Предварительные требования для реализации политик удостоверений и доступа к устройствам
В этой статье описаны предварительные требования, которые должны соблюдать администраторы для использования рекомендуемых политик доступа к удостоверениям и устройствам без доверия, а также для использования условного доступа. В ней также рассматриваются рекомендуемые значения по умолчанию для настройки клиентских платформ для оптимального единого входа.
Предварительные условия
Прежде чем использовать рекомендуемые политики доступа к удостоверениям и устройствам без доверия, ваша организация должна соответствовать предварительным требованиям. Требования отличаются для различных моделей идентификации и проверки подлинности, перечисленных:
- Только облако
- Гибридное использование проверки подлинности с синхронизацией хэша паролей (PHS)
- Гибридная среда с сквозной проверкой подлинности (PTA)
- Федеративного
В следующей таблице описаны необходимые компоненты и их конфигурация, которые применяются ко всем моделям удостоверений, за исключением указанных случаев.
| Конфигурация | Исключения | Лицензирование |
|---|---|---|
| Настройка PHS. Эту функцию необходимо включить, чтобы обнаруживать утечку учетных данных и действовать с ними при условном доступе на основе рисков. Примечание: Это необходимо независимо от того, использует ли ваша организация федеративную проверку подлинности. | Только облако | Microsoft 365 E3 или E5 |
| Включите простой единый вход для автоматического входа пользователей, когда они находятся на устройствах организации, подключенных к сети организации. | Только облако и федеративные | Microsoft 365 E3 или E5 |
| Настройка именованных расположений. Защита Microsoft Entra ID собирает и анализирует все доступные данные сеанса для создания оценки риска. Рекомендуется указать общедоступные диапазоны IP-адресов вашей организации для сети в конфигурации Microsoft Entra ID именованных расположений. Трафику, поступающему из этих диапазонов, присваивается сниженная оценка риска, а трафику извне среды организации — более высокая оценка риска. | Microsoft 365 E3 или E5 | |
| Зарегистрируйте всех пользователей для самостоятельного сброса пароля (SSPR) и многофакторной проверки подлинности (MFA). Рекомендуется заранее зарегистрировать пользователей для Microsoft Entra многофакторной проверки подлинности. Защита Microsoft Entra ID использует Microsoft Entra многофакторную проверку подлинности для выполнения дополнительной проверки безопасности. Кроме того, для оптимального входа мы рекомендуем пользователям устанавливать приложение Microsoft Authenticator и приложение Microsoft Корпоративный портал на своих устройствах. Их можно установить из магазина приложений для каждой платформы. | Microsoft 365 E3 или E5 | |
| Спланируйте реализацию гибридного соединения Microsoft Entra. Условный доступ гарантирует, что устройства, подключающиеся к приложениям, присоединены к домену или соответствуют требованиям. Для поддержки этого на компьютерах с Windows устройство должно быть зарегистрировано в Microsoft Entra ID. В этой статье описывается настройка автоматической регистрации устройств. | Только облако | Microsoft 365 E3 или E5 |
| Подготовьте группу поддержки. У вас есть план для пользователей, которые не могут завершить MFA. Это может быть добавление их в группу исключений политики или регистрация новых сведений О MFA для них. Перед внесением любого из этих изменений, чувствительных к безопасности, необходимо убедиться, что фактический пользователь выполняет запрос. Требовать от руководителей пользователей помощи с утверждением является эффективным шагом. | Microsoft 365 E3 или E5 | |
| Настройте обратную запись паролей в локальной службе AD. Обратная запись паролей позволяет Microsoft Entra ID требовать от пользователей изменения локальных паролей при обнаружении компрометации учетной записи с высоким риском. Эту функцию можно включить с помощью Microsoft Entra Connect одним из двух способов: включить обратную запись паролей на экране дополнительных функций настройки Microsoft Entra Connect или включить ее с помощью Windows PowerShell. | Только облако | Microsoft 365 E3 или E5 |
| Настройка защиты Microsoft Entra паролем. Microsoft Entra защита паролем обнаруживает и блокирует известные ненадежные пароли и их варианты, а также может блокировать дополнительные слабые термины, характерные для вашей организации. Глобальные списки запрещенных паролей по умолчанию автоматически применяются ко всем пользователям в клиенте Microsoft Entra. Дополнительные элементы можно определить в настраиваемом списке заблокированных паролей. При изменении или сбросе паролей пользователями эти списки заблокированных паролей проверяются с целью обеспечения использования надежных паролей. | Microsoft 365 E3 или E5 | |
| Включите Защита Microsoft Entra ID. Защита Microsoft Entra ID позволяет обнаруживать потенциальные уязвимости, влияющие на удостоверения вашей организации, и настраивать политику автоматического исправления с низким, средним и высоким риском входа и рисками для пользователей. | Microsoft 365 E5 или Microsoft 365 E3 с помощью надстройки E5 Security | |
| Включите современную проверку подлинности для Exchange Online и для Skype для бизнеса Online. Современная проверка подлинности является необходимым условием для использования MFA. Современная проверка подлинности включена по умолчанию для клиентов Office 2016 и 2019, SharePoint и OneDrive для бизнеса. | Microsoft 365 E3 или E5 | |
| Включите непрерывную оценку доступа для Microsoft Entra ID. Непрерывная оценка доступа заблаговременно завершает активные сеансы пользователей и применяет изменения политики клиента практически в режиме реального времени. | Microsoft 365 E3 или E5 |
Рекомендуемые конфигурации клиента
В этом разделе описаны конфигурации клиентов платформы по умолчанию, которые мы рекомендуем предоставить пользователям лучший единый вход, а также технические требования для условного доступа.
Устройства с Windows
Рекомендуется Windows 11 или Windows 10 (версии 2004 или более поздней), так как Azure предназначена для обеспечения максимально простого единого входа как для локальной, так и для Microsoft Entra ID. Рабочие или учебные устройства должны быть настроены для присоединения Microsoft Entra ID напрямую. Если организация использует локальное присоединение к домену AD, эти устройства должны быть настроены на автоматическую и автоматическую регистрацию с помощью Microsoft Entra ID.
Для устройств BYOD с Windows пользователи могут использовать добавление рабочей или учебной учетной записи. Обратите внимание, что пользователям браузера Google Chrome на Windows 11 или Windows 10 устройствах необходимо установить расширение, чтобы обеспечить такой же плавный вход, как и для пользователей Microsoft Edge. Кроме того, если в вашей организации есть присоединенные к домену устройства Windows 8 или 8.1, вы можете установить Microsoft Workplace Join для компьютеров, не Windows 10. Скачайте пакет, чтобы зарегистрировать устройства с помощью Microsoft Entra ID.
Устройства iOS
Мы рекомендуем установить приложение Microsoft Authenticator на пользовательских устройствах перед развертыванием политик условного доступа или MFA. Как минимум, приложение должно устанавливаться, когда пользователям предлагается зарегистрировать свое устройство в Microsoft Entra ID путем добавления рабочей или учебной учетной записи или при установке приложения Intune корпоративного портала для регистрации устройства в управлении. Это зависит от настроенной политики условного доступа.
устройства Android,
Мы рекомендуем пользователям установить приложение Корпоративный портал Intune и приложение Microsoft Authenticator перед развертыванием политик условного доступа или при необходимости во время определенных попыток проверки подлинности. После установки приложения пользователям может быть предложено зарегистрироваться в Microsoft Entra ID или зарегистрировать свое устройство с помощью Intune. Это зависит от настроенной политики условного доступа.
Мы также рекомендуем стандартизировать устройства, принадлежащие организации, на изготовителях оборудования и версиях, поддерживающих Android for Work или Samsung Knox, чтобы разрешить управление учетными записями почты и их защиту с помощью политики MDM Intune.
Рекомендуемые почтовые клиенты
Следующие почтовые клиенты поддерживают современную проверку подлинности и условный доступ.
| Платформа | Клиент | Версия и заметки |
|---|---|---|
| Windows | Outlook | 2019, 2016 |
| iOS | Outlook для iOS | Последнее |
| Android | Outlook для Android | Последнее |
| macOS | Outlook | 2019 и 2016 |
| Linux | Не поддерживается |
Рекомендуемые клиентские платформы при защите документов
При применении политики безопасных документов рекомендуется использовать следующие клиенты.
| Платформа | Word,Excel/PowerPoint | OneNote | Приложение OneDrive | Приложение SharePoint | Клиент синхронизации OneDrive |
|---|---|---|---|---|---|
| Windows 11 или Windows 10 | Поддерживается | Поддерживается | Н/Д | Н/Д | Поддерживается |
| Windows 8.1 | Поддерживается | Поддерживается | Н/Д | Н/Д | Поддерживается |
| Android | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Н/Д |
| iOS | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Недоступно |
| macOS | Поддерживается | Поддерживается | Н/Д | Н/Д | Не поддерживается |
| Linux | Не поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Не поддерживается |
Служба поддержки клиентов Microsoft 365
Дополнительные сведения о поддержке клиентов в Microsoft 365 см. в следующих статьях:
- Поддержка клиентских приложений Microsoft 365 — условный доступ
- Поддержка клиентских приложений Microsoft 365 — многофакторная проверка подлинности
Защита учетных записей администратора
Для Microsoft 365 E3 или E5 или с отдельными лицензиями Microsoft Entra ID P1 или P2 можно требовать MFA для учетных записей администратора с помощью политики условного доступа, созданной вручную. Дополнительные сведения см. в разделе Условный доступ: требовать MFA для администраторов .
Для выпусков Microsoft 365 или Office 365, которые не поддерживают условный доступ, можно включить параметры безопасности по умолчанию, чтобы требовать многофакторную проверку подлинности для всех учетных записей.
Ниже приведены некоторые дополнительные рекомендации.
- Используйте Microsoft Entra управление привилегированными пользователями для сокращения числа постоянных административных учетных записей.
- Используйте управление привилегированным доступом для защиты организации от нарушений, которые могут использовать существующие учетные записи привилегированных администраторов с постоянным доступом к конфиденциальным данным или к критически важным параметрам конфигурации.
- Create и используйте отдельные учетные записи, которым назначены роли администратора Microsoft 365только для администрирования. Администраторы должны иметь собственную учетную запись пользователя для обычного использования без прав администратора и использовать учетную запись администратора только при необходимости для выполнения задачи, связанной с их ролью или функцией задания.
- Следуйте рекомендациям по защите привилегированных учетных записей в Microsoft Entra ID.
Следующее действие
Настройка общих политик доступа к удостоверениям и устройствам без доверия
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по