Microsoft 365 零信任部署计划

本文提供了使用 Microsoft 365 构建 零信任 安全性的部署计划。 零信任是一种新的安全模型,假定存在漏洞并验证每个请求,就好像它源自不受控制的网络一样。 无论请求源自何处或它访问什么资源,零信任模型都告诉我们“永远不要信任,始终进行验证”。

将本文与此海报一起使用。

项目 说明
Microsoft 365 零信任部署计划的插图。
PDF | Visio
更新时间:2022 年 3 月
相关解决方案指南

零信任安全体系结构

零信任方法扩展到整个数字资产,并作为一种综合的安全理念和端到端策略。

此图提供了有助于零信任的主要元素的表示形式。

零信任安全体系结构

在此图中:

  • 安全策略实施是零信任体系结构的核心。 这包括具有条件访问的多重身份验证,这些访问考虑到了用户帐户风险、设备状态以及你设置的其他条件和策略。
  • 标识、设备、数据、应用、网络和其他基础结构组件都配置了适当的安全性。 为每个组件配置的策略与整体零信任策略相协调。 例如,设备策略确定正常设备的条件,条件访问策略需要正常设备才能访问特定应用和数据。
  • 威胁防护和情报监视环境,显示当前风险,并采取自动行动来修正攻击。

有关零信任的详细信息,请参阅 Microsoft 的 零信任 指导中心

为 Microsoft 365 部署零信任

Microsoft 365 是有意构建的,具有许多安全和信息保护功能,可帮助你在环境中构建零信任。 可以扩展许多功能,以保护对组织使用的其他 SaaS 应用以及这些应用中的数据的访问。

此图表示部署零信任功能的工作。 此工作分为可一起配置的工作单元,从底部开始,一直工作到顶部,以确保先决条件工作完成。

Microsoft 365 零信任部署堆栈

在此图中:

  • 零信任从标识和设备保护的基础开始。
  • 威胁防护功能是建立在此基础之上的,用于提供安全威胁的实时监视和修正。
  • 信息保护和治理提供针对特定数据类型的复杂控制,以保护最有价值的信息,并帮助你遵守合规性标准,包括保护个人信息。

本文假定你已配置云标识。 如果需要针对此目标的指导,请参阅 为 Microsoft 365 部署标识基础结构

步骤 1. 配置零信任标识和设备访问保护 - 起始点策略

第一步是通过配置标识和设备访问保护来构建零信任基础。

配置零信任标识和设备访问保护的过程

转到 零信任标识和设备访问保护以获取规范性指导来实现此目的。 本系列文章介绍一组标识和设备访问先决条件配置,以及一组 Azure Active Directory (Azure AD) 条件访问、Microsoft Intune和其他策略,以确保对 Microsoft 365 企业云应用和服务、其他 SaaS 服务以及使用 Azure AD 应用程序代理 发布的本地应用程序的访问。

Includes 先决条件 不包括
三层保护的建议标识和设备访问策略:
  • 起点
  • 企业 (推荐)
  • 专业

有关以下内容的其他建议:
  • 外部用户 (来宾)
  • Microsoft Teams
  • SharePoint Online
  • Microsoft Defender for Cloud Apps
Microsoft E3 或 E5

在以下任一模式下的 Azure Active Directory:
  • 仅限云
  • 使用密码哈希同步混合 (PHS) 身份验证
  • 与直通身份验证 (PTA) 混合
  • 联邦
需要托管设备的策略的设备注册。 请参阅步骤 2。使用Intune管理终结点以注册设备

首先实现起始层。 这些策略不需要将设备注册到管理中。

零信任标识和设备访问策略 - 起始点层

步骤 2. 使用Intune管理终结点

接下来,将设备注册到管理中,并开始使用更复杂的控件保护这些设备。

使用Intune元素管理终结点

转到 “使用Intune管理设备以获取规范性指导来实现此目的。

Includes 先决条件 不包括
使用Intune注册设备:
  • 公司拥有的设备。
  • Autopilot/automated
  • 招生

配置策略:
  • 应用保护策略
  • 合规性策略
  • 设备配置文件策略
向 Azure AD 注册终结点 配置信息保护功能,包括:
  • 敏感信息类型
  • 标签
  • DLP 策略

有关这些功能,请参阅 步骤 5。本文稍后) 保护和管理敏感数据 (。

第 3 步。 添加零信任标识和设备访问保护 — 企业策略

通过将设备注册到管理中,现在可以实现一整套建议的零信任标识和设备访问策略,这需要符合要求的设备。

使用设备管理零信任标识和访问策略

返回到 Common 标识和设备访问策略 ,并在企业层中添加策略。

零信任标识和访问策略 — 企业 (建议的) 层

步骤 4. 评估、试点和部署Microsoft 365 Defender

Microsoft 365 Defender是 XDR) 解决方案 (扩展检测和响应,可自动收集、关联和分析来自 Microsoft 365 环境中的信号、威胁和警报数据,包括终结点、电子邮件、应用程序和标识。

将Microsoft 365 Defender添加到零信任体系结构的过程

转到 “评估”和“试点Microsoft 365 Defender,了解有关试点和部署Microsoft 365 Defender组件的有条不紊的指南。

Includes 先决条件 不包括
为所有组件设置评估和试点环境:
  • Defender for Identity
  • Defender for Office 365
  • Defender for Endpoint
  • Microsoft Defender for Cloud Apps

抵御威胁

调查并响应威胁
请参阅有关Microsoft 365 Defender的每个组件的体系结构要求的指南。 此解决方案指南中不包括 Azure AD 标识保护。 它包含在步骤 1 中。配置零信任标识和设备访问保护

步骤 5. 保护和管理敏感数据

实现Microsoft Purview 信息保护,帮助你发现、分类和保护敏感信息,无论它身在何处或旅行。

Microsoft Purview 信息保护功能包含在 Microsoft Purview 中,并提供用于了解数据、保护数据和防止数据丢失的工具。

通过策略强制保护数据的信息保护功能

虽然此工作在本文前面所示的部署堆栈顶部表示,但你可以随时开始此工作。

Microsoft Purview 信息保护提供可用于实现特定业务目标的框架、流程和功能。

Microsoft Purview 信息保护

有关如何规划和部署信息保护的详细信息,请参阅 部署Microsoft Purview 信息保护解决方案

如果要为数据隐私法规部署信息保护,本解决方案指南为整个过程提供了一个建议的框架: 使用 Microsoft 365 为数据隐私法规部署信息保护