Dela via


Kravarbete för att implementera Nulta pouzdanost identitets- och enhetsåtkomstprinciper

I den här artikeln beskrivs de krav som administratörer måste uppfylla för att använda rekommenderade Nulta pouzdanost principer för identitets- och enhetsåtkomst och för att använda villkorsstyrd åtkomst. Den beskriver också de rekommenderade standardvärdena för att konfigurera klientplattformar för bästa SSO-upplevelse (enkel inloggning).

Förutsättningar

Innan du använder de Nulta pouzdanost principer för identitets- och enhetsåtkomst som rekommenderas måste din organisation uppfylla kraven. Kraven skiljer sig åt för de olika identitets- och autentiseringsmodeller som anges:

  • Enbart molnet
  • Hybrid med autentisering med synkronisering av lösenordshash (PHS)
  • Hybrid med direktautentisering (PTA)
  • Federerade

I följande tabell beskrivs de nödvändiga funktionerna och deras konfiguration som gäller för alla identitetsmodeller, förutom där det anges.

Konfiguration Undantag Licensiering
Konfigurera PHS. Den här funktionen måste vara aktiverad för att identifiera läckta autentiseringsuppgifter och agera på dem för riskbaserad villkorlig åtkomst.Observera att detta krävs oavsett om din organisation använder federerad autentisering. Enbart molnet Microsoft 365 E3 eller E5
Aktivera sömlös enkel inloggning för att automatiskt logga in användare när de är på sina organisationsenheter som är anslutna till organisationens nätverk. Endast molnbaserad och federerad Microsoft 365 E3 eller E5
Konfigurera namngivna platser. Microsoft Entra ID Protection samlar in och analyserar alla tillgängliga sessionsdata för att generera en riskpoäng. Vi rekommenderar att du anger organisationens offentliga IP-intervall för nätverket i microsoft Entra-ID:t med namnet locations configuration. Trafik som kommer från dessa intervall får en reducerad riskpoäng och trafik utanför organisationsmiljön får en högre riskpoäng. Microsoft 365 E3 eller E5
Registrera alla användare för självbetjäning av lösenordsåterställning (SSPR) och multifaktorautentisering (MFA). Vi rekommenderar att du registrerar användare för Microsoft Entra multifaktorautentisering i förväg. Microsoft Entra ID Protection använder Microsoft Entra multifaktorautentisering för att utföra ytterligare säkerhetsverifiering. För bästa inloggning rekommenderar vi dessutom att användarna installerar Microsoft Authenticator-appen och Microsoft-företagsportalappen på sina enheter. Dessa kan installeras från appbutiken för varje plattform. Microsoft 365 E3 eller E5
Planera implementeringen av din Microsoft Entra-hybridanslutning. Villkorsstyrd åtkomst ser till att enheter som ansluter till appar är domänanslutna eller kompatibla. För att stödja detta på Windows-datorer måste enheten vara registrerad med Microsoft Entra-ID. I den här artikeln beskrivs hur du konfigurerar automatisk enhetsregistrering. Enbart molnet Microsoft 365 E3 eller E5
Förbered supportteamet. Ha en plan på plats för användare som inte kan slutföra MFA. Detta kan vara att lägga till dem i en principundantagsgrupp eller registrera ny MFA-information för dem. Innan du gör någon av dessa säkerhetskänsliga ändringar måste du se till att den faktiska användaren gör begäran. Att kräva att användarnas chefer hjälper till med godkännandet är ett effektivt steg. Microsoft 365 E3 eller E5
Konfigurera tillbakaskrivning av lösenord till lokal AD. Tillbakaskrivning av lösenord gör att Microsoft Entra-ID:t kräver att användarna ändrar sina lokala lösenord när en riskfylld kontokompromitet identifieras. Du kan aktivera den här funktionen med Hjälp av Microsoft Entra Connect på något av två sätt: antingen aktivera tillbakaskrivning av lösenord på skärmen valfria funktioner i Microsoft Entra Connect-installationen eller aktivera den via Windows PowerShell. Enbart molnet Microsoft 365 E3 eller E5
Konfigurera Microsoft Entra-lösenordsskydd. Microsoft Entra Password Protection identifierar och blockerar kända svaga lösenord och deras varianter, och kan även blockera ytterligare svaga termer som är specifika för din organisation. Globala standardlistor för förbjudna lösenord tillämpas automatiskt på alla användare i en Microsoft Entra-klientorganisation. Du kan definiera ytterligare poster i en anpassad lista över förbjudna lösenord. När användarna ändrar eller återställer sina lösenord kontrolleras dessa listor över förbjudna lösenord för att framtvinga användningen av starka lösenord. Microsoft 365 E3 eller E5
Aktivera Microsoft Entra ID Protection. Med Microsoft Entra ID Protection kan du identifiera potentiella säkerhetsrisker som påverkar organisationens identiteter och konfigurera en automatiserad reparationsprincip till låg, medelhög och hög inloggningsrisk och användarrisk. Microsoft 365 E5 eller Microsoft 365 E3 med tillägget E5-säkerhet
Aktivera modern autentisering för Exchange Online och för Skype za posao Online. Modern autentisering är en förutsättning för att använda MFA. Modern autentisering är aktiverat som standard för Office 2016- och 2019-klienter, SharePoint och OneDrive för företag. Microsoft 365 E3 eller E5
Aktivera kontinuerlig åtkomstutvärdering för Microsoft Entra-ID. Utvärdering av kontinuerlig åtkomst avslutar proaktivt aktiva användarsessioner och framtvingar ändringar av klientprincip nästan i realtid. Microsoft 365 E3 eller E5

I det här avsnittet beskrivs standardkonfigurationerna för plattformsklienten som vi rekommenderar för att ge användarna den bästa SSO-upplevelsen samt de tekniska förutsättningarna för villkorsstyrd åtkomst.

Windows-enheter

Vi rekommenderar Windows 11 eller Windows 10 (version 2004 eller senare), eftersom Azure är utformat för att ge en så smidig SSO-upplevelse som möjligt för både lokalt och Microsoft Entra-ID. Arbets- eller skoltilldelade enheter ska konfigureras för att ansluta till Microsoft Entra-ID direkt eller om organisationen använder lokal AD-domänanslutning bör enheterna konfigureras för att automatiskt och tyst registrera sig med Microsoft Entra-ID.

För BYOD Windows-enheter kan användare använda Lägg till arbets- eller skolkonto. Observera att användare av Google Chrome-webbläsaren på Windows 11- eller Windows 10-enheter måste installera ett tillägg för att få samma smidiga inloggningsupplevelse som Microsoft Edge-användare. Om din organisation dessutom har domänanslutna Windows 8- eller 8.1-enheter kan du installera Microsoft Workplace Join för datorer som inte är Windows 10. Ladda ned paketet för att registrera enheterna med Microsoft Entra-ID.

iOS enheter

Vi rekommenderar att du installerar Microsoft Authenticator-appen på användarenheter innan du distribuerar principer för villkorsstyrd åtkomst eller MFA. Appen bör minst installeras när användarna uppmanas att registrera sin enhet med Microsoft Entra-ID genom att lägga till ett arbets- eller skolkonto, eller när de installerar Intune-företagsportalappen för att registrera sin enhet i hanteringen. Detta beror på den konfigurerade principen för villkorsstyrd åtkomst.

Android enheter

Vi rekommenderar att användarna installerar Intune-företagsportalappen och Microsoft Authenticator-appen innan principer för villkorsstyrd åtkomst distribueras eller när det krävs under vissa autentiseringsförsök. Efter appinstallationen kan användarna bli ombedda att registrera sig med Microsoft Entra-ID eller registrera sin enhet med Intune. Detta beror på den konfigurerade principen för villkorsstyrd åtkomst.

Vi rekommenderar också att organisationsägda enheter är standardiserade på OEM-datorer och versioner som stöder Android for Work eller Samsung Knox för att tillåta e-postkonton, hanteras och skyddas av Intune MDM-princip.

Följande e-postklienter stöder modern autentisering och villkorlig åtkomst.

Plattform Klient Version/anteckningar
Windows Outlook 2019, 2016

Nödvändiga uppdateringar

iOS Outlook för iOS Senaste
Android Outlook för Android Senaste
macOS Outlook 2019 och 2016
Linux Stöds inte

Följande klienter rekommenderas när en princip för säkra dokument har tillämpats.

Plattform Word/Excel/PowerPoint OneNote OneDrive-app SharePoint-app OneDrive aplikacija za sinhronizaciju klient
Windows 11 eller Windows 10 Stöds Stöds Saknas Saknas Stöds
Windows 8.1 Stöds Stöds Saknas Saknas Stöds
Android Stöds Stöds Stöds Stöds Ej tillämpligt
iOS Stöds Stöds Stöds Stöds Ej tillämpligt
macOS Stöds Stöds Saknas Saknas Stöds inte
Linux Stöds inte Stöds inte Stöds inte Stöds inte Stöds inte

Microsoft 365-klientsupport

Mer information om klientsupport i Microsoft 365 finns i följande artiklar:

Skydda administratörskonton

För Microsoft 365 E3 eller E5 eller med separata Microsoft Entra ID P1- eller P2-licenser kan du kräva MFA för administratörskonton med en princip för villkorlig åtkomst som skapats manuellt. Mer information finns i Villkorsstyrd åtkomst: Kräv MFA för administratörer .

För utgåvor av Microsoft 365 eller Office 365 som inte stöder villkorlig åtkomst kan du aktivera standardinställningar för säkerhet för att kräva MFA för alla konton.

Här följer några ytterligare rekommendationer:

  • Använd Microsoft Entra Privileged Identity Management för att minska antalet beständiga administrativa konton.
  • Använd hantering av privilegierad åtkomst för att skydda din organisation mot överträdelser som kan använda befintliga privilegierade administratörskonton med ständig åtkomst till känsliga data eller åtkomst till kritiska konfigurationsinställningar.
  • Skapa och använd separata konton som endast tilldelas Microsoft 365-administratörsroller för administration. Administratörer bör ha ett eget användarkonto för regelbunden icke-administrativ användning och endast använda ett administrativt konto när det behövs för att slutföra en uppgift som är associerad med deras roll eller jobbfunktion.
  • Följ metodtipsen för att skydda privilegierade konton i Microsoft Entra-ID.

Gå vidare

Steg 2: Konfigurera vanliga principer för Nulta pouzdanost identitet och åtkomst till villkorlig åtkomst.

Konfigurera vanliga principer för Nulta pouzdanost identitets- och enhetsåtkomst