Dela via

Rekommenderade principer för specifika Microsoft 365-arbetsbelastningar

När du har konfigurerat de vanliga säkerhetsprinciperna för Noll förtroende i din Microsoft 365-organisation måste du konfigurera extra principer och inställningar för specifika appar och arbetsbelastningar baserat på de tre vägledande principerna för Noll förtroende:

  • Verifiera tydligt
  • Använd minst behörighet
  • Förutsätt intrång

De extra principerna och inställningarna för specifika appar och arbetsbelastningar beskrivs i den här artikeln.

Tips/Råd

Testa om möjligt dina principer i en icke-produktionsmiljö innan du distribuerar dem till dina produktionsanvändare. Testning är viktigt för att identifiera och förmedla eventuella effekter till dina användare.

Microsoft Copilot-rekommendationer för Noll förtroende

Mer information finns i Använda Zero Trust-säkerhet för att förbereda för AI-följeslagare, inklusive Microsoft Copilots.

Exchange Online-rekommendationer för Noll förtroende

I det här avsnittet beskrivs de rekommenderade inställningarna för Noll förtroende i Exchange Online.

Kontrollera att automatisk vidarebefordran av e-post till externa mottagare är inaktiverad

Som standard blockerar principer för utgående skräppost i Exchange Online Protection (EOP) automatisk vidarebefordran av e-post till externa mottagare som utförs av inkorgsregler eller av vidarebefordran av postlådor (kallas även SMTP-vidarebefordran). Mer information finns i Styra automatisk vidarebefordran av extern e-post i Microsoft 365.

I alla principer för utgående skräppost kontrollerar du att värdet för inställningen Regler för automatisk vidarebefordring är Automatisk – Systemkontrollerad (standardvärdet) eller Av – Vidarebefordran är inaktiverad. Båda värdena blockerar automatisk vidarebefordran av e-post till externa mottagare av berörda användare. En standardprincip gäller för alla användare och administratörer kan skapa anpassade principer som gäller för specifika användargrupper. Mer information finns i Konfigurera principer för utgående skräppost i EOP.

Blockera Exchange ActiveSync-klienter

Exchange ActiveSync är ett klientprotokoll som synkroniserar e-post- och kalenderdata på stationära och mobila enheter. Blockera åtkomst till företagets e-post av osäkra ActiveSync-klienter enligt beskrivningen i följande procedurer:

  • Mobila enheter: Om du vill blockera e-poståtkomst från följande typer av mobila enheter skapar du principen för villkorsstyrd åtkomst som beskrivs i Kräv godkända appar eller appskyddsprinciper:

    • ActiveSync-klienter som använder grundläggande autentisering.
    • ActiveSync-klienter som stöder modern autentisering, men inte Intune-appskyddsprinciper.
    • Enheter som stöder Intune-appskyddsprinciper, men som inte definieras i en appskyddsprincip. Mer information finns i Kräv en appskyddsprincip.

    Tips/Råd

    Vi rekommenderar Microsoft Outlook för iOS och Android som app för åtkomst till företagets e-post från iOS/iPadOS- och Android-enheter.

  • Datorer och andra enheter: Om du vill blockera alla ActiveSync-klienter som använder grundläggande autentisering skapar du principen för villkorsstyrd åtkomst som beskrivs i Blockera Exchange ActiveSync på alla enheter.

Begränsa åtkomsten till e-postbilagor i Outlook på webben och nya Outlook för Windows

Du kan begränsa hur användare på ohanterade enheter kan interagera med e-postbilagor i Outlook på webben (kallades tidigare Outlook Web App eller OWA) och i nya Outlook för Windows:

  • Hindra användare från att ladda ned e-postbilagor. De kan visa och redigera dessa filer med Hjälp av Office Online utan att läcka och lagra filerna på enheten.
  • Blockera användare från att ens se bifogade filer.

Du tillämpar dessa begränsningar genom Outlook på webben-postlådeprinciper. Microsoft 365-organisationer med Exchange Online-postlådor har den inbyggda standardprincipen för Outlook för webbpostlåda med namnet OwaMailboxPolicy-Default. Som standard tillämpas den här principen på alla användare. Administratörer kan också skapa anpassade principer som gäller för specifika användargrupper.

Här följer stegen för att begränsa åtkomsten till e-postbilagor på ohanterade enheter:

  1. Anslut till Exchange Online PowerShell.

  2. Kör följande kommando för att se de tillgängliga principerna för Outlook-postlådor på webben:

    Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy

  3. Använd följande syntax för att begränsa åtkomsten till e-postbilagor i Outlook på webben och den nya Outlook för Windows på ohanterade enheter:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy <ReadOnly | ReadOnlyPlusAttachmentsBlocked>

    I det här exemplet kan du visa men inte ladda ned bifogade filer i standardprincipen.

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly

    I det här exemplet blockeras visning av bifogade filer i standardprincipen.

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

  4. På sidan villkorlig åtkomst | Översikt i administrationscentret för Microsoft Entra på https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Overview, , skapa en ny princip för villkorlig åtkomst med följande inställningar:

    • Avsnittet Tilldelningar:
      • Användare: Välj lämpliga användare och grupper som ska inkluderas och exkluderas på flikarna Inkludera och Exkludera.
      • Målresurser: Välj vad den här principen gäller för>resurser (tidigare molnappar)>fliken Inkludera>Välj resurser>Välj> hitta och välj Office 365 Exchange Online.
    • Avsnittet Åtkomstkontroller: Session> välj Använd app-tillämpliga begränsningar.
    • Aktivera princip, avsnitt: Välj .

Konfigurera meddelandekryptering

Med Microsoft Purview-meddelandekryptering, som använder skyddsfunktioner i Azure Information Protection, kan din organisation enkelt dela skyddad e-post med vem som helst på valfri enhet. Användare kan skicka och ta emot skyddade meddelanden med andra organisationer som använder Microsoft 365, Outlook.com, Gmail och andra e-posttjänster.

Mer information finns i Konfigurera meddelandekryptering.

SharePoint-rekommendationer för Noll förtroende

I det här avsnittet beskrivs de rekommenderade inställningarna för Noll förtroende i SharePoint.

Konfigurera SharePoint-åtkomstkontroll för att begränsa åtkomsten för ohanterade enheter

Tips/Råd

Inställningarna i det här avsnittet kräver Microsoft Entra ID P1 eller P2. Mer information finns i Microsoft Entra-planer och priser.

När du konfigurerar åtkomstkontroll för ohanterade enheter i SharePoint skapas automatiskt en motsvarande princip för villkorsstyrd åtkomst för att framtvinga åtkomstnivån i Microsoft Entra-ID. Den här organisationsomfattande inställningen gäller för alla användare, men påverkar bara åtkomsten till webbplatser som specifikt ingår i SharePoint-åtkomstkontroll.

I synnerhet måste du inkludera webbplatser i SharePoint-åtkomstkontroll som använder företagssäkerhet eller specialiserad säkerhet för Noll förtroende enligt beskrivningen i följande steg:

  1. Konfigurera Tillåt begränsad åtkomst via webben eller Blockera åtkomst för ohanterade enheter i SharePoint-åtkomstkontroll. Den här inställningen gäller för alla användare, men påverkar inte deras åtkomst till webbplatser där de redan har webbplatsbehörighet om inte webbplatsen ingår i Åtkomstkontroll för SharePoint (nästa steg).

    Tips/Råd

    Åtkomst på platsnivå kan inte vara mer tillåtande än inställningen för åtkomstkontroll för organisationen. Välj till exempel Tillåt begränsad webbåtkomst för ohanterade enheter i organisationsomfattande åtkomstkontroll så att du kan använda AllowLimitedAccess eller BlockAccess på specifika webbplatser. Om du väljer Blockera åtkomst för ohanterade enheter i organisationsomfattande åtkomstkontroll kan du inte använda AllowLimitedAccess på specifika webbplatser (endast BlockAccess är tillgängligt).

  2. Anslut till SharePoint Online PowerShell och använd parametern ConditionalAccessPolicy på cmdleten Set-SPOSite för att inkludera webbplatsen i SharePoint-åtkomstkontroll för ohanterade enheter:

    • Företagswebbplatser: Använd värdet AllowLimitedAccess för att förhindra att användare på ohanterade enheter laddar ned, skriver ut eller synkroniserar filer.
    • Specialiserade säkerhetswebbplatser: Använd värdet BlockAccess för att blockera åtkomst från ohanterade enheter.

    Anvisningar finns i Blockera eller begränsa åtkomst till en specifik SharePoint-webbplats eller OneDrive

Traditionellt hanterar webbplatsägare SharePoint-webbplatsbehörigheter baserat på företagets behov av att komma åt webbplatsen. Om du konfigurerar SharePoint-åtkomstkontroll för ohanterade enheter på organisationsnivå och webbplatsnivå säkerställs ett konsekvent skydd för dessa webbplatser baserat på nollförtroendeskyddsnivån.

Överväg följande exempelwebbplatser i Contoso-organisationen. SharePoint-åtkomstkontroll för ohanterade enheter är konfigurerad på nivån Tillåt begränsad, endast webbåtkomst för organisationen.

  • Analysteamets webbplats konfigurerad med företagsskydd: Webbplatsen är konfigurerad med AllowLimitedAccess för ohanterade enheter i SharePoint-åtkomstkontroll. Användare med webbplatsbehörigheter får endast webbläsaråtkomst till webbplatsen på ohanterade enheter. De kan komma åt webbplatsen med hjälp av andra appar på hanterade enheter.
  • Webbplatsen Handelshemligheter konfigureras med specialiserat säkerhetsskydd: Webbplatsen är konfigurerad med Block för oadministrerade enheter i SharePoint-åtkomstkontroll. Användare med webbplatsbehörigheter blockeras från att komma åt webbplatsen på ohanterade enheter. De kan bara komma åt webbplatsen på hanterade enheter.

Microsoft Teams-rekommendationer för Noll förtroende

I det här avsnittet beskrivs de rekommenderade inställningarna för Noll förtroende i Microsoft Teams.

Arkitektur för Teams-beroende tjänster

Diagrammet på Microsoft Teams och relaterade produktivitetstjänster i Microsoft 365 för IT-arkitekter illustrerar de tjänster som används av Microsoft Teams.

Gäståtkomst och extern åtkomst för Teams

Microsoft Teams definierar följande åtkomsttyper för användare utanför organisationen:

  • Gäståtkomst: Använder ett Microsoft Entra B2B-konto för varje användare som kan läggas till som medlem i ett team. Gäståtkomst ger åtkomst till Teams resurser och interaktion med interna användare i gruppkonversationer, chattar och möten.

    Mer information om gäståtkomst och hur du implementerar den finns i Gäståtkomst i Microsoft Teams.

  • extern åtkomst: Användare utanför organisationen som inte har Microsoft Entra B2B-konton. Extern åtkomst kan omfatta inbjudningar och deltagande i samtal, chattar och möten, men inkluderar inte gruppmedlemskap eller åtkomst till teamets resurser. Extern åtkomst är ett sätt för Teams-användare i en extern domän att hitta, ringa, chatta med och konfigurera möten i Teams med användare i din organisation.

    Teams-administratörer kan använda anpassade principer för att konfigurera extern åtkomst för organisationen, grupper av användare eller enskilda användare. Mer information finns i IT-administratörer – Hantera externa möten och chatta med personer och organisationer som använder Microsoft-identiteter.

Externa åtkomstanvändare har mindre åtkomst och funktioner än gäståtkomstanvändare. Till exempel kan externa åtkomstanvändare chatta med interna användare med hjälp av Teams, men de kan inte komma åt teamkanaler, filer eller andra resurser.

Principer för villkorsstyrd åtkomst gäller endast för gäståtkomstanvändare i Teams eftersom det finns motsvarande Microsoft Entra B2B-konton. Extern åtkomst använder inte Microsoft Entra B2B-konton och kan därför inte använda principer för villkorsstyrd åtkomst.

Rekommenderade principer för att tillåta åtkomst med ett Microsoft Entra B2B-konto finns i Principer för att tillåta gäst- och extern B2B-kontoåtkomst.

SaaS-apprekommendationer för Noll förtroende

Microsoft Defender för Cloud Apps bygger på principer för villkorsstyrd åtkomst i Microsoft Entra för att möjliggöra övervakning och kontroll i realtid av detaljerade åtgärder med SaaS-appar (programvara som en tjänst), till exempel blockera nedladdningar, uppladdningar, kopiera/klistra in och skriva ut. Den här funktionen lägger till säkerhet för sessioner som medför inneboende risker, till exempel när företagsresurser nås från ohanterade enheter eller av gäster.

Mer information finns i Integrera SaaS-appar för Noll förtroende med Microsoft 365.