Dela via

Nolltillit konfigurationer för identitets- och enhetsåtkomst

  • Artikel

Dagens personal kräver åtkomst till program och resurser som finns utanför traditionella företagsnätverksgränser. Säkerhetsarkitekturer som förlitar sig på nätverksbrandväggar och virtuella privata nätverk (VPN) för att isolera och begränsa åtkomsten till resurser räcker inte längre.

För att hantera denna nya värld av databehandling rekommenderar Microsoft starkt Nolltillit säkerhetsmodell, som baseras på dessa vägledande principer:

  • Verifiera explicit: Autentisera och auktorisera alltid baserat på alla tillgängliga datapunkter. Den här verifieringen är den plats där Nolltillit principer för identitets- och enhetsåtkomst är avgörande för inloggning och kontinuerlig validering.
  • Använd åtkomst med minst behörighet: Begränsa användaråtkomst med JIT/JEA (Just-In-Time och Just-Enough-Access), riskbaserade adaptiva principer och dataskydd.
  • Anta intrång: Minimera explosionsradie och segmentåtkomst. Verifiera kryptering från slutpunkt till slutpunkt och använd analys för att få synlighet, driva hotidentifiering och förbättra skyddet.

Här är den övergripande arkitekturen för Nolltillit:

Diagram som visar Microsoft Nolltillit arkitektur.

Nolltillit principer för identitets- och enhetsåtkomst hanterar Verifiera uttryckligen vägledande princip för:

  • Identiteter: När en identitet försöker komma åt en resurs kontrollerar du den identiteten med stark autentisering och ser till att begärd åtkomst är kompatibel och typisk.
  • Enheter (kallas även slutpunkter): Övervaka och framtvinga enhetens hälso- och efterlevnadskrav för säker åtkomst.
  • Program: Använd kontroller och tekniker för att:
    • Se till att du har rätt behörigheter i appen.
    • Kontrollera åtkomst baserat på realtidsanalys.
    • Övervaka för onormalt beteende
    • Kontrollera användaråtgärder.
    • Verifiera säkra konfigurationsalternativ.

Den här serien med artiklar beskriver en uppsättning konfigurationer och principer för identitets- och enhetsåtkomst med hjälp av Microsoft Entra-ID, villkorsstyrd åtkomst, Microsoft Intune och andra funktioner. Dessa konfigurationer och principer ger Nolltillit åtkomst till Microsoft 365 för företagsmolnappar och -tjänster, andra SaaS-tjänster och lokala program som publiceras med Microsoft Entra-programproxy.

Nolltillit inställningar och principer för identitets- och enhetsåtkomst rekommenderas på tre nivåer:

  • Utgångspunkt.
  • Företag.
  • Specialiserad säkerhet för miljöer med strikt reglerade eller klassificerade data.

Dessa nivåer och deras motsvarande konfigurationer ger konsekventa nivåer av Nolltillit skydd för dina data, identiteter och enheter. Dessa funktioner och deras rekommendationer:

Om din organisation har unika krav eller komplexiteter använder du dessa rekommendationer som utgångspunkt. De flesta organisationer kan dock implementera dessa rekommendationer enligt anvisningarna.

Titta på den här videon för en snabb översikt över konfigurationer för identitets- och enhetsåtkomst för Microsoft 365 för företag.

Kommentar

Microsoft säljer även EMS-licenser (Enterprise Mobility + Security) för Office 365-prenumerationer. FUNKTIONERNA EMS E3 och EMS E5 motsvarar funktionerna i Microsoft 365 E3 och Microsoft 365 E5. Mer information finns i EMS-planer.

Målgrupp

Dessa rekommendationer är avsedda för företagsarkitekter och IT-proffs som är bekanta med Microsoft 365-molnproduktivitet och säkerhetstjänster. Dessa tjänster omfattar Microsoft Entra ID (identitet), Microsoft Intune (enhetshantering) och Microsoft Purview Information Protection (dataskydd).

Kundmiljö

De rekommenderade principerna gäller för företagsorganisationer som arbetar både helt i Microsoft-molnet och för kunder med hybrididentitetsinfrastruktur. En hybrididentitetsstruktur är en lokal Active Directory skog som synkroniseras med Microsoft Entra-ID.

Många av våra rekommendationer är beroende av tjänster som endast är tillgängliga med följande licenser:

  • Microsoft 365 E5.
  • Microsoft 365 E3 med tillägget E5-säkerhet.
  • EMS E5.
  • Microsoft Entra ID P2-licenser.

För organisationer som inte har dessa licenser rekommenderar vi att du åtminstone implementerar säkerhetsstandarder som ingår i alla Microsoft 365-abonnemang.

Varningar

Din organisation kan omfattas av regelkrav eller andra efterlevnadskrav, inklusive specifika rekommendationer som kräver att du tillämpar principer som avviker från dessa rekommenderade konfigurationer. Dessa konfigurationer rekommenderar användningskontroller som inte har varit tillgängliga tidigare. Vi rekommenderar dessa kontroller eftersom vi anser att de utgör en balans mellan säkerhet och produktivitet.

Vi har gjort vårt bästa för att ta hänsyn till en mängd olika organisationsskyddskrav, men vi kan inte ta hänsyn till alla möjliga krav eller för alla unika aspekter av din organisation.

Tre skyddsnivåer

De flesta organisationer har specifika krav på säkerhet och dataskydd. Dessa krav varierar beroende på branschsegment och jobbfunktioner inom organisationer. Din juridiska avdelning och dina administratörer kan till exempel kräva ytterligare säkerhets- och informationsskyddskontroller kring e-postkorrespondens som inte krävs för andra affärsenheter.

Varje bransch har också en egen uppsättning specialiserade regler. Vi försöker inte ange en lista över alla möjliga säkerhetsalternativ eller en rekommendation per branschsegment eller jobbfunktion. I stället ger vi rekommendationer för tre nivåer av säkerhet och skydd som kan tillämpas baserat på kornigheten för dina behov.

  • Startpunkt: Vi rekommenderar att alla kunder etablerar och använder en minimistandard för att skydda data, samt identiteter och enheter som har åtkomst till dina data. Du kan följa dessa rekommendationer för att ge starkt standardskydd som utgångspunkt för alla organisationer.
  • Företag: Vissa kunder har en delmängd data som måste skyddas på högre nivåer, eller så måste alla data skyddas på en högre nivå. Du kan använda utökat skydd för alla eller specifika datamängder i din Microsoft 365-miljö. Vi rekommenderar att du skyddar identiteter och enheter som har åtkomst till känsliga data med jämförbara säkerhetsnivåer.
  • Specialiserad säkerhet: Vid behov har några kunder en liten mängd data som är högklassificerade, utgör affärshemligheter eller regleras. Microsoft tillhandahåller funktioner som hjälper dessa kunder att uppfylla dessa krav, inklusive extra skydd för identiteter och enheter.

Skärmbild av säkerhetskonen som visar kundintervallet.

Den här vägledningen visar hur du implementerar Nolltillit skydd för identiteter och enheter för var och en av dessa skyddsnivåer. Använd den här vägledningen som ett minimum för din organisation och justera principerna så att de uppfyller organisationens specifika krav.

Det är viktigt att använda konsekventa skyddsnivåer för dina identiteter, enheter och data. Till exempel bör skyddet för användare med prioritetskonton – till exempel chefer, ledare, chefer och andra – omfatta samma skyddsnivå för deras identiteter, deras enheter och de data som de har åtkomst till.

Se dessutom lösningen Distribuera informationsskydd för dataskyddsregler för att skydda information som lagras i Microsoft 365.

Kompromisser för säkerhet och produktivitet

Att implementera en säkerhetsstrategi kräver kompromisser mellan säkerhet och produktivitet. Det är användbart att utvärdera hur varje beslut påverkar balansen mellan säkerhet, funktionalitet och användarvänlighet.

Säkerhetstriaden balanserar säkerhet, funktioner och användarvänlighet

Rekommendationerna baseras på följande principer:

  • Känna dina användare och var flexibel för deras säkerhet och funktionskrav.
  • Tillämpa en säkerhetsprincip precis i tid och se till att den är meningsfull.

Tjänster och begrepp för Nolltillit identitets- och enhetsåtkomstskydd

Microsoft 365 för företag är utformat för stora organisationer för att ge alla möjlighet att vara kreativa och arbeta tillsammans på ett säkert sätt.

Det här avsnittet innehåller en översikt över De Microsoft 365-tjänster och funktioner som är viktiga för Nolltillit identitets- och enhetsåtkomst.

Microsoft Entra ID

Microsoft Entra ID tillhandahåller en fullständig uppsättning funktioner för identitetshantering. Vi rekommenderar att du använder dessa funktioner för att skydda åtkomsten.

Funktion eller funktion beskrivning Licensiering
Multifaktorautentisering (MFA) MFA kräver att användarna tillhandahåller två former av verifiering, till exempel ett användarlösenord plus ett meddelande från Microsoft Authenticator-appen eller ett telefonsamtal. MFA minskar avsevärt risken för att stulna autentiseringsuppgifter kan användas för att komma åt din miljö. Microsoft 365 använder multifaktorautentiseringstjänsten Microsoft Entra för MFA-baserade inloggningar. Microsoft 365 E3 eller E5
Villkorlig åtkomst Microsoft Entra-ID utvärderar villkoren för användarens inloggning och använder principer för villkorsstyrd åtkomst för att fastställa tillåten åtkomst. I den här vägledningen visar vi till exempel hur du skapar en princip för villkorsstyrd åtkomst för att kräva enhetsefterlevnad för åtkomst till känsliga data. Detta minskar avsevärt risken för att en hackare med egen enhet och stulna autentiseringsuppgifter kan komma åt dina känsliga data. Den skyddar även känsliga data på enheterna eftersom enheterna måste uppfylla specifika krav för hälsa och säkerhet. Microsoft 365 E3 eller E5
Microsoft Entra-grupper Principer för villkorlig åtkomst, enhetshantering med Intune och även behörigheter till filer och webbplatser i din organisation förlitar sig på tilldelningen till användarkonton eller Microsoft Entra-grupper. Vi rekommenderar att du skapar Microsoft Entra-grupper som motsvarar de skyddsnivåer som du implementerar. Till exempel är din verkställande personal sannolikt högre värdemål för hackare. Därför är det klokt att lägga till användarkonton för dessa anställda i en Microsoft Entra-grupp och tilldela den här gruppen till principer för villkorsstyrd åtkomst och andra principer som tillämpar en högre skyddsnivå för åtkomst. Microsoft 365 E3 eller E5
Enhetsregistrering Du registrerar en enhet i Microsoft Entra-ID för att skapa en identitet för enheten. Den här identiteten används för att autentisera enheten när en användare loggar in och för att tillämpa principer för villkorlig åtkomst som kräver domänanslutna eller kompatibla datorer. För den här vägledningen använder vi enhetsregistrering för att automatiskt registrera domänanslutna Windows-datorer. Enhetsregistrering är en förutsättning för att hantera enheter med Intune. Microsoft 365 E3 eller E5
Microsoft Entra ID Protection Gör att du kan identifiera potentiella sårbarheter som påverkar organisationens identiteter och konfigurera automatiserad reparationsprincip till låg, medelhög och hög inloggningsrisk och användarrisk. Den här vägledningen bygger på den här riskbedömningen för att tillämpa principer för villkorsstyrd åtkomst för multifaktorautentisering. Den här vägledningen innehåller också en princip för villkorsstyrd åtkomst som kräver att användarna ändrar sitt lösenord om högriskaktivitet identifieras för deras konto. Microsoft 365 E5, Microsoft 365 E3 med E5 Security-tillägget, EMS E5- eller Microsoft Entra ID P2-licenser
Självbetjäning av lösenordsåterställning (SSPR) Låt användarna återställa sina lösenord på ett säkert sätt och utan hjälpåtgärder genom att tillhandahålla verifiering av flera autentiseringsmetoder som administratören kan kontrollera. Microsoft 365 E3 eller E5
Microsoft Entra-lösenordsskydd Identifiera och blockera kända svaga lösenord och deras varianter och ytterligare svaga termer som är specifika för din organisation. Globala standardlistor för förbjudna lösenord tillämpas automatiskt på alla användare i en Microsoft Entra-klientorganisation. Du kan definiera ytterligare poster i en anpassad lista över förbjudna lösenord. När användarna ändrar eller återställer sina lösenord kontrolleras dessa listor över förbjudna lösenord för att framtvinga användningen av starka lösenord. Microsoft 365 E3 eller E5

Här är komponenterna i Nolltillit identitets- och enhetsåtkomst, inklusive Intune- och Microsoft Entra-objekt, inställningar och undertjänster.

Komponenterna i Nolltillit identitet och enhetsåtkomst

Microsoft Intune

Intune är Microsofts molnbaserade hanteringstjänst för mobila enheter. Den här vägledningen rekommenderar enhetshantering av Windows-datorer med Intune och rekommenderar konfigurationer av enhetsefterlevnadsprinciper. Intune avgör om enheterna är kompatibla och skickar dessa data till Microsoft Entra-ID som ska användas när principer för villkorsstyrd åtkomst tillämpas.

Intune-appskydd

Intune-appskyddsprinciper kan användas för att skydda organisationens data i mobilappar, med eller utan att registrera enheter i hanteringen. Intune hjälper till att skydda information, se till att dina anställda fortfarande kan vara produktiva och förhindra dataförlust. Genom att implementera principer på appnivå kan du begränsa åtkomsten till företagsresurser och hålla data inom it-avdelningens kontroll.

Den här vägledningen visar hur du skapar rekommenderade principer för att framtvinga användning av godkända appar och för att avgöra hur dessa appar kan användas med dina affärsdata.

Microsoft 365

Den här vägledningen visar hur du implementerar en uppsättning principer för att skydda åtkomsten till Microsoft 365-molntjänster, inklusive Microsoft Teams, Exchange, SharePoint och OneDrive. Förutom att implementera dessa principer rekommenderar vi att du även höjer skyddsnivån för din klientorganisation med hjälp av dessa resurser:

Windows 11 eller Windows 10 med Microsoft 365-appar för företag

Windows 11 eller Windows 10 med Microsoft 365-appar för företag är den rekommenderade klientmiljön för datorer. Vi rekommenderar Windows 11 eller Windows 10 eftersom Microsoft Entra är utformat för att ge en så smidig upplevelse som möjligt för både lokalt och Microsoft Entra-ID. Windows 11 eller Windows 10 innehåller även avancerade säkerhetsfunktioner som kan hanteras via Intune. Microsoft 365-appar för företag innehåller de senaste versionerna av Office-appen likeringar. Dessa använder modern autentisering, vilket är säkrare och ett krav för villkorlig åtkomst. Dessa appar innehåller även förbättrade efterlevnads- och säkerhetsverktyg.

Tillämpa dessa funktioner på de tre skyddsnivåerna

I följande tabell sammanfattas våra rekommendationer för att använda dessa funktioner på de tre skyddsnivåerna.

Skyddsmekanism Utgångspunkt Stora företag Specialiserad säkerhet
Framtvinga MFA Vid medelhög eller över inloggningsrisk Vid låg eller högre inloggningsrisk På alla nya sessioner
Framtvinga lösenordsändring För högriskanvändare För högriskanvändare För högriskanvändare
Framtvinga Intune-programskydd Ja Ja Ja
Framtvinga Intune-registrering för organisationsägd enhet Kräv en kompatibel eller domänansluten dator, men tillåt BYOD-telefoner och surfplattor (Bring Your Own Devices) Kräv en kompatibel eller domänansluten enhet Kräv en kompatibel eller domänansluten enhet

Enhetsägarskap

Tabellen ovan visar trenden för många organisationer att stödja en blandning av organisationsägda enheter och personliga enheter eller BYOD:er för att möjliggöra mobil produktivitet i hela personalen. Intune-appskyddsprinciper säkerställer att e-post skyddas från utfiltrering från Outlook-mobilappen och andra Office-mobilappar på både organisationsägda enheter och BYOD:er.

Vi rekommenderar att organisationsägda enheter hanteras av Intune eller domänanslutna för att tillämpa ytterligare skydd och kontroll. Beroende på datakänslighet kan din organisation välja att inte tillåta BYOD för specifika användarpopulationer eller specifika appar.

Distribution och dina appar

Innan du konfigurerar och distribuerar Nolltillit konfiguration av identitets- och enhetsåtkomst för dina Microsoft Entra-integrerade appar måste du:

  • Bestäm vilka appar som ska användas i din organisation som du vill skydda.

  • Analysera den här listan över appar för att fastställa de uppsättningar med principer som ger lämpliga skyddsnivåer.

    Du bör inte skapa separata uppsättningar med principer för varje app eftersom hanteringen av dem kan bli besvärlig. Microsoft rekommenderar att du grupperar dina appar som har samma skyddskrav för samma användare.

    Du kan till exempel ha en uppsättning principer som innehåller alla Microsoft 365-appar för alla användare för startpunktsskydd. Ha en andra uppsättning principer för alla känsliga appar, till exempel de som används av personalavdelningen eller ekonomiavdelningen, och tillämpa dem på dessa grupper.

När du har fastställt uppsättningen principer för de appar som du vill skydda distribuerar du principerna stegvis till användarna och åtgärdar problem längs vägen. Till exempel:

  1. Konfigurera de principer som du tänker använda för alla Microsoft 365-appar.
  2. Lägg bara till Exchange med nödvändiga ändringar, distribuera principerna till användare och gå igenom eventuella problem.
  3. Lägg till Teams med nödvändiga ändringar, distribuera principerna till användare och gå igenom eventuella problem.
  4. Lägg till SharePoint med nödvändiga ändringar, distribuera principerna till användare och gå igenom eventuella problem.
  5. Fortsätt att lägga till resten av dina appar tills du kan konfigurera dessa startpunktsprinciper så att de inkluderar alla Microsoft 365-appar.

På samma sätt skapar du en uppsättning principer för dina känsliga appar och lägger till en app i taget. Gå igenom eventuella problem tills alla ingår i den känsliga appprincipuppsättningen.

Microsoft rekommenderar att du inte skapar principuppsättningar som gäller för alla appar eftersom det kan resultera i vissa oavsiktliga konfigurationer. Principer som blockerar alla appar kan till exempel låsa dina administratörer från administrationscentret för Microsoft Entra och undantag kan inte konfigureras för viktiga slutpunkter som Microsoft Graph.

Steg för att konfigurera Nolltillit identitets- och enhetsåtkomst

Stegen för att konfigurera Nolltillit identitets- och enhetsåtkomst

  1. Konfigurera nödvändiga identitetsfunktioner och deras inställningar.
  2. Konfigurera vanliga principer för identitet och åtkomst till villkorsstyrd åtkomst.
  3. Konfigurera principer för villkorlig åtkomst för gästanvändare och externa användare.
  4. Konfigurera principer för villkorlig åtkomst för Microsoft 365-molnappar, till exempel Microsoft Teams, Exchange och SharePoint, och Microsoft Defender för molnet Apps-principer.

När du har konfigurerat Nolltillit identitets- och enhetsåtkomst kan du läsa distributionsguiden för Microsoft Entra-funktioner för en stegvis checklista med ytterligare funktioner att överväga och Microsoft Entra ID-styrning för att skydda, övervaka och granska åtkomst.

Gå vidare

Kravarbete för att implementera Nolltillit principer för identitets- och enhetsåtkomst