Microsoft 365 ile Sıfır Güven dağıtım planı

Bu makale, Microsoft 365 ile Sıfır Güven güvenliği oluşturmaya yönelik bir dağıtım planı sağlar. Sıfır Güven, ihlal olduğunu varsayan ve her isteği kontrolsüz bir ağdan geliyormuş gibi doğrulayan yeni bir güvenlik modelidir. İsteğin nereden kaynaklandığına veya hangi kaynağa eriştiğine bakılmaksızın, Sıfır Güven modeli bize "hiçbir zaman güvenme, her zaman doğrulama" öğretir.

Bu makaleyi bu posterle birlikte kullanın.

Öğe Açıklama
Microsoft 365 Sıfır Güven dağıtım planının çizimi.
PDF | Visio
Mart 2022'de güncelleştirildi
İlgili çözüm kılavuzları

Sıfır Güven güvenlik mimarisi

Sıfır Güven bir yaklaşım tüm dijital emlak genelinde genişletilir ve tümleşik bir güvenlik felsefesi ve uçtan uca strateji olarak hizmet eder.

Bu çizim, Sıfır Güven katkıda bulunan birincil öğelerin bir gösterimini sağlar.

Sıfır Güven güvenlik mimarisi

Çizimde:

  • Güvenlik ilkesi zorlama, Sıfır Güven mimarisinin merkezindedir. Bu, kullanıcı hesabı riskini, cihaz durumunu ve ayarladığınız diğer ölçütleri ve ilkeleri dikkate alan koşullu erişime sahip Multi Factor kimlik doğrulamasını içerir.
  • Kimlikler, cihazlar, veriler, uygulamalar, ağ ve diğer altyapı bileşenlerinin tümü uygun güvenlikle yapılandırılır. Bu bileşenlerin her biri için yapılandırılan ilkeler, genel Sıfır Güven stratejinizle koordine edilir. Örneğin, cihaz ilkeleri iyi durumdaki cihazlar için ölçütleri belirler ve koşullu erişim ilkeleri belirli uygulamalara ve verilere erişmek için iyi durumdaki cihazlar gerektirir.
  • Tehdit koruması ve zeka ortamı izler, mevcut riskleri ortaya çıkarır ve saldırıları düzeltmek için otomatik eylem gerçekleştirir.

Sıfır Güven hakkında daha fazla bilgi için bkz. Microsoft Sıfır Güven Rehberlik Merkezi.

Microsoft 365 için Sıfır Güven dağıtma

Microsoft 365, ortamınızda Sıfır Güven oluşturmanıza yardımcı olmak için kasıtlı olarak birçok güvenlik ve bilgi koruma özelliğiyle derlenir. Kuruluşunuzun kullandığı diğer SaaS uygulamalarına ve bu uygulamalardaki verilere erişimi korumak için özelliklerin çoğu genişletilebilir.

Bu çizim, Sıfır Güven özellikleri dağıtma işlemini temsil eder. Bu çalışma, alttan başlayıp en üste doğru çalışarak birlikte yapılandırılabilir çalışma birimlerine bölünerek önkoşul çalışmasının tamamlanmasını sağlar.

Microsoft 365 Sıfır Güven dağıtım yığını

Bu çizimde:

  • Sıfır Güven, kimlik ve cihaz korumasının temeli ile başlar.
  • Tehdit koruma özellikleri, güvenlik tehditlerinin gerçek zamanlı izlenmesini ve düzeltilmesi için bu temelin üzerine kurulmuştur.
  • Bilgi koruma ve idare, en değerli bilgilerinizi korumak ve kişisel bilgileri korumak da dahil olmak üzere uyumluluk standartlarına uymanıza yardımcı olmak için belirli veri türlerini hedefleyen gelişmiş denetimler sağlar.

Bu makalede, bulut kimliğini zaten yapılandırdığınız varsayılır. Bu amaç için yardıma ihtiyacınız varsa bkz. Microsoft 365 için kimlik altyapınızı dağıtma.

Adım 1. Sıfır Güven kimliği ve cihaz erişim korumasını yapılandırma — başlangıç noktası ilkeleri

İlk adım, kimlik ve cihaz erişim korumasını yapılandırarak Sıfır Güven temelinizi oluşturmaktır.

Sıfır Güven kimliği ve cihaz erişim korumasını yapılandırma işlemi

Bunu gerçekleştirmek için Sıfır Güven kimlik ve cihaz erişim korumasına gidin. Bu makale serisinde kurumsal bulut uygulamaları ve hizmetleri, diğer SaaS hizmetleri ve ile yayımlanan şirket içi uygulamalar için Microsoft 365'e erişimi güvenli hale getirmek için bir dizi kimlik ve cihaz erişimi önkoşul yapılandırması ve bir dizi Azure Active Directory (Azure AD) Koşullu Erişim, Microsoft Intune ve diğer ilkeler açıklanmaktadır Azure AD Uygulama Ara Sunucusu.

Içerir Önkoşullar Şunları içermez:
Üç koruma katmanı için önerilen kimlik ve cihaz erişim ilkeleri:
  • Başlangıç noktası
  • Kurumsal (önerilir)
  • Özel

Ek öneriler:
  • Dış kullanıcılar (konuklar)
  • Microsoft Teams
  • SharePoint Online
  • Bulut Uygulamaları için Microsoft Defender
E3 veya E5 Microsoft

Şu modlardan birinde Azure Active Directory:
  • Yalnızca bulut
  • Parola karması eşitleme (PHS) kimlik doğrulaması ile karma
  • Doğrudan kimlik doğrulaması (PTA) ile karma
  • Federe
Yönetilen cihazlar gerektiren ilkeler için cihaz kaydı. Bkz. 2. Adım. Cihazları kaydetmek için Intune ile uç noktaları yönetme

Başlangıç noktası katmanını uygulayarak başlayın. Bu ilkeler, cihazların yönetime kaydedilmesini gerektirmez.

Sıfır Güven kimlik ve cihaz erişim ilkeleri — başlangıç noktası katmanı

Adım 2. uç noktaları Intune ile yönetme

Ardından, cihazlarınızı yönetime kaydedin ve bunları daha gelişmiş denetimlerle korumaya başlayın.

uç noktaları Intune ile yönet öğesi

Bunu gerçekleştirmek için açıklayıcı yönergeler için Cihazları Intune ile yönetme konusuna gidin.

Içerir Önkoşullar Şunları içermez:
Cihazları Intune ile kaydetme:
  • Şirkete ait cihazlar
  • Otomatik pilot/otomatik
  • Kayıt

İlkeleri yapılandırma:
  • Uygulama Koruma ilkeleri
  • Uyumluluk ilkeleri
  • Cihaz profili ilkeleri
Uç noktaları Azure AD ile kaydetme Aşağıdakiler dahil olmak üzere bilgi koruma özelliklerini yapılandırma:
  • Hassas bilgi türleri
  • Etiket
  • DLP ilkeleri

Bu özellikler için bkz . 5. Adım. Hassas verileri koruma ve yönetme (bu makalenin ilerleyen bölümlerinde).

Adım 3. Sıfır Güven kimlik ve cihaz erişim koruması ekleme — Kurumsal ilkeler

Yönetime kayıtlı cihazlar sayesinde artık uyumlu cihazlar gerektiren önerilen Sıfır Güven kimlik ve cihaz erişim ilkelerinin tamamını uygulayabilirsiniz.

Cihaz yönetimiyle Sıfır Güven kimliği ve erişim ilkeleri

Ortak kimlik ve cihaz erişim ilkelerine dönün ve ilkeleri Kurumsal katmana ekleyin.

Sıfır Güven kimlik ve erişim ilkeleri — Kurumsal (önerilen) katmanı

Adım 4. Microsoft 365 Defender değerlendirme, pilot uygulama ve dağıtma

Microsoft 365 Defender, uç nokta, e-posta, uygulamalar ve kimlikler dahil olmak üzere Microsoft 365 ortamınızdaki sinyal, tehdit ve uyarı verilerini otomatik olarak toplayan, ilişkilendiren ve analiz eden genişletilmiş bir algılama ve yanıt (XDR) çözümüdür.

Sıfır Güven mimarisine Microsoft 365 Defender ekleme işlemi

Microsoft 365 Defender bileşenleri pilot oluşturma ve dağıtmaya yönelik yöntemsel bir kılavuz için Değerlendirme ve pilot Microsoft 365 Defender bölümüne gidin.

Içerir Önkoşullar Şunları içermez:
Tüm bileşenler için değerlendirme ve pilot ortamı ayarlayın:
  • Kimlik için Microsoft Defender
  • Office 365 için Defender
  • Uç Nokta için Defender
  • Bulut Uygulamaları için Microsoft Defender

Tehditlere karşı korunun

Tehditleri araştırın ve karşı yanıt verin
Microsoft 365 Defender her bileşeni için mimari gereksinimleri hakkında bilgi edinmek için kılavuza bakın. Azure AD Kimlik Koruması bu çözüm kılavuzuna dahil değildir. 1. Adım'a dahildir. Sıfır Güven kimliği ve cihaz erişim korumasını yapılandırın.

Adım 5. Hassas verileri koruma ve yönetme

Hassas bilgileri nerede olursa olsun keşfetmenize, sınıflandırmanıza ve korumanıza yardımcı olmak için Microsoft Purview Bilgi Koruması uygulayın.

Microsoft Purview Bilgi Koruması özellikleri Microsoft Purview'a dahil edilir ve verilerinizi bilmeniz, verilerinizi korumanız ve veri kaybını önlemeniz için araçlar sağlar.

Bilgi koruma özellikleri, ilke uygulama yoluyla verileri koruma

Bu çalışma, bu makalenin önceki bölümlerinde gösterilen dağıtım yığınının en üstünde gösteriliyor olsa da, bu çalışmaya istediğiniz zaman başlayabilirsiniz.

Microsoft Purview Bilgi Koruması, belirli iş hedeflerinizi gerçekleştirmek için kullanabileceğiniz bir çerçeve, süreç ve özellikler sağlar.

Microsoft Purview Bilgi Koruması

Bilgi korumasını planlama ve dağıtma hakkında daha fazla bilgi için bkz. Microsoft Purview Bilgi Koruması çözümü dağıtma.

Veri gizliliği düzenlemeleri için bilgi koruması dağıtıyorsanız, bu çözüm kılavuzu sürecin tamamı için önerilen bir çerçeve sağlar: Microsoft 365 ile veri gizliliği düzenlemeleri için bilgi koruması dağıtma.