Защита доступа пользователей и устройств

  • Статья

Защита доступа к данным и службам Microsoft 365 имеет решающее значение для защиты от кибератак и защиты от потери данных. Те же меры защиты можно применять к другим приложениям SaaS в вашей среде и даже к локальным приложениям, опубликованным с Microsoft Entra прокси приложения.

Совет

Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.

Шаг 1. Просмотр рекомендаций

Рекомендуемые возможности для защиты удостоверений и устройств, которые обращаются к Office 365, другим службам SaaS и локальным приложениям, опубликованным с помощью Microsoft Entra прокси приложения.

PDF | Visio | Другие языки

Шаг 2. Защита учетных записей администратора и доступа

Учетные записи администратора, используемые для администрирования среды Microsoft 365, включают повышенные привилегии. Это ценные цели для хакеров и кибератак.

Начните с использования учетных записей администратора только для администрирования. Администраторы должны иметь отдельную учетную запись пользователя для регулярного использования без прав администратора и использовать свою учетную запись администратора только при необходимости для выполнения задачи, связанной с их функцией задания.

Защитите учетные записи администратора с помощью многофакторной проверки подлинности и условного доступа. Дополнительные сведения см. в разделе Защита учетных записей администратора.

Затем настройте Microsoft Purview Privileged Access Management. Управление привилегированным доступом обеспечивает точное управление доступом к привилегированным задачам администрирования в Office 365 Это поможет защитить вашу организацию от нарушений, которые могут использовать существующие учетные записи привилегированных администраторов с постоянным доступом к конфиденциальным данным или доступом к критически важным параметрам конфигурации.

Кроме того, рекомендуется использовать рабочие станции, специально настроенные для административной работы. Это выделенные устройства, которые используются только для административных задач. См . раздел Защита привилегированного доступа.

Наконец, вы можете устранить последствия непреднамеренного отсутствия административного доступа, создав в клиенте две или более учетных записей аварийного доступа. См. статью Управление учетными записями аварийного доступа в Microsoft Entra id.

Многофакторная проверка подлинности (MFA) и политики условного доступа — это мощные средства для защиты от скомпрометированных учетных записей и несанкционированного доступа. Рекомендуется реализовать набор политик, которые были протестированы вместе. Дополнительные сведения, включая этапы развертывания, см. в разделе Конфигурации доступа к удостоверениям и устройствам.

Эти политики реализуют следующие возможности:

  • Многофакторная проверка подлинности
  • Условный доступ
  • Защита приложений Intune (защита приложений и данных для устройств)
  • Соответствие устройств Intune требованиям
  • Защита Microsoft Entra ID

Для реализации соответствия устройств Intune требуется регистрация устройства. Управление устройствами позволяет убедиться, что они работоспособны и соответствуют требованиям, прежде чем предоставлять им доступ к ресурсам в вашей среде. См. раздел Регистрация устройств для управления в Intune.

Шаг 4. Настройка политик доступа к устройствам SharePoint

Корпорация Майкрософт рекомендует защищать содержимое на сайтах SharePoint конфиденциальным и строго регулируемым с помощью элементов управления доступом к устройствам. Дополнительные сведения см. в статье Рекомендации по политике для защиты сайтов и файлов SharePoint.