Nolltillit distributionsplan med Microsoft 365

2025-05-29

Den här artikeln innehåller en distributionsplan för att skapa Nolltillit säkerhet med Microsoft 365. Noll förtroende är en säkerhetsmodell som förutsätter intrång och verifierar varje begäran som om den kommer från ett okontrollerat nätverk. Oavsett var begäran kommer från eller vilken resurs den kommer åt lär zero trust-modellen oss att "aldrig lita på, alltid verifiera".

Använd den här artikeln tillsammans med den här affischen.

Objekt	Beskrivning
PDF \| Visio Uppdaterad april 2025	Relaterade lösningsguider Distribuera din identitetsinfrastruktur för Microsoft 365 Rekommenderade konfigurationer för identitets- och enhetsåtkomst Hantera enheter med Intune Pilotera och distribuera Microsoft Defender XDR Distribuera en informationsskyddslösning med Microsoft Purview Identifiera, skydda och styra AI-appar och data Hantera regler för datasekretess med Microsoft 365

Nolltillit principer och arkitektur

Noll förtroende är en säkerhetsstrategi. Det är inte en produkt eller en tjänst, utan en metod för att utforma och implementera följande uppsättning säkerhetsprinciper.

Princip	Beskrivning
Verifiera tydligt	Autentisera och auktorisera alltid baserat på alla tillgängliga datapunkter.
Använd åtkomst med minst behörighet	Begränsa användaråtkomst med JUST-In-Time och Just-Enough-Access (JIT/JEA), riskbaserade adaptiva principer och dataskydd.
Förutsätt intrång	Minimera explosionsradien och segmentera åtkomsten. Verifiera kryptering från slutpunkt till slutpunkt och använd analys för att få synlighet, driva hotidentifiering och förbättra skyddet.

Vägledningen i den här artikeln hjälper dig att tillämpa dessa principer genom att implementera funktioner med Microsoft 365.

En Zero Trust-metod sträcker sig över hela den digitala egendomen och fungerar som en integrerad säkerhetsfilosofi och strategi från slutpunkt till slutpunkt.

Den här bilden ger en representation av de primära element som bidrar till Nolltillit.

I bilden:

Implementering av säkerhetspolicy är i centrum för en Zero Trust-arkitektur. Detta inkluderar multifaktorautentisering med villkorsstyrd åtkomst som tar hänsyn till användarkontorisk, enhetsstatus och andra kriterier och principer som du anger.
Identiteter, enheter, data, appar, nätverk och andra infrastrukturkomponenter konfigureras med lämplig säkerhet. Principer som har konfigurerats för var och en av dessa komponenter samordnas med din övergripande Zero Trust-strategi. Enhetsprinciper bestämmer till exempel kriterierna för felfria enheter och principer för villkorsstyrd åtkomst kräver felfria enheter för åtkomst till specifika appar och data.
Hotskydd och intelligens övervakar miljön, exponerar aktuella risker och vidtar automatiserade åtgärder för att åtgärda attacker.

Mer information om Nolltillit finns i Microsofts Nolltillit Guidance Center.

Distribuera Nolltillit för Microsoft 365

Microsoft 365 har skapats avsiktligt med många säkerhets- och informationsskyddsfunktioner som hjälper dig att bygga Nolltillit i din miljö. Många av funktionerna kan utökas för att skydda åtkomsten till andra SaaS-appar som din organisation använder och data i dessa appar.

Den här bilden representerar arbetet med att distribuera Nolltillit funktioner. Det här arbetet är anpassat till Nolltillit affärsscenarier i Nolltillit implementeringsramverk.

I den här bilden kategoriseras distributionsarbetet i fem simbanor:

Säkert fjärr- och hybridarbete – Det här arbetet bygger på identitets- och enhetsskydd.
Förhindra eller minska företagsskador från ett intrång – Skydd mot hot ger övervakning i realtid och reparation av säkerhetshot. Defender for Cloud Apps ger identifiering av SaaS-appar, inklusive AI-appar, och gör att du kan utöka dataskyddet till dessa appar.
Identifiera och skydda känsliga affärsdata – Dataskyddsfunktioner ger avancerade kontroller riktade till specifika typer av data för att skydda din mest värdefulla information.
Skydda AI-appar och data – Skydda snabbt organisationens användning av AI-appar och de data som dessa interagerar med.
Uppfylla regel- och efterlevnadskrav – Förstå och spåra dina framsteg mot att följa regler som påverkar din organisation.

Den här artikeln förutsätter att du använder molnidentitet. Om du behöver vägledning för det här målet kan du läsa Distribuera din identitetsinfrastruktur för Microsoft 365.

Tips/Råd

När du förstår stegen och distributionsprocessen från slutpunkt till slutpunkt kan du använda avancerad distributionsguide för Konfigurera microsoft Nolltillit säkerhetsmodell när du är inloggad på Administrationscenter för Microsoft 365. Den här guiden vägleder dig genom att tillämpa Nolltillit principer för grundpelare för standardteknik och avancerad teknik. Om du vill gå igenom guiden utan att logga in går du till installationsportalen för Microsoft 365.

Simbana 1 – Säkert fjärr- och hybridarbete

Att skydda fjärr- och hybridarbete innebär att konfigurera identitets- och enhetsåtkomstskydd. Dessa skydd bidrar uttryckligen till Nolltillit princip verifiera.

Utför arbetet med att skydda fjärr- och hybridarbete i tre faser.

Fas 1 – Implementera principer för startpunktsidentitet och enhetsåtkomst

Microsoft rekommenderar en omfattande uppsättning principer för identitets- och enhetsåtkomst för Nolltillit i den här guiden – Nolltillit konfigurationer för identitets- och enhetsåtkomst.

I fas 1 börjar du med att implementera startpunktsnivån. Dessa principer kräver inte registrering av enheter i hanteringen.

Gå till Nolltillit identitets- och enhetsåtkomstskydd för detaljerad vägledning. Den här serien med artiklar beskriver en uppsättning konfigurationer för krav på identitets- och enhetsåtkomst och en uppsättning Microsoft Entra villkorlig åtkomst, Microsoft Intune och andra principer för säker åtkomst till Microsoft 365 för molnappar och tjänster i företagsmoln, andra SaaS-tjänster och lokala program som publicerats med Microsoft Entra program proxyserver.

Innehåller	Förutsättningar	Inkluderar inte
Rekommenderade principer för identitets- och enhetsåtkomst för tre skyddsnivåer: Utgångspunkt Enterprise (rekommenderas) Specialiserad Ytterligare rekommendationer för: Externa användare (gäster) Microsoft Teams SharePoint	Microsoft E3 eller E5 Microsoft Entra ID i något av följande lägen: Endast molnbaserad Hybridautentisering med synkronisering av lösenordshash (PHS) Hybrid med direktautentisering (PTA) Federerad	Enhetsregistrering för principer som kräver hanterade enheter. Se Hantera enheter med Intune för att registrera enheter.

Innehåller

Förutsättningar

Inkluderar inte

Rekommenderade principer för identitets- och enhetsåtkomst för tre skyddsnivåer:

Utgångspunkt
Enterprise (rekommenderas)
Specialiserad

Ytterligare rekommendationer för:

Externa användare (gäster)
Microsoft Teams
SharePoint

Microsoft E3 eller E5

Microsoft Entra ID i något av följande lägen:

Endast molnbaserad
Hybridautentisering med synkronisering av lösenordshash (PHS)
Hybrid med direktautentisering (PTA)
Federerad

Enhetsregistrering för principer som kräver hanterade enheter. Se Hantera enheter med Intune för att registrera enheter.

Fas 2 – Registrera enheter för hantering med Intune

Registrera sedan dina enheter i hanteringen och börja skydda dem med mer avancerade kontroller.

Mer information om hur du registrerar enheter i hanteringen finns i Hantera enheter med Intune.

Innehåller	Förutsättningar	Inkluderar inte
Registrera enheter med Intune: Företagsägda enheter Autopilot/automatiserad registrering Konfigurera principer: Appskyddsprinciper Efterlevnadsprinciper Principer för enhetsprofil	Registrera slutpunkter med Microsoft Entra ID	Konfigurera informationsskyddsfunktioner, inklusive: Typer av känslig information Etiketter DLP-principer De här funktionerna finns i Simbana 3 – Identifiera och skydda känsliga affärsdata (senare i den här artikeln).

Innehåller

Förutsättningar

Inkluderar inte

Registrera enheter med Intune:

Företagsägda enheter
Autopilot/automatiserad
registrering

Konfigurera principer:

Appskyddsprinciper
Efterlevnadsprinciper
Principer för enhetsprofil

Registrera slutpunkter med Microsoft Entra ID

Konfigurera informationsskyddsfunktioner, inklusive:

Typer av känslig information
Etiketter
DLP-principer

De här funktionerna finns i Simbana 3 – Identifiera och skydda känsliga affärsdata (senare i den här artikeln).

Mer information finns i Nolltillit för Microsoft Intune.

Fas 3 – Lägg till Nolltillit identitets- och enhetsåtkomstskydd: Företagsprinciper

När enheter har registrerats för hantering kan du nu implementera den fullständiga uppsättningen rekommenderade Nolltillit principer för identitets- och enhetsåtkomst, vilket kräver kompatibla enheter.

Gå tillbaka till Vanliga principer för identitets- och enhetsåtkomst och lägg till principerna på Enterprise-nivån.

Läs mer om hur du skyddar fjärr- och hybridarbete i Nolltillit implementeringsramverk – Säkert fjärr- och hybridarbete.

Simbana 2 – Förhindra eller minska affärsskador vid intrång

Microsoft Defender XDR är en XDR-lösning (extended detection and response) som automatiskt samlar in, korrelerar och analyserar signal-, hot- och aviseringsdata från din Microsoft 365-miljö, inklusive slutpunkt, e-post, program och identiteter. Dessutom hjälper Microsoft Defender for Cloud Apps organisationer att identifiera och hantera åtkomst till SaaS-appar, inklusive GenAI-appar.

Förhindra eller minska skada på verksamheten genom att testa och distribuera Microsoft Defender XDR.

Gå till Pilot och distribuera Microsoft Defender XDR för en metodisk guide för att testa och distribuera Microsoft Defender XDR komponenter.

Innehåller	Förutsättningar	Inkluderar inte
Konfigurera utvärderings- och pilotmiljön för alla komponenter: Defender för identitet Defender för Office 365 Defender för Endpoint Defender för molnet-appar Skydda mot hot Undersöka och svara på hot	Se vägledningen för att läsa om arkitekturkraven för varje komponent i Microsoft Defender XDR.	Microsoft Entra ID Protection ingår inte i den här lösningsguiden. Den ingår i Swim lane 1 – Säkert fjärr- och hybridarbete.

Läs mer om hur du förhindrar eller minskar affärsskador från ett intrång i Nolltillit ramverket för implementering – Förhindra eller minska affärsskador från ett intrång.

Simbana 3 – Identifiera och skydda känsliga affärsdata

Implementera Microsoft Purview Information Protection som hjälper dig att upptäcka, klassificera och skydda känslig information var den än befinner sig eller reser.

Microsoft Purview Information Protection funktioner ingår i Microsoft Purview och ger dig verktyg för att känna till dina data, skydda dina data och förhindra dataförlust. Du kan börja det här arbetet när som helst.

Microsoft Purview Information Protection tillhandahåller ett ramverk, en process och funktioner som du kan använda för att uppnå dina specifika affärsmål.

Diagram som visar översikten över Microsoft Purview Information Protection.

Mer information om hur du planerar och distribuerar informationsskydd finns i Distribuera en Microsoft Purview Information Protection-lösning.

Läs mer om hur du identifierar och skyddar känsliga affärsdata i Nolltillit implementeringsramverk – Identifiera och skydda känsliga affärsdata.

Simbana 4 – Säkra AI-appar och data

Microsoft 365 innehåller funktioner som hjälper organisationer att snabbt skydda AI-appar och de data som dessa använder.

Börja med att använda Purview Hantering av datasäkerhetsstatus (DSPM) för AI. Det här verktyget fokuserar på hur AI används i din organisation, särskilt dina känsliga data som interagerar med AI-verktyg. DSPM för AI ger djupare insikter för Microsoft Copilots och SaaS-program från tredje part som ChatGPT Enterprise och Google Gemini.

Följande diagram visar en av de aggregerade vyerna om effekten av AI-användning på dina data – Känsliga interaktioner per generativ AI-app.

Använd DSPM för AI för att:

Få insyn i AI-användning, inklusive känsliga data.
Granska datautvärderingar för att lära dig mer om luckor i överdelning som kan åtgärdas med SharePoint-överdelningskontroller.
Hitta luckor i din principtäckning för känslighetsetiketter och principer för dataförlustskydd (DLP).

Defender for Cloud Apps är ett annat kraftfullt verktyg för att identifiera och styra SaaS GenAI-appar och -användning. Defender for Cloud Apps innehåller mer än tusen generativa AI-relaterade appar i katalogen, vilket ger insyn i hur generativa AI-appar används i din organisation och hjälper dig att hantera dem på ett säkert sätt.

Förutom dessa verktyg tillhandahåller Microsoft 365 en omfattande uppsättning funktioner för att skydda och styra AI. Se Identifiera, skydda och styra AI-appar och data för att lära dig hur du kommer igång med dessa funktioner.

I följande tabell visas Microsoft 365-funktionerna med länkar till mer information i biblioteket Säkerhet för AI.

Kapacitet	Mer information
SharePoint-överdelningskontroller, inklusive Avancerad hantering för SharePoint	Tillämpa sharepoint-överdelningskontroller
DSPM för AI	Få insyn i AI-användning med (DSPM) för AI Skydda data via DSPM för AI
Känslighetsetiketter och DLP-principer	Fortsätt att identifiera luckor i känslighetsetiketter och DLP-principer
IRM (Insider Risk Management) – Mall för riskfyllda AI-användningsprinciper	Använda mallen riskfylld AI
Anpassningsbart skydd	Konfigurera anpassningsbart skydd för hantering av insiderrisk
Defender för molnappar	Identifiera, sanktionera och blockera AI-appar Prioritera och skydda användningen av AI-appar Hantera AI-appar baserat på efterlevnadsrisk
Purview Efterlevnadschef	Skapa och hantera utvärderingar för AI-relaterade regler
Purview-kommunikationsefterlevnad	Analysera frågor och svar som angetts i generativa AI-program för att identifiera olämpliga eller riskfyllda interaktioner eller delning av konfidentiell information
Hantering av Purview-datalivscykel	Proaktivt ta bort innehåll som du inte längre behöver behålla för att minska risken för överexponering av data i AI-verktyg
Elektronisk upptäckt	Sök efter nyckelord i prompter och svar, hantera resultaten i eDiscovery-fall
Granskningsloggar för Copilot- och AI-aktiviteter	identifiera hur, när och var Copilot-interaktioner inträffade och vilka objekt som användes, inklusive eventuella känslighetsetiketter för dessa objekt
Sekretessutvärderingar för Priva	Initiera utvärderingar av sekretesspåverkan för AI-appar som du skapar

Simbana 5 – Uppfylla regel- och efterlevnadskrav

Oavsett komplexiteten i organisationens IT-miljö eller organisationens storlek läggs nya regelkrav som kan påverka din verksamhet kontinuerligt ihop. En Nolltillit metod överskrider ofta vissa typer av krav som införts av efterlevnadsregler, till exempel de som styr åtkomsten till personuppgifter. Organisationer som har implementerat en Nolltillit metod kan upptäcka att de redan uppfyller vissa nya villkor eller enkelt kan bygga vidare på sin Nolltillit arkitektur för att vara kompatibla.

Microsoft 365 innehåller funktioner för att hjälpa till med regelefterlevnad, inklusive:

Efterlevnadshanteraren
Innehållsutforskaren
Kvarhållningsprinciper, känslighetsetiketter och DLP-principer
Kommunikationsefterlevnad
Livscykelhantering av data
Priva hantering av sekretessrisker

Använd följande resurser för att uppfylla regel- och efterlevnadskrav.

Resurs	Mer information
Nolltillit införanderamverk – Uppfylla regel- och efterlevnadskrav	Beskriver en metodisk metod som din organisation kan följa, inklusive att definiera strategi, planering, införande och styrning.
Styra AI-appar och data för regelefterlevnad	Hanterar regelefterlevnad för de nya AI-relaterade reglerna, inklusive specifika funktioner som hjälper.
Hantera datasekretess och dataskydd med Microsoft Priva och Microsoft Purview	Utvärdera risker och vidta lämpliga åtgärder för att skydda personuppgifter i organisationens miljö med hjälp av Microsoft Priva och Microsoft Purview.

Nästa steg

Läs mer om Nolltillit genom att besöka Nolltillit vägledningscenter.