора Microsoft Entra.
Для устройств с Windows BYOD пользователи могут использовать рабочую или учебную учетную запись. Обратите внимание, что пользователям браузера Google Chrome на устройствах с Windows 11 или Windows 10 необходимо установить расширение , чтобы получить тот же режим плавного входа, что и пользователи Microsoft Edge. Кроме того, если у вашей организации есть присоединенные к домену устройства Windows 8 или 8.1, можно установить присоединение к Microsoft Workplace Join для компьютеров, отличных от Windows 10. Скачайте пакет, чтобы зарегистрировать устройства с помощью идентификатора Microsoft Entra.
Устройства iOS
Перед развертыванием политик условного доступа или MFA рекомендуется установить приложение Microsoft Authenticator на пользовательских устройствах. Как минимум, приложение должно быть установлено, когда пользователям предлагается зарегистрировать свое устройство с помощью идентификатора Microsoft Entra, добавив рабочую или учебную учетную запись, или при установке приложения корпоративного портала Intune для регистрации устройства в управление. Это зависит от настроенной политики условного доступа.
Устройства Android
Мы рекомендуем пользователям устанавливать приложение Корпоративный портал Intune и приложение Microsoft Authenticator перед развертыванием политик условного доступа или при необходимости при определенных попытках проверки подлинности. После установки приложения пользователи могут запросить регистрацию в Microsoft Entra ID или зарегистрировать свое устройство в Intune. Это зависит от настроенной политики условного доступа.
Мы также рекомендуем стандартизировать устройства, принадлежащие организации, на изготовителях оборудования и версиях, поддерживающих Android for Work или Samsung Knox, чтобы разрешить учетные записи электронной почты, управлять и защищаться политикой MDM Intune.
Рекомендуемые почтовые клиенты
Следующие клиенты электронной почты поддерживают современную проверку подлинности и условный доступ.
Платформа | Клиент | Версия и примечания |
---|---|---|
Windows | Outlook | 2019, 2016 |
iOS | Outlook для iOS | Последняя версия |
Android | Outlook для Android | Последняя версия |
macOS | Outlook | 2019 и 2016 |
Linux | Не поддерживается |
Рекомендуемые клиентские платформы при защите документов
При применении политики безопасных документов рекомендуется использовать следующие клиенты.
Платформа | Word/Excel/PowerPoint | OneNote | Приложение OneDrive | Приложение SharePoint | клиент приложение синхронизации OneDrive |
---|---|---|---|---|---|
Windows 11 или Windows 10 | Поддерживается | Поддерживается | Неприменимо | Неприменимо | Поддерживается |
Windows 8.1 | Поддерживается | Поддерживается | Неприменимо | Неприменимо | Поддерживается |
Android | Поддерживается | Поддерживаемые | Поддерживаемые | Поддерживается | Н/П |
iOS | Поддерживается | Поддерживаемые | Поддерживаемые | Поддерживается | Н/П |
macOS | Поддерживается | Поддерживается | Неприменимо | Неприменимо | Не поддерживается |
Linux | Не поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Не поддерживается |
Поддержка клиентов Microsoft 365
Дополнительные сведения о поддержке клиентов в Microsoft 365 см. в следующих статьях:
- Поддержка клиентского приложения Microsoft 365 — условный доступ
- Поддержка клиентских приложений Microsoft 365 — многофакторная проверка подлинности
Защита учетных записей администратора
Для Microsoft 365 E3 или E5 или с отдельными лицензиями Microsoft Entra ID P1 или P2 можно требовать MFA для учетных записей администраторов с помощью политики условного доступа вручную. Дополнительные сведения см. в разделе "Условный доступ: требуется MFA для администраторов ".
Для выпусков Microsoft 365 или Office 365, которые не поддерживают условный доступ, можно включить параметры безопасности по умолчанию , чтобы требовать MFA для всех учетных записей.
Ниже приведены некоторые дополнительные рекомендации.
- Используйте microsoft Entra управление привилегированными пользователями, чтобы уменьшить количество постоянных административных учетных записей.
- Используйте управление привилегированным доступом для защиты организации от нарушений, которые могут использовать существующие привилегированные учетные записи администратора с постоянным доступом к конфиденциальным данным или доступу к критически важным параметрам конфигурации.
- Создание и использование отдельных учетных записей, назначенных ролям администратора Microsoft 365 только для администрирования. Администраторы должны иметь собственную учетную запись пользователя для обычного неадминистрационного использования и использовать только учетную запись администратора при необходимости для выполнения задачи, связанной с их ролью или функцией задания.
- Следуйте рекомендациям по защите привилегированных учетных записей в идентификаторе Microsoft Entra.
Следующий шаг
Настройка общих политик удостоверений и доступа к устройству