Конфигурации доступа "Никому не доверяй" для удостоверений и устройств

  • Статья

Современному персоналу требуется доступ к приложениям и ресурсам, которые находятся за пределами традиционных корпоративных сетей. Архитектуры безопасности, использующие сетевые брандмауэры и виртуальные частные сети (VPN) для изоляции и ограничения доступа к ресурсам, больше не достаточно.

Для решения этого нового мира вычислений корпорация Майкрософт настоятельно рекомендует использовать модель безопасности "Никому не доверяй", которая основана на следующих руководящих принципах:

  • Проверка явным образом. Всегда выполняйте проверку подлинности и авторизуйтесь на основе всех доступных точек данных. В этой проверке политики удостоверений и доступа к устройствам имеют решающее значение для входа и текущей проверки.
  • Использование доступа с минимальными привилегиями. Ограничьте доступ пользователей с помощью JIT/JEA, адаптивных политик на основе рисков и защиты данных.
  • Предположим, что брейк. Сведите к минимуму радиус взрыва и доступ к сегментам. Проверьте сквозное шифрование и используйте аналитику, чтобы получить представление о ситуации, выявить угрозы и улучшить защиту.

Вот общая архитектура "Никому не доверяй":

Схема архитектуры

Политики "Никому не доверяй" удостоверений и доступа к устройствам отвечают на принцип явной проверки для следующих аспектов:

  • Удостоверения. Когда удостоверение пытается получить доступ к ресурсу, убедитесь, что это удостоверение с строгой проверкой подлинности и убедитесь, что запрошенный доступ соответствует требованиям и типичен.
  • Устройства (также называемые конечными точками): мониторинг и применение требований к работоспособности и соответствию устройств для безопасного доступа.
  • Приложения. Применяйте элементы управления и технологии для:
    • Обеспечьте соответствующие разрешения в приложении.
    • Управление доступом на основе аналитики в режиме реального времени.
    • Мониторинг аномального поведения
    • контролировать действия пользователей;
    • проверять параметры конфигурации безопасности.

В этой серии статей описывается набор конфигураций и политик доступа к удостоверениям и устройствам, использующих Microsoft Entra ID, условный доступ, Microsoft Intune и другие функции. Эти конфигурации и политики обеспечивают доступ "Никому не доверяй" к Microsoft 365 для корпоративных облачных приложений и служб, других служб SaaS и локальных приложений, опубликованных с помощью Microsoft Entra прокси приложения.

Параметры и политики для удостоверений и доступа к устройствам "Никому не доверяй" рекомендуется использовать на трех уровнях:

  • Отправная точка.
  • Предприятия.
  • Специализированная безопасность для сред с строго регулируемыми или классифицированными данными.

Эти уровни и соответствующие конфигурации обеспечивают согласованные уровни защиты "Никому не доверяй" для данных, удостоверений и устройств. Эти возможности и их рекомендации:

Если в вашей организации есть уникальные требования или сложности, используйте эти рекомендации в качестве отправной точки. Однако большинство организаций могут выполнять эти рекомендации в соответствии с предписаниями.

Просмотрите это видео, чтобы получить краткий обзор конфигураций удостоверений и доступа к устройствам для Microsoft 365 для предприятий.

Примечание.

Корпорация Майкрософт также продает лицензии Enterprise Mobility + Security (EMS) для Office 365 подписок. Возможности EMS E3 и EMS E5 эквивалентны возможностям в Microsoft 365 E3 и Microsoft 365 E5. Дополнительные сведения см. в разделе Планы EMS.

Целевая аудитория

Эти рекомендации предназначены для корпоративных архитекторов и ИТ-специалистов, знакомых с облачными службами и службами безопасности Microsoft 365. К этим службам относятся Microsoft Entra ID (удостоверение), Microsoft Intune (управление устройствами) и Защита информации Microsoft Purview (защита данных).

Клиентская среда

Рекомендуемые политики применимы к корпоративным организациям, работающим как полностью в облаке Майкрософт, так и для клиентов с гибридной инфраструктурой удостоверений. Гибридная структура идентификации — это лес локальная служба Active Directory, синхронизированный с Microsoft Entra ID.

Многие из наших рекомендаций основаны на службах, доступных только со следующими лицензиями:

  • Microsoft 365 E5.
  • Microsoft 365 E3 с надстройкой E5 Security.
  • EMS E5.
  • Microsoft Entra ID лицензий P2.

Для организаций, у которых нет этих лицензий, рекомендуется по крайней мере реализовать параметры безопасности по умолчанию, которые входят во все планы Microsoft 365.

Предостережения

В вашей организации могут применяться нормативные или другие требования к соответствию, включая конкретные рекомендации, требующие применения политик, отличающихся от рекомендуемых конфигураций. В этих конфигурациях рекомендуется использовать элементы управления, которые ранее не были доступны. Мы рекомендуем эти элементы управления, так как считаем, что они представляют собой баланс между безопасностью и производительностью.

Мы сделали все возможное, чтобы учесть широкий спектр требований к защите организации, но мы не можем учесть все возможные требования или все уникальные аспекты вашей организации.

Три уровня защиты

Большинство организаций предъявляет особые требования, касающиеся безопасности и защиты данных. Эти требования зависят от отраслевого сегмента и должностных обязанностей в организации. Например, вашему юридическому отделу и администраторам могут потребоваться дополнительные средства управления безопасностью и защитой информации для электронной почты, которые не требуются другим подразделениям.

Кроме того, в каждой отрасли существует собственный набор специализированных нормативных предписаний. Мы не пытаемся предоставить список всех возможных вариантов безопасности или рекомендации для каждого сегмента отрасли или функции задания. Вместо этого мы предоставляем рекомендации по трем уровням безопасности и защиты, которые можно применять в зависимости от детализации ваших потребностей.

  • Отправная точка. Мы рекомендуем всем клиентам установить и использовать минимальный стандарт для защиты данных, а также удостоверений и устройств, которые обращаются к вашим данным. Вы можете следовать этим рекомендациям, чтобы обеспечить надежную защиту по умолчанию в качестве отправной точки для всех организаций.
  • Enterprise. У некоторых клиентов есть подмножество данных, которые должны быть защищены на более высоких уровнях, или все данные должны быть защищены на более высоком уровне. Вы можете применить повышенную защиту ко всем или определенным наборам данных в среде Microsoft 365. Рекомендуется защищать удостоверения и устройства, обращающиеся к конфиденциальным данным, с помощью сравнимых уровней безопасности.
  • Специализированная безопасность. При необходимости некоторые клиенты имеют небольшой объем данных, которые строго классифицируются, составляют коммерческую тайну или регулируются. Корпорация Майкрософт предоставляет возможности, помогающие этим клиентам соответствовать этим требованиям, включая дополнительную защиту удостоверений и устройств.

Конус безопасности

В этом руководстве показано, как реализовать защиту "Никому не доверяй" для удостоверений и устройств для каждого из этих уровней защиты. Используйте это руководство как минимум для своей организации и измените политики в соответствии с конкретными требованиями вашей организации.

Важно использовать согласованные уровни защиты удостоверений, устройств и данных. Например, защита пользователей с приоритетными учетными записями, таких как руководители, руководители, руководители и другие, должна включать тот же уровень защиты для их удостоверений, устройств и данных, к которым они обращаются.

Кроме того, см. решение о развертывании защиты информации для конфиденциальности данных для защиты информации, хранящейся в Microsoft 365.

Баланс между безопасностью и производительностью

Реализация любой стратегии безопасности требует компромиссов между безопасностью и производительностью. Полезно оценить, как каждое решение влияет на баланс безопасности, функциональности и простоты использования.

Триада

Представленные рекомендации основаны на следующих принципах:

  • Знайте своих пользователей и будьте гибкими в соответствии с их требованиями к безопасности и функциональности.
  • Применяйте политику безопасности точно в срок и убедитесь, что она имеет смысл.

Службы и основные понятия для защиты удостоверений и доступа к устройствам

Microsoft 365 для предприятий предназначен для крупных организаций, чтобы дать всем возможность творчески и безопасно работать вместе.

В этом разделе представлены общие сведения о службах и возможностях Microsoft 365, важных для удостоверений и доступа к устройствам без доверия.

Microsoft Entra ID

Microsoft Entra ID предоставляет полный набор возможностей управления удостоверениями. Мы рекомендуем использовать эти возможности для защиты доступа.

Возможность или функция Описание Лицензирование
Многофакторная проверка подлинности (MFA) MFA требует, чтобы пользователи предоставляли две формы проверки, например пароль пользователя и уведомление из приложения Microsoft Authenticator или телефонный звонок. Многофакторная проверка подлинности значительно снижает риск использования украденных учетных данных для доступа к вашей среде. Microsoft 365 использует службу многофакторной проверки подлинности Microsoft Entra для входа на основе MFA. Microsoft 365 E3 или E5
Условный доступ Microsoft Entra ID оценивает условия входа пользователя и использует политики условного доступа для определения разрешенного доступа. Например, в этом руководстве показано, как создать политику условного доступа, чтобы требовать соответствия устройств для доступа к конфиденциальным данным. Это значительно снижает риск того, что хакер с собственным устройством и украденными учетными данными сможет получить доступ к конфиденциальным данным. Он также защищает конфиденциальные данные на устройствах, так как устройства должны соответствовать определенным требованиям к работоспособности и безопасности. Microsoft 365 E3 или E5
группы Microsoft Entra Политики условного доступа, управление устройствами с Intune и даже разрешения для файлов и сайтов в организации зависят от назначения учетным записям пользователей или Microsoft Entra группам. Рекомендуется создавать Microsoft Entra группы, соответствующие уровням защиты, которые вы реализуете. Например, ваши руководители, скорее всего, являются более ценными целевыми объектами для хакеров. Поэтому имеет смысл добавить учетные записи пользователей этих сотрудников в группу Microsoft Entra и назначить эту группу политикам условного доступа и другим политикам, обеспечивающим более высокий уровень защиты доступа. Microsoft 365 E3 или E5
Регистрация устройства Вы регистрируете устройство в Microsoft Entra ID, чтобы создать удостоверение для устройства. Это удостоверение используется для проверки подлинности устройства при входе пользователя и применения политик условного доступа, требующих присоединенных к домену или соответствующих требованиям компьютеров. В этом руководстве мы используем регистрацию устройств для автоматической регистрации компьютеров Windows, присоединенных к домену. Регистрация устройств является необходимым условием для управления устройствами с помощью Intune. Microsoft 365 E3 или E5
Защита Microsoft Entra ID Позволяет обнаруживать потенциальные уязвимости, влияющие на удостоверения организации, и настраивать политику автоматического исправления с низким, средним и высоким риском входа и риска пользователей. В этом руководстве эта оценка риска основана на применении политик условного доступа для многофакторной проверки подлинности. Это руководство также включает политику условного доступа, которая требует, чтобы пользователи меняли свой пароль при обнаружении действий с высоким риском для их учетной записи. Microsoft 365 E5, Microsoft 365 E3 с надстройкой "Безопасность E5", лицензиями EMS E5 или Microsoft Entra ID P2
Самостоятельный сброс пароля (SSPR) Разрешите пользователям безопасно и без вмешательства службы поддержки сбрасывать пароли, проверив несколько методов проверки подлинности, которыми может управлять администратор. Microsoft 365 E3 или E5
защита паролем Microsoft Entra Обнаруживайте и блокируйте известные ненадежные пароли и их варианты, а также дополнительные слабые термины, характерные для вашей организации. Глобальные списки запрещенных паролей по умолчанию автоматически применяются ко всем пользователям в клиенте Microsoft Entra. Дополнительные элементы можно определить в настраиваемом списке заблокированных паролей. При изменении или сбросе паролей пользователями эти списки заблокированных паролей проверяются с целью обеспечения использования надежных паролей. Microsoft 365 E3 или E5

Ниже приведены компоненты удостоверений и доступа к устройствам, включая Intune и Microsoft Entra объекты, параметры и подслужбы.

Компоненты удостоверений и доступа к устройствам

Microsoft Intune

Intune — это облачная служба управления мобильными устройствами Майкрософт. В этом руководстве рекомендуется управлять устройствами на компьютерах с Windows с Intune и рекомендуется использовать конфигурации политики соответствия устройств. Intune определяет, соответствуют ли устройства требованиям, и отправляет эти данные Microsoft Entra ID для использования при применении политик условного доступа.

защита приложений Intune

Intune политики защиты приложений можно использовать для защиты данных организации в мобильных приложениях с регистрацией устройств в управлении или без нее. Intune помогает защитить информацию, убедиться, что ваши сотрудники по-прежнему могут быть продуктивными, и предотвратить потерю данных. Реализуя политики на уровне приложений, вы можете ограничить доступ к ресурсам компании и сохранить данные в пределах контроля ИТ-отдела.

В этом руководстве показано, как создать рекомендуемые политики для принудительного использования утвержденных приложений и определить, как эти приложения можно использовать с бизнес-данными.

Microsoft 365

В этом руководстве показано, как реализовать набор политик для защиты доступа к облачным службам Microsoft 365, включая Microsoft Teams, Exchange, SharePoint и OneDrive. Помимо реализации этих политик, мы рекомендуем также повысить уровень защиты клиента с помощью следующих ресурсов:

Windows 11 или Windows 10 с Приложения Microsoft 365 для предприятий

Windows 11 или Windows 10 с Приложения Microsoft 365 для предприятий является рекомендуемой клиентской средой для компьютеров. Мы рекомендуем Windows 11 или Windows 10, так как Microsoft Entra предназначена для обеспечения максимальной плавности работы как в локальной среде, так и для Microsoft Entra ID. Windows 11 или Windows 10 также включает расширенные возможности безопасности, которыми можно управлять с помощью Intune. Приложения Microsoft 365 для предприятий включает последние версии приложений Office. Они используют современную проверку подлинности, которая является более безопасной и требует условного доступа. Эти приложения также включают расширенные средства обеспечения соответствия требованиям и безопасности.

Применение этих возможностей на трех уровнях защиты

В следующей таблице приведены рекомендации по использованию этих возможностей на трех уровнях защиты.

Механизм защиты Отправная точка Корпоративная Специализированная безопасность
Применять MFA При среднем или более высоком уровне риска при входе При низком или более высоком уровне риска при входе Для всех новых сеансов
Принудительное изменение пароля Для пользователей с высоким риском Для пользователей с высоким риском Для пользователей с высоким риском
Принудительное применение защиты приложений Intune Да Да Да
Принудительное Intune регистрации для устройства, принадлежащей организации Требуется компьютер, соответствующий требованиям или присоединенный к домену, но разрешите использование собственных устройств (BYOD) телефонов и планшетов Требовать соответствующее устройство или устройство, присоединенное к домену Требовать соответствующее устройство или устройство, присоединенное к домену

Владение устройствами

В приведенной выше таблице отражена тенденция для многих организаций к поддержке сочетания устройств, принадлежащих организации, и личных или BYOD для обеспечения производительности мобильных устройств для сотрудников. Intune политики защиты приложений гарантируют, что электронная почта защищена от эксфильтрации из мобильного приложения Outlook и других мобильных приложений Office как на устройствах, принадлежащих организации, так и в идентификаторах BYOD.

Для применения дополнительных мер защиты и контроля рекомендуется управлять устройствами, принадлежащими организации, Intune или присоединенными к домену. В зависимости от конфиденциальности данных ваша организация может запретить использование идентификаторов BYOD для конкретных пользователей или определенных приложений.

Развертывание и приложения

Перед настройкой и развертыванием конфигурации удостоверений и доступа к устройствам для Microsoft Entra интегрированных приложений необходимо:

  • Определите, какие приложения используются в вашей организации, которые вы хотите защитить.

  • Проанализируйте этот список приложений, чтобы определить наборы политик, которые обеспечивают соответствующие уровни защиты.

    Не следует создавать отдельные наборы политик для каждого приложения, так как управление ими может стать громоздким. Корпорация Майкрософт рекомендует группировать приложения с одинаковыми требованиями к защите для одних и те же пользователей.

    Например, у вас есть один набор политик, включающих все приложения Microsoft 365 для всех пользователей для защиты от начальной точки. Используйте второй набор политик для всех конфиденциальных приложений, например тех, которые используются отделами кадров или финансов, и примените их к этим группам.

Определив набор политик для приложений, которые вы хотите защитить, постепенно развертывайте политики для пользователей, устраняя проблемы. Например:

  1. Настройте политики, которые вы планируете использовать для всех приложений Microsoft 365.
  2. Добавьте только Exchange с необходимыми изменениями, разверните политики для пользователей и поработайте над любыми проблемами.
  3. Добавьте Teams с необходимыми изменениями, разверните политики для пользователей и поработайте над любыми проблемами.
  4. Добавьте SharePoint с необходимыми изменениями, разверните политики для пользователей и поработайте над любыми проблемами.
  5. Продолжайте добавлять остальные приложения, пока не сможете уверенно настроить эти политики начальной точки для включения всех приложений Microsoft 365.

Аналогичным образом, для конфиденциальных приложений создайте набор политик и добавьте по одному приложению за раз. Устраняйте любые проблемы, пока все они не будут включены в набор политик конфиденциального приложения.

Корпорация Майкрософт рекомендует не создавать наборы политик, которые применяются ко всем приложениям, так как это может привести к возникновению некоторых непреднамеренных конфигураций. Например, политики, которые блокируют все приложения, могут блокировать администраторов из Центр администрирования Microsoft Entra и исключения не могут быть настроены для важных конечных точек, таких как Microsoft Graph.

Действия по настройке удостоверения "Никому не доверяй" и доступа к устройству

Действия по настройке удостоверений и доступа к устройству

  1. Настройте необходимые функции идентификации и их параметры.
  2. Настройте общие политики условного доступа к удостоверениям и доступу.
  3. Настройка политик условного доступа для гостевых и внешних пользователей.
  4. Настройте политики условного доступа для облачных приложений Microsoft 365, таких как Microsoft Teams, Exchange и SharePoint, а также политики Microsoft Defender for Cloud Apps.

После настройки удостоверений и доступа к устройствам с Microsoft Entra см. пошаговое руководство по развертыванию компонентов, в которых содержится поэтапный контрольный список дополнительных функций для рассмотрения и Управление Microsoft Entra ID для защиты, мониторинга и аудита доступа.

Следующее действие

Предварительные требования для реализации политик удостоверений и доступа к устройствам