Microsoft 365 ile Sıfır Güven dağıtım planı

Bu makale, Microsoft 365 ile Sıfır Güven güvenliği oluşturmaya yönelik bir dağıtım planı sağlar. Sıfır Güven, ihlal olduğunu varsayan ve her isteği kontrolsüz bir ağdan geliyormuş gibi doğrulayan yeni bir güvenlik modelidir. İsteğin nereden kaynaklandığına veya hangi kaynağa eriştiğine bakılmaksızın, Sıfır Güven modeli bize "asla güvenme, her zaman doğrulama" öğretir.

Bu makaleyi bu posterle birlikte kullanın.

Öğe Açıklama
Microsoft 365 Sıfır Güven dağıtım planının çizimi.
PDF | Visio
Şubat 2023'de güncelleştirildi
İlgili çözüm kılavuzları

Sıfır Güven güvenlik mimarisi

Sıfır Güven bir yaklaşım tüm dijital emlak genelinde genişletilir ve tümleşik bir güvenlik felsefesi ve uçtan uca bir strateji işlevi görür.

Bu çizim, Sıfır Güven katkıda bulunan birincil öğelerin bir gösterimini sağlar.

Sıfır Güven güvenlik mimarisi

Çizimde:

  • Güvenlik ilkesi zorlama, Sıfır Güven mimarisinin merkezindedir. Bu, kullanıcı hesabı riskini, cihaz durumunu ve ayarladığınız diğer ölçütleri ve ilkeleri dikkate alan koşullu erişime sahip Multi Factor kimlik doğrulamasını içerir.
  • Kimlikler, cihazlar, veriler, uygulamalar, ağ ve diğer altyapı bileşenlerinin tümü uygun güvenlikle yapılandırılır. Bu bileşenlerin her biri için yapılandırılan ilkeler, genel Sıfır Güven stratejinizle koordine edilir. Örneğin, cihaz ilkeleri iyi durumdaki cihazlar için ölçütleri belirler ve koşullu erişim ilkeleri belirli uygulamalara ve verilere erişmek için iyi durumdaki cihazlar gerektirir.
  • Tehdit koruması ve zeka ortamı izler, mevcut riskleri ortaya çıkarır ve saldırıları düzeltmek için otomatik eylem gerçekleştirir.

Sıfır Güven hakkında daha fazla bilgi için bkz. Microsoft'un Sıfır Güven Rehberlik Merkezi.

Microsoft 365 için Sıfır Güven dağıtma

Microsoft 365, ortamınızda Sıfır Güven oluşturmanıza yardımcı olmak için kasıtlı olarak birçok güvenlik ve bilgi koruma özelliğiyle derlenir. Kuruluşunuzun kullandığı diğer SaaS uygulamalarına ve bu uygulamalardaki verilere erişimi korumak için özelliklerin çoğu genişletilebilir.

Bu çizim, Sıfır Güven özellikleri dağıtma işlemini temsil eder. Bu çalışma, alttan başlayıp en üste doğru çalışarak birlikte yapılandırılabilir çalışma birimlerine bölünerek önkoşul çalışmasının tamamlanmasını sağlar.

Microsoft 365 Sıfır Güven dağıtım yığını

Bu çizimde:

  • Sıfır Güven, kimlik ve cihaz korumasının temeli ile başlar.
  • Tehdit koruma özellikleri, güvenlik tehditlerinin gerçek zamanlı izlenmesini ve düzeltilmesi için bu temelin üzerine kurulmuştur.
  • Bilgi koruma ve idare, en değerli bilgilerinizi korumak ve kişisel bilgileri korumak da dahil olmak üzere uyumluluk standartlarına uymanıza yardımcı olmak için belirli veri türlerini hedefleyen gelişmiş denetimler sağlar.

Bu makalede, bulut kimliğini zaten yapılandırdığınız varsayılır. Bu amaç için yardıma ihtiyacınız varsa bkz. Microsoft 365 için kimlik altyapınızı dağıtma.

İpucu

Adımları ve uçtan uca dağıtım işlemini anladığınızda, Microsoft 365 yönetim merkezi oturum açtığınızda Microsoft Sıfır Güven güvenlik modelinizi ayarlama gelişmiş dağıtım kılavuzunu kullanabilirsiniz. Bu kılavuz, standart ve ileri teknoloji sütunları için Sıfır Güven ilkeleri uygulama konusunda size yol gösterir. Oturum açmadan kılavuzda adım adım ilerleyebilmek için Microsoft 365 Kurulum portalına gidin.

1. Adım: Sıfır Güven kimliği ve cihaz erişim korumasını yapılandırma — başlangıç noktası ilkeleri

İlk adım, kimlik ve cihaz erişim korumasını yapılandırarak Sıfır Güven temelinizi oluşturmaktır.

Sıfır Güven kimliği ve cihaz erişim korumasını yapılandırma işlemini gösteren diyagram.

Bunu gerçekleştirmek için Sıfır Güven kimlik ve cihaz erişim korumasına gidin. Bu makale serisinde, kurumsal bulut uygulamaları ve hizmetleri, diğer SaaS hizmetleri ve Microsoft Entra uygulamasıyla yayımlanan şirket içi uygulamalar için Microsoft 365'e erişimin güvenliğini sağlamak için bir dizi kimlik ve cihaz erişimi önkoşul yapılandırması ve bir dizi Microsoft Entra Koşullu Erişim, Microsoft Intune ve diğer ilkeler açıklanmaktadır Proxy.

Içerir Önkoşullar Şunları içermez:
Üç koruma düzeyi için önerilen kimlik ve cihaz erişim ilkeleri:
  • Başlangıç noktası
  • Kurumsal (önerilir)
  • Özel

Ek öneriler:
  • Dış kullanıcılar (konuklar)
  • Microsoft Teams
  • SharePoint Online
  • Bulut Uygulamaları için Microsoft Defender
Microsoft E3 veya E5

Bu modlardan birinde kimlik Microsoft Entra:
  • Yalnızca bulut
  • Parola karması eşitleme (PHS) kimlik doğrulaması ile karma
  • Doğrudan kimlik doğrulaması (PTA) ile karma
  • Federe
Yönetilen cihazlar gerektiren ilkeler için cihaz kaydı. Bkz. 2. Adım. Cihazları kaydetmek için Intune ile uç noktaları yönetme

Başlangıç noktası katmanını uygulayarak başlayın. Bu ilkeler, cihazların yönetime kaydedilmesini gerektirmez.

Sıfır Güven kimlik ve cihaz erişim ilkeleri — başlangıç noktası katmanı

2. Adım: Intune ile uç noktaları yönetme

Ardından, cihazlarınızı yönetime kaydedin ve bunları daha gelişmiş denetimlerle korumaya başlayın.

Intune ile uç noktaları yönetme öğesini gösteren diyagram.

Bunu yapmak için açıklayıcı yönergeler için Intune ile cihazları yönetme konusuna gidin.

Içerir Önkoşullar Şunları içermez:
Intune ile cihazları kaydetme:
  • Şirkete ait cihazlar
  • Otomatik pilot/otomatik
  • Kayıt

İlkeleri yapılandırma:
  • Uygulama Koruma ilkeleri
  • Uyumluluk ilkeleri
  • Cihaz profili ilkeleri
Uç noktaları Microsoft Entra kimliğiyle kaydetme Aşağıdakiler dahil olmak üzere bilgi koruma özelliklerini yapılandırma:
  • Hassas bilgi türleri
  • Etiket
  • DLP ilkeleri

Bu özellikler için bkz . 5. Adım. Hassas verileri koruma ve yönetme (bu makalenin ilerleyen bölümlerinde).

Daha fazla bilgi için bkz. Microsoft Intune için Sıfır Güven.

3. Adım: Sıfır Güven kimlik ve cihaz erişim koruması ekleme — Kurumsal ilkeler

Yönetime kayıtlı cihazlar sayesinde artık uyumlu cihazlar gerektiren önerilen Sıfır Güven kimlik ve cihaz erişim ilkelerinin tamamını uygulayabilirsiniz.

Cihaz yönetimiyle Sıfır Güven kimliği ve erişim ilkeleri

Ortak kimlik ve cihaz erişim ilkelerine dönün ve ilkeleri Kurumsal katmana ekleyin.

Sıfır Güven kimlik ve erişim ilkeleri — Kurumsal (önerilen) katmanı

4. Adım: Microsoft Defender XDR değerlendirme, pilot uygulama ve dağıtma

Microsoft Defender XDR, Uç nokta, e-posta, uygulamalar ve kimlikler de dahil olmak üzere Microsoft 365 ortamınızdaki sinyal, tehdit ve uyarı verilerini otomatik olarak toplayan, ilişkilendiren ve analiz eden genişletilmiş bir algılama ve yanıt (XDR) çözümüdür.

Sıfır Güven mimarisine Microsoft Defender XDR ekleme işlemi

Microsoft Defender XDR bileşenlerinin pilot ve dağıtımına yönelik yöntemsel bir kılavuz için değerlendirme ve pilot Microsoft Defender XDR bölümüne gidin.

Içerir Önkoşullar Şunları içermez:
Tüm bileşenler için değerlendirme ve pilot ortamı ayarlayın:
  • Kimlik için Microsoft Defender
  • Office 365 için Defender
  • Uç Nokta için Defender
  • Bulut Uygulamaları için Microsoft Defender

Tehditlere karşı korunun

Tehditleri araştırın ve karşı yanıt verin
Microsoft Defender XDR her bileşeni için mimari gereksinimleri hakkında bilgi edinmek için kılavuza bakın. Microsoft Entra ID Koruması bu çözüm kılavuzuna dahil değildir. 1. Adım'a dahildir. Sıfır Güven kimliği ve cihaz erişim korumasını yapılandırın.

Daha fazla bilgi için şu ek Sıfır Güven makalelerine bakın:

5. Adım: Hassas verileri koruma ve yönetme

Hassas bilgileri nerede olursa olsun keşfetmenize, sınıflandırmanıza ve korumanıza yardımcı olmak için Microsoft Purview Bilgi Koruması uygulayın.

Microsoft Purview Bilgi Koruması özellikleri Microsoft Purview'a dahil edilir ve verilerinizi bilmeniz, verilerinizi korumanız ve veri kaybını önlemeniz için size araçlar sağlar.

Bilgi koruma özellikleri, ilke uygulama yoluyla verileri koruma

Bu çalışma, bu makalenin önceki bölümlerinde gösterilen dağıtım yığınının en üstünde gösteriliyor olsa da, bu çalışmaya istediğiniz zaman başlayabilirsiniz.

Microsoft Purview Bilgi Koruması, belirli iş hedeflerinizi gerçekleştirmek için kullanabileceğiniz bir çerçeve, süreç ve özellikler sağlar.

Microsoft Purview Bilgi Koruması

Bilgi korumasını planlama ve dağıtma hakkında daha fazla bilgi için bkz. Microsoft Purview Bilgi Koruması çözümü dağıtma.

Veri gizliliği düzenlemeleri için bilgi koruması dağıtıyorsanız, bu çözüm kılavuzu sürecin tamamı için önerilen bir çerçeve sağlar: Microsoft 365 ile veri gizliliği düzenlemeleri için bilgi koruması dağıtma.