Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Många organisationer har frågor när de distribuerar Microsoft 365 på ett säkert sätt. Principerna för villkorlig åtkomst, appskydd och enhetsefterlevnad i den här artikeln baseras på Microsofts rekommendationer och de tre vägledande principerna för Noll förtroende:
- Verifiera uttryckligen
- Använd minst behörighet
- Utgå från intrång
Organisationer kan använda dessa principer som de är eller anpassa dem så att de passar deras behov. Testa dina principer i en icke-produktionsmiljö för att identifiera potentiella effekter och kommunicera dem till användare innan du distribuerar dem till produktion. Testning är viktigt för att identifiera och förmedla möjliga effekter till användare.
Vi grupperar dessa principer i tre skyddsnivåer baserat på var du befinner dig på distributionsresan:
- Startpunkt: Grundläggande kontroller som introducerar multifaktorautentisering, säkra lösenordsändringar och Intune-appskyddsprinciper för mobila enheter.
- Enterprise: Förbättrade kontroller som inför enhetsefterlevnad.
- Specialiserad säkerhet: Principer som kräver multifaktorautentisering varje gång för specifika datauppsättningar eller användare.
Det här diagrammet visar skyddsnivåer för varje princip och vilka typer av enheter de gäller för:
Du kan ladda ned det här diagrammet som en PDF-fil eller en redigerbar Visio-fil .
Tips
Kräv multifaktorautentisering (MFA) för användare innan du registrerar enheter i Intune för att bekräfta att enheten är med den avsedda användaren. MFA är aktiverat som standard grundinställningar för säkerhet, eller så kan du använda principer för villkorsstyrd åtkomst för att kräva MFA för alla användare.
Enheter måste registreras i Intune innan du kan tillämpa enhetsefterlevnadsprinciper.
Förutsättningar
Behörigheter
Följande behörigheter i Microsoft Entra krävs:
- Hantera principer för villkorlig åtkomst: Rollen Administratör för villkorsstyrd åtkomst .
- Hantera principer för appskydd och enhetsefterlevnad: Intune-administratörsrollen .
- Visa endast konfigurationer: Rollen Säkerhetsläsare .
Mer information om roller och behörigheter i Microsoft Entra finns i Översikt över rollbaserad åtkomstkontroll i Microsoft Entra-ID.
Användarregistrering
Se till att användarna registrerar sig för MFA innan de måste använda det. Om dina licenser inkluderar Microsoft Entra ID P2 kan du använda MFA-registreringsprincipen i Microsoft Entra ID Protection för att kräva att användarna registrerar sig. Vi tillhandahåller kommunikationsmallar som du kan ladda ned och anpassa för att främja användarregistrering.
Grupper
Alla Microsoft Entra-grupper som används i dessa rekommendationer måste vara Microsoft 365-grupper, inte säkerhetsgrupper. Det här kravet är viktigt för distribution av känslighetsetiketter för att skydda dokument i Microsoft Teams och SharePoint. Mer information finns i Läs mer om grupper och åtkomsträttigheter i Microsoft Entra-ID.
Tilldelning av policyer
Du kan tilldela principer för villkorlig åtkomst till användare, grupper och administratörsroller. Du kan endast tilldela Intune-appskydds- och enhetsefterlevnadsprinciper till grupper. Innan du konfigurerar dina principer bör du identifiera vem som ska inkluderas och undantas. Vanligtvis gäller principer på startpunktsskyddsnivå för alla i organisationen.
I följande tabell beskrivs exempel på grupptilldelningar och undantag för MFA när användarna har slutfört användarregistreringen:
| Microsoft Entra-princip för villkorsstyrd åtkomst | Inkludera | Exkludera | |
|---|---|---|---|
| Utgångspunkt | Kräv multifaktorautentisering för medelhög eller hög inloggningsrisk | Alla användare |
|
| Företag | Kräv multifaktorautentisering för låg, medel eller hög inloggningsrisk | Ledningsgrupp |
|
| Specialiserad säkerhet | Kräv multifaktorautentisering alltid | Top Secret Project Buckeye-grupp |
|
Tips
Tillämpa högre skyddsnivåer på användare och grupper noggrant. Säkerhetens mål är inte att lägga till onödig friktion i användarupplevelsen. Medlemmar i gruppen Top Secret Project Buckeye måste till exempel använda MFA varje gång de loggar in, även om de inte arbetar med det specialiserade innehållet för projektet. Överdriven säkerhetsfriktion kan leda till trötthet. Aktivera nätfiskeresistenta autentiseringsmetoder (till exempel Säkerhetsnycklar för Windows Hello för företag eller FIDO2) för att minska friktionen som orsakas av säkerhetskontroller.
Konton för nödåtkomst
Varje organisation behöver minst ett konto för nödåtkomst som övervakas för användning och exkluderas från principer. Större organisationer kan kräva fler konton. Dessa konton används endast om alla andra administratörskonton och autentiseringsmetoder blir utelåst eller på annat sätt otillgängliga. Mer information finns i Hantera konton för nödåtkomst i Microsoft Entra-ID.
Att exkludera användare
Vi rekommenderar att du krypterar en Microsoft Entra-grupp för undantag för villkorsstyrd åtkomst. Den här gruppen ger dig ett sätt att ge åtkomst till en användare när du felsöker åtkomstproblem. Funktioner som åtkomstgranskningar i Microsoft Entra ID-styrning hjälper dig att hantera användare som undantas från principer för villkorlig åtkomst
Varning
Vi rekommenderar endast en undantagsgrupp som en tillfällig lösning. Övervaka den här gruppen kontinuerligt för ändringar och se till att den endast används för det avsedda ändamålet.
Använd följande steg för att lägga till en exkluderingsgrupp i befintliga principer.
- Logga in på administrationscentret för Microsoft Entra som åtminstone en administratör för villkorsstyrd åtkomst.
- Bläddra till Skydd>Villkorlig Åtkomst>Principer.
- Välj en befintlig princip genom att klicka på namnet.
- Under Tilldelningar väljer du Användare eller arbetsbelastningsidentiteter.
a. Under Exkludera väljer du Användare och grupper och väljer följande identiteter:
- Användare: Dina konton för nödåtkomst.
- Grupper: Din undantagsgrupp för villkorsstyrd åtkomst. b) Välj Välj.
- Gör andra ändringar.
- Välj Spara.
Program som exkluderas
Vi rekommenderar att du skapar en baslinjeprincip för multifaktorautentisering som riktar sig till alla användare och alla resurser (utan några programundantag), som den som beskrivs i Kräv multifaktorautentisering för alla användare. Exkludering av vissa program kan få oavsiktliga säkerhets- och användbarhetskonsekvenser som beskrivs i beteendet för villkorsstyrd åtkomst när en princip för alla resurser har ett appundantag. Program som Microsoft 365 och Microsoft Teams är beroende av flera tjänster som gör beteendet oförutsägbart när undantag görs.
Distribution
Vi rekommenderar att du implementerar startpunktsprinciperna i den ordning som anges i följande tabell. Du kan implementera MFA-principerna för företagssäkerhet och specialiserade säkerhetsnivåer när som helst.
Startpunkt:
| Riktlinjer | Mer information | Licensiering |
|---|---|---|
| Kräv MFA när inloggningsrisken är medelhög eller hög | Kräv endast MFA när risken identifieras av Microsoft Entra ID Protection. |
|
| Blockera klienter som inte stöder modern autentisering | Klienter som inte använder modern autentisering kan kringgå principer för villkorsstyrd åtkomst, så det är viktigt att blockera dem. | Microsoft 365 E3 eller E5 |
| Högriskanvändare måste ändra lösenord | Tvinga användare att ändra sitt lösenord när de loggar in om högriskaktivitet identifieras för deras konto. |
|
| Tillämpa appskyddsprinciper (APP) för dataskydd | En Intune APP per mobil enhetsplattform (Windows, iOS/iPadOS och Android). | Microsoft 365 E3 eller E5 |
| Kräv godkända appar och appskyddsprinciper | Tillämpar appskyddsprinciper för mobila enheter med iOS, iPadOS eller Android. | Microsoft 365 E3 eller E5 |
Företag:
| Riktlinjer | Mer information | Licensiering |
|---|---|---|
| Kräv MFA när inloggningsrisken är låg, medelhög eller hög | Kräv endast MFA när risken identifieras av Microsoft Entra ID Protection. |
|
| Definiera principer för enhetsefterlevnad | Ange minimikrav för konfiguration. En princip för varje plattform. | Microsoft 365 E3 eller E5 |
| Kräv kompatibla datorer och mobila enheter | Tillämpar konfigurationskraven för enheter som har åtkomst till din organisation | Microsoft 365 E3 eller E5 |
Specialiserad säkerhet:
| Riktlinjer | Mer information | Licensiering |
|---|---|---|
| Alltid Kräv MFA | Användarna måste göra MFA när de loggar in på tjänster i organisationen. | Microsoft 365 E3 eller E5 |
Appskydd principer
Appskyddsprinciper anger tillåtna appar och vilka åtgärder de kan vidta med organisationens data. Även om det finns många principer att välja mellan beskriver följande lista våra rekommenderade baslinjer.
Tips
Även om vi tillhandahåller tre mallar bör de flesta organisationer välja Nivå 2 (mappar till startpunkt eller säkerhet på företagsnivå ) och Nivå 3 (mappar till specialiserad säkerhet).
Grundläggande dataskydd på nivå 1 för företag: Vi rekommenderar den här konfigurationen som det lägsta dataskyddet för företagsenheter.
Förbättrat dataskydd på nivå 2 för företag: Vi rekommenderar den här konfigurationen för enheter som har åtkomst till känsliga data eller konfidentiell information. Den här konfigurationen gäller för de flesta mobila användare som har åtkomst till arbets- eller skoldata. Vissa kontroller kan påverka användarupplevelsen.
Hög dataskydd på nivå 3 för företag: Vi rekommenderar den här konfigurationen i följande scenarier:
- Organisationer med större eller mer avancerade säkerhetsteam.
- Enheter som används av specifika användare eller grupper som löper unik hög risk. Användare som hanterar mycket känsliga data där obehörigt avslöjande skulle orsaka betydande förlust för organisationen
Organisationer som sannolikt är mål för välfinansierade och sofistikerade angripare bör sträva efter den här konfigurationen.
Skapa en ny appskyddsprincip för varje enhetsplattform i Microsoft Intune (iOS/iPadOS och Android) med hjälp av inställningarna för dataskyddsramverket med någon av följande metoder:
- Skapa principerna manuellt genom att följa stegen i Skapa och distribuera appskyddsprinciper med Microsoft Intune.
- Importera exempel på JSON-mallar för Intune App Protection Policy Configuration Framework med Intune PowerShell-skript.
Policyer för enhetsefterlevnad
Intune-enhetsefterlevnadsprinciper definierar kraven för att enheter ska vara kompatibla. Du måste skapa en princip för varje dator, telefon eller surfplatta. I följande avsnitt beskrivs rekommendationerna för följande plattformar:
Skapa principer för enhetsefterlevnad
Följ de här stegen för att skapa principer för enhetsefterlevnad:
- Logga in på administrationscentret för Microsoft Intune som Intune-administratör.
- Bläddra till Enheter>Enhetsefterlevnad>Skapa policy.
Stegvis vägledning finns i Skapa en efterlevnadsprincip i Microsoft Intune.
Inställningar för registrering och efterlevnad för iOS/iPadOS
iOS/iPadOS stöder flera registreringsscenarier, varav två omfattas av det här ramverket:
- Enhetsregistrering för personligt ägda enheter: Personligt ägda enheter (kallas även bring your own device eller BYOD) som också används för arbete.
- Automatisk enhetsregistrering för företagsägda enheter: Organisationsägda enheter som är associerade med en enskild användare och som endast används för arbete.
Tips
Som tidigare beskrivits mappar nivå 2 till startpunkt eller säkerhet på företagsnivå och nivå 3 mappar till specialiserad säkerhet. Mer information finns i Noll förtroende för identitets- och enhetsåtkomstkonfigurationer.
Efterlevnadsinställningar för personligt registrerade enheter
- Personlig grundläggande säkerhet (nivå 1): Vi rekommenderar den här konfigurationen som minsta säkerhet för personliga enheter som har åtkomst till arbets- eller skoldata. Du uppnår den här konfigurationen genom att framtvinga lösenordsprinciper, enhetslåsegenskaper och inaktivera vissa enhetsfunktioner (till exempel ej betrodda certifikat).
- Personlig förbättrad säkerhet (nivå 2): Vi rekommenderar den här konfigurationen för enheter som har åtkomst till känsliga data eller konfidentiell information. Den här konfigurationen aktiverar kontroller för datadelning. Den här konfigurationen gäller för de flesta mobila användare som har åtkomst till arbets- eller skoldata.
- Personlig hög säkerhet (nivå 3): Vi rekommenderar den här konfigurationen för enheter som används av specifika användare eller grupper som löper unik hög risk. Till exempel skulle användare som hanterar mycket känsliga data där obehörigt avslöjande orsaka betydande förlust för organisationen. Den här konfigurationen möjliggör starkare lösenordsprinciper, inaktiverar vissa enhetsfunktioner och framtvingar extra dataöverföringsbegränsningar.
Kompatibilitetsinställningar för automatisk enhetsregistrering
- Övervakad grundläggande säkerhet (nivå 1): Vi rekommenderar den här konfigurationen som minsta säkerhet för företagsenheter som har åtkomst till arbets- eller skoldata. Du uppnår den här konfigurationen genom att framtvinga lösenordsprinciper, enhetslåsegenskaper och inaktivera vissa enhetsfunktioner (till exempel ej betrodda certifikat).
- Övervakad förbättrad säkerhet (nivå 2): Vi rekommenderar den här konfigurationen för enheter som har åtkomst till känsliga data eller konfidentiell information. Den här konfigurationen möjliggör datadelningskontroller och blockerar åtkomst till USB-enheter. Den här konfigurationen gäller för de flesta mobila användare som har åtkomst till arbets- eller skoldata på en enhet.
- Övervakad hög säkerhet (nivå 3) : Vi rekommenderar den här konfigurationen för enheter som används av specifika användare eller grupper som löper unik hög risk. Till exempel skulle användare som hanterar mycket känsliga data där obehörigt avslöjande orsaka betydande förlust för organisationen. Den här konfigurationen möjliggör starkare lösenordsprinciper, inaktiverar vissa enhetsfunktioner, framtvingar extra dataöverföringsbegränsningar och kräver att appar installeras via Apples volymköpsprogram.
Inställningar för registrering och efterlevnad för Android
Android Enterprise stöder flera registreringsscenarier, varav två omfattas av det här ramverket:
- Android Enterprise-arbetsprofil: Personligt ägda enheter (kallas även bring your own device eller BYOD) som också används för arbete. Principer som styrs av IT-avdelningen säkerställer att arbetsdata inte kan överföras till den personliga profilen.
- Fullständigt hanterade Android Enterprise-enheter: Organisationsägda enheter som är associerade med en enskild användare och som endast används för arbete.
Säkerhetskonfigurationsramverket för Android Enterprise är indelat i flera olika konfigurationsscenarier som ger vägledning för arbetsprofil och fullständigt hanterade scenarier.
Tips
Som tidigare beskrivits mappar nivå 2 till startpunkt eller säkerhet på företagsnivå och nivå 3 mappar till specialiserad säkerhet. Mer information finns i Noll förtroende för identitets- och enhetsåtkomstkonfigurationer.
Kompatibilitetsinställningar för Android Enterprise-arbetsprofilenheter
- Det finns inget grundläggande säkerhetserbjudande (nivå 1) för personligt ägda arbetsprofilenheter. De tillgängliga inställningarna motiverar ingen skillnad mellan nivå 1 och nivå 2.
- Förbättrad säkerhet för arbetsprofil (nivå 2): Vi rekommenderar den här konfigurationen som lägsta säkerhet för personliga enheter som har åtkomst till arbets- eller skoldata. Den här konfigurationen introducerar lösenordskrav, separerar arbetsdata och personliga data och validerar Android-enhetsattestering.
- Hög säkerhet för arbetsprofil (nivå 3): Vi rekommenderar den här konfigurationen för enheter som används av specifika användare eller grupper som löper unik hög risk. Till exempel skulle användare som hanterar mycket känsliga data där obehörigt avslöjande orsaka betydande förlust för organisationen. Den här konfigurationen introducerar skydd mot mobilhot eller Microsoft Defender för Endpoint, anger lägsta Android-version, möjliggör starkare lösenordsprinciper och separerar arbetsdata och personliga data ytterligare.
Kompatibilitetsinställningar för fullständigt hanterade Android Enterprise-enheter
- Fullständigt hanterad grundläggande säkerhet (nivå 1): Vi rekommenderar den här konfigurationen som minsta säkerhet för en företagsenhet. Den här konfigurationen gäller för de flesta mobila användare som arbetar med arbets- eller skoldata. Den här konfigurationen introducerar lösenordskrav, anger lägsta Android-version och aktiverar specifika enhetsbegränsningar.
- Fullständigt hanterad förbättrad säkerhet (nivå 2): Vi rekommenderar den här konfigurationen för enheter som har åtkomst till känsliga data eller konfidentiell information. Den här konfigurationen möjliggör starkare lösenordsprinciper och inaktiverar användar-/kontofunktioner.
- Fullständigt hanterad hög säkerhet (nivå 3): Vi rekommenderar den här konfigurationen för enheter som används av specifika användare eller grupper med unik hög risk. Till exempel skulle användare som hanterar mycket känsliga data där obehörigt avslöjande orsaka betydande förlust för organisationen. Den här konfigurationen ökar den lägsta Android-versionen, introducerar skydd mot mobilhot eller Microsoft Defender för Endpoint och tillämpar extra enhetsbegränsningar.
Rekommenderade kompatibilitetsinställningar för Windows 10 och senare
Konfigurera följande inställningar enligt beskrivningen i Enhetsefterlevnadsinställningar för Windows 10/11 i Intune. De här inställningarna överensstämmer med principerna som beskrivs i Konfigurationer för noll förtroendeidentitet och enhetsåtkomst.
Enhetens hälsotillstånd>Utvärderingsregler för Windows Health Attestation Service:
Fastighet Värde Kräv BitLocker Kräv Kräv säker start för att aktiveras på enheten Kräv Kräv kodintegritet Kräv Enhetsegenskaper>Operativsystemversion: Ange lämpliga värden för operativsystemversioner baserat på dina IT- och säkerhetsprinciper.
Fastighet Värde Lägsta operativsystemversion Högsta operativsystemversion Lägsta operativsystem som krävs för mobila enheter Maximalt operativsystem som krävs för mobila enheter Giltiga operativsystemversioner Compliance för Configuration Manager:
Fastighet Värde Kräv enhetsefterlevnad från Configuration Manager Välj Obligatorisk i miljöer som samhanteras med Configuration Manager. Annars väljer du Inte konfigurerad. Systemsäkerhet:
Fastighet Värde Lösenord Kräv ett lösenord för att låsa upp mobila enheter Kräv Enkla lösenord Blockera Lösenordstyp Enhetsstandardinställningar Minsta längd på lösenord 6 Maximal inaktivitet i minuter innan ett lösenord krävs 15 minuter Förfallotid för lösenord (dagar) 41 Antal tidigare lösenord för att förhindra återanvändning 5 Kräv lösenord när enheten återgår från inaktivt tillstånd (mobil och holografisk) Kräv Kryptering Kräv kryptering av datalagring på enheten Kräv Brandvägg Brandvägg Kräv Antivirus Antivirus Kräv Antispionprogram Antispionprogram Kräv Försvarare Microsoft Defender mot skadlig kod Kräv Lägsta version av Microsoft Defender mot skadlig kod Vi rekommenderar ett värde som inte är mer än fem versioner bakom den senaste versionen. Microsoft Defender-signatur mot skadlig kod uppdaterad Kräv Realtidsskydd Kräv Microsoft Defender för Endpoint:
Fastighet Värde Kräv att enheten inte överstiger maskinens riskpoäng Mellan
Principer för villkorlig åtkomst
När du har skapat appskyddsprinciper och enhetsefterlevnadsprinciper i Intune kan du aktivera tillämpning med principer för villkorlig åtkomst.
Kräv MFA baserat på inloggningsrisk
Följ riktlinjerna i: Kräv multifaktorautentisering för förhöjd inloggningsrisk för att skapa en princip som kräver multifaktorautentisering baserat på inloggningsrisk.
När du konfigurerar principen använder du följande risknivåer:
| Skyddsnivå | Risknivåer |
|---|---|
| Utgångspunkt | Medel och hög |
| Företag | Låg, medel och hög |
Blockera klienter som inte stöder multifaktorautentisering
Följ riktlinjerna i: Blockera äldre autentisering med villkorsstyrd åtkomst.
Högriskanvändare måste ändra lösenord
Följ anvisningarna i: Kräv en säker lösenordsändring för ökad användarrisk för att kräva att användare med komprometterade autentiseringsuppgifter ändrar sitt lösenord.
Använd den här principen tillsammans med Microsoft Entra-lösenordsskydd, som identifierar och blockerar kända svaga lösenord, deras varianter och specifika termer i din organisation. Genom att använda Microsoft Entra-lösenordsskydd ser du till att ändrade lösenord blir starkare.
Kräv godkända appar eller appskyddsprinciper
Du måste skapa en princip för villkorlig åtkomst för att tillämpa appskyddsprinciper som du skapar i Intune. För att tillämpa appskyddsprinciper krävs en princip för villkorsstyrd åtkomst och en motsvarande appskyddsprincip.
Om du vill skapa en princip för villkorlig åtkomst som kräver godkända appar eller appskydd följer du stegen i Kräv godkända klientappar eller appskyddsprinciper. Den här principen tillåter endast att konton i appar som skyddas av appskyddsprinciper får åtkomst till Microsoft 365-slutpunkter.
Blockering av äldre autentisering för andra appar på iOS/iPadOS- och Android-enheter säkerställer att dessa enheter inte kan kringgå principer för villkorsstyrd åtkomst. Genom att följa riktlinjerna i den här artikeln blockerar du redan klienter som inte stöder modern autentisering.
Kräv kompatibla datorer och mobila enheter
Försiktighet
Kontrollera att din egen enhet är kompatibel innan du aktiverar den här principen. Annars kan du bli utelåst och behöva använda ett konto för nödåtkomst för att återställa din åtkomst.
Tillåt endast åtkomst till resurser när enheten har fastställts vara kompatibel med dina Intune-efterlevnadsprinciper. Mer information finns i Kräv enhetsefterlevnad med villkorsstyrd åtkomst.
Du kan registrera nya enheter i Intune, även om du väljer Kräv att enheten ska markeras som kompatibel för Alla användare och Alla molnappar i principen. Kräv att enheten markeras som kompatibel blockerar inte Intune-registrering eller åtkomst till Microsoft Intune Web Company Portal-appen.
Prenumerationsaktivering
Om din organisation använder Aktivering av Windows-prenumeration för att göra det möjligt för användare att "stega upp" från en version av Windows till en annan bör du undanta Api:er för Universal Store-tjänsten och webbprogram (AppID: 45a330b1-b1ec-4cc1-9161-9f03992aa49f) från enhetens efterlevnad.
Kräv alltid MFA
Kräv MFA för alla användare genom att följa anvisningarna i den här artikeln: Kräv multifaktorautentisering för alla användare.
Nästa steg
