零信任标识和设备访问配置

依赖于网络防火墙和虚拟专用网络 (VPN 的安全体系结构) 隔离和限制对组织技术资源和服务的访问,对于经常需要访问传统公司网络边界之外存在的应用程序和资源的员工来说已经不够了。

为了应对这一新的计算领域,Microsoft 强烈建议使用基于以下指导原则的零信任安全模型:

  • 显式验证

    始终根据所有可用的数据点进行身份验证和授权。 这是零信任标识和设备访问策略对于登录和持续验证至关重要的地方。

  • 使用最小特权

    使用实时访问和恰时访问 (JIT/JEA) 、基于风险的自适应策略和数据保护来限制用户访问。

  • 假定漏洞

    最大程度地减少爆炸半径和段访问。 验证端到端加密,并使用分析获取可见性、促进威胁检测和加强防范。

下面是零信任的整体体系结构。

Microsoft 零信任体系结构

零信任标识和设备访问策略解决了验证的明确指导原则:

  • 身份

    当标识尝试访问资源时,请使用强身份验证验证标识,并确保请求的访问符合且典型。

  • 设备 (也称为终结点)

    监视并强制实施设备运行状况和安全访问符合性要求。

  • 应用程序

    应用控件和技术来发现影子 IT、确保适当的应用内权限、基于实时分析的门访问、监视异常行为、控制用户操作以及验证安全配置选项。

本系列文章介绍一组标识和设备访问先决条件配置以及一组 Azure Active Directory (Azure AD) 条件访问、Microsoft Intune和其他策略,用于零信任访问 Microsoft 365 企业云应用和服务、其他 SaaS 服务以及使用 Azure AD 应用程序代理 发布的本地应用程序。

建议在三个层中零信任标识和设备访问设置和策略:具有高度管控或分类数据的环境的起始点、企业和专用安全性。 这些层及其相应的配置为数据、标识和设备提供一致的零信任保护级别。

这些功能及其建议:

如果你的组织具有独特的环境要求或复杂性,请使用这些建议作为起点。 但是,大多数组织都可以按规定实施这些建议。

观看此视频,快速了解 Microsoft 365 企业版的标识和设备访问配置。


注意

Microsoft 还销售Office 365订阅的企业移动性 + 安全性 (EMS) 许可证。 EMS E3 和 EMS E5 功能等效于Microsoft 365 E3和Microsoft 365 E5。 有关详细信息,请参阅 EMS 计划

目标受众

这些建议适用于熟悉 Microsoft 365 云生产力和安全服务的企业架构师和 IT 专业人员,其中包括 Azure AD (标识) 、Microsoft Intune (设备管理) 以及Microsoft Purview 信息保护 (数据保护) 。

客户环境

建议的策略适用于完全在 Microsoft 云中运行的企业组织,也适用于具有混合标识基础结构的客户,后者是与 Azure AD 租户同步的本地 Active Directory域服务 (AD DS) 林。

所提供的许多建议仅依赖于Microsoft 365 E5、Microsoft 365 E3 E5 安全加载项、EMS E5 或Azure AD Premium P2许可证的服务。

对于没有这些许可证的组织,Microsoft 建议你至少实现 安全默认值,这包括在所有 Microsoft 365 计划中。

警告

你的组织可能会受到法规或其他合规性要求的约束,包括可能需要应用与这些建议配置不同的策略的特定建议。 这些配置推荐以前没有提供的使用情况控件。 建议使用这些控件,因为我们认为它们表示安全性和工作效率之间的平衡。

我们已经尽了最大努力来考虑各种组织保护要求,但我们无法考虑所有可能的要求或组织的所有独特方面。

三层保护

大多数组织都具有安全性和数据保护方面的特定要求。 这些要求因行业部门和组织内的工作职能而异。 例如,法律部门和管理员可能需要针对其他业务部门不需要的电子邮件通信提供额外的安全和信息保护控制。

每个行业也有自己独特的一组规定。 没有提供所有可能的安全选项列表或每个行业段或作业函数的建议,而是针对三种不同级别的安全和保护提供了建议,这些安全性和保护可根据需求的粒度应用。

  • 起点:建议所有客户建立并使用最低标准来保护数据,以及访问数据的标识和设备。 可以遵循这些建议,为所有组织提供强大的默认保护作为起点。
  • 企业:某些客户的数据子集必须受更高级别的保护,或者可能需要在更高级别保护所有数据。 可以对 Microsoft 365 环境中的所有或特定数据集应用增强的保护。 建议以与安全性相当的级别保护访问敏感数据的标识和设备。
  • 专用安全性:根据需要,少数客户拥有少量高度分类、构成商业机密或受监管的数据。 Microsoft 提供了帮助这些客户满足这些要求的功能,包括添加了对标识和设备的保护。

安全圆锥

本指南介绍如何针对每个级别的保护实现标识和设备的零信任保护。 将本指南作为组织最起码,并根据组织的特定要求调整策略。

在整个标识、设备和数据中使用一致级别的保护非常重要。 例如,对具有优先级帐户的用户(例如高管、领导者、经理和其他人员)的保护应包括对其标识、设备及其访问的数据的相同级别的保护。

此外,请参阅部署 数据隐私法规解决方案的信息保护 ,以保护 Microsoft 365 中存储的信息。

安全性和生产力权衡

实施任何安全策略都需要在安全性和生产力之间进行权衡。 评估每个决策如何影响安全性、功能和易用性的平衡会很有帮助。

安全三合会平衡安全性、功能和易用性

提供的建议基于以下原则:

  • 了解你的用户,并灵活地满足其安全和功能要求。
  • 及时应用安全策略,并确保其有意义。

零信任标识和设备访问保护的服务和概念

Microsoft 365 企业版专为大型组织设计,使每个人都能够发挥创造力,安全地协同工作。

本部分概述了 Microsoft 365 服务和功能,这些服务和功能对于零信任标识和设备访问非常重要。

Azure AD

Azure AD 提供完整的标识管理功能套件。 建议使用这些功能来保护访问。

功能或特性 说明 许可
多重身份验证 (MFA) MFA 要求用户提供两种形式的验证,例如用户密码以及来自 Microsoft Authenticator 应用的通知或电话呼叫。 MFA 大大降低了被盗凭据可用于访问环境的风险。 Microsoft 365 使用基于 MFA 的登录的 Azure AD 多重身份验证服务。 Microsoft 365 E3 或 E5
条件访问 Azure AD 评估用户登录的条件,并使用条件访问策略来确定允许的访问。 例如,本指南介绍如何创建条件访问策略,以要求设备符合性才能访问敏感数据。 这大大降低了使用自己的设备和被盗凭据的黑客访问敏感数据的风险。 它还保护设备上的敏感数据,因为设备必须满足运行状况和安全性的特定要求。 Microsoft 365 E3 或 E5
Azure AD 组 条件访问策略、具有Intune的设备管理,甚至组织中文件和站点的权限都依赖于分配给用户帐户或 Azure AD 组。 建议创建与要实现的保护级别相对应的 Azure AD 组。 例如,你的执行人员可能是黑客的更高价值目标。 因此,将这些员工的用户帐户添加到 Azure AD 组并将此组分配到条件访问策略和其他策略以强制实施更高级别的访问保护是有意义的。 Microsoft 365 E3 或 E5
设备注册 将设备注册到 Azure AD,为设备创建标识。 此标识用于在用户登录时对设备进行身份验证,并应用需要加入域或符合域的电脑的条件访问策略。 对于本指南,我们使用设备注册自动注册已加入域的 Windows 计算机。 设备注册是使用Intune管理设备的先决条件。 Microsoft 365 E3 或 E5
Azure AD Identity Protection 使你能够检测影响组织标识的潜在漏洞,并将自动修正策略配置为低、中、高登录风险和用户风险。 本指南依赖于此风险评估将条件访问策略应用于多重身份验证。 本指南还包括条件访问策略,要求用户在检测到其帐户的高风险活动时更改其密码。 Microsoft 365 E5、使用 E5 安全加载项、EMS E5 或Azure AD Premium P2许可证Microsoft 365 E3
SSPR (自助密码重置) 通过提供管理员可以控制的多种身份验证方法的验证,允许用户安全地重置其密码,而无需技术支持人员干预。 Microsoft 365 E3 或 E5
Azure AD 密码保护 检测并阻止已知的弱密码及其变体以及特定于组织的其他弱术语。 默认全局禁止使用的密码列表将自动应用于 Azure AD 租户中的所有用户。 可在自定义禁止密码列表中定义额外条目。 用户更改或重置其密码时,将检查这些禁止的密码列表,强制使用强密码。 Microsoft 365 E3 或 E5

下面是零信任标识和设备访问的组件,包括Intune和 Azure AD 对象、设置和子服务。

零信任标识和设备访问的组件

Microsoft Intune

Intune是 Microsoft 基于云的移动设备管理服务。 本指南建议使用Intune对 Windows 电脑进行设备管理,并建议进行设备符合性策略配置。 Intune确定设备是否合规,并将此数据发送到 Azure AD 以在应用条件访问策略时使用。

Intune应用保护

Intune应用保护策略可用于保护组织在移动应用中的数据,无论是否将设备注册到管理中。 Intune有助于保护信息,确保员工仍能高效工作,并防止数据丢失。 通过实施应用级别策略,可以限制对公司资源的访问,并将数据保留在 IT 部门的控制范围内。

本指南介绍如何创建建议的策略来强制使用已批准的应用,并确定如何将这些应用与业务数据一起使用。

Microsoft 365

本指南介绍如何实施一组策略来保护对 Microsoft 365 云服务(包括 Microsoft Teams、Exchange、SharePoint 和 OneDrive)的访问。 除了实现这些策略,我们还建议使用以下资源提高租户的保护级别:

使用Microsoft 365 企业应用版Windows 11或Windows 10

Windows 11或Windows 10 Microsoft 365 企业应用版是电脑的建议客户端环境。 建议Windows 11或Windows 10,因为 Azure 旨在为本地和 Azure AD 提供尽可能流畅的体验。 Windows 11或Windows 10还包括可通过Intune管理的高级安全功能。 Microsoft 365 企业应用版包含最新版本的 Office 应用程序。 这些操作使用新式身份验证,这种身份验证更安全,并且是条件访问的要求。 这些应用还包括增强的合规性和安全性工具。

跨三层保护应用这些功能

下表汇总了在三层保护中使用这些功能的建议。

保护机制 起点 企业版 专用安全性
强制执行 MFA 针对中级或以上登录风险 针对低级或以上登录风险 针对所有新会话
强制更改密码 对于高风险用户 对于高风险用户 对于高风险用户
强制Intune应用程序保护
对组织拥有的设备强制Intune注册 需要符合或已加入域的电脑,但允许自带设备 (BYOD) 手机和平板电脑 需要符合或已加入域的设备 需要符合或已加入域的设备

设备所有权

上表反映了许多组织支持组织拥有的设备以及个人或 BYOD,以在员工中实现移动生产力的趋势。 Intune应用保护策略可确保防止电子邮件在组织拥有的设备和 BYOD 上从 Outlook 移动应用和其他 Office 移动应用外泄。

建议组织拥有的设备由Intune或加入域来管理,以应用额外的保护和控制。 根据数据敏感度,组织可能会选择不允许特定用户群体或特定应用使用 BYOD。

部署和应用

在为 Azure AD 集成的应用配置和推出零信任标识和设备访问配置之前,必须:

  • 确定要保护的组织中使用的应用。

  • 分析此应用列表以确定提供适当级别保护的策略集。

    不应为应用创建单独的策略集,因为管理策略可能会变得繁琐。 Microsoft 建议你对具有相同用户相同保护要求的应用进行分组。

    例如,可以有一组策略,其中包括所有用户的所有 Microsoft 365 应用,用于起始点保护,以及针对所有敏感应用(例如人力资源或财务部门使用的应用)的第二组策略,并将其应用到这些组。

确定要保护的应用的一组策略后,将策略以增量方式向用户推出,解决一路上的问题。

例如,使用 Exchange 的其他更改配置将用于所有仅适用于 Exchange 的 Microsoft 365 应用的策略。 向用户推出这些策略,并解决任何问题。 然后,添加 Teams 及其附加更改,并将其推广到用户。 然后,添加 SharePoint 及其附加更改。 继续添加其余应用,直到能够自信地配置这些起点策略以包括所有 Microsoft 365 应用。

同样,对于敏感应用,一次创建一组策略并添加一个应用,并解决任何问题,直到所有问题都包含在敏感应用策略集中。

Microsoft 建议不要创建适用于所有应用的策略集,因为它可能会导致一些意外的配置。 例如,阻止所有应用的策略可能会将管理员锁定在Azure 门户,并且不能为 Microsoft Graph 等重要终结点配置排除项。

配置零信任标识和设备访问的步骤

配置零信任标识和设备访问的步骤

  1. 配置先决条件标识功能及其设置。
  2. 配置通用标识和访问条件访问策略。
  3. 为来宾和外部用户配置条件访问策略。
  4. 为 Microsoft 365 云应用(如 Microsoft Teams、Exchange 和 SharePoint)配置条件访问策略,并Microsoft Defender for Cloud Apps策略。

配置零信任标识和设备访问权限后,请参阅 Azure AD 功能部署指南,了解要考虑的其他功能的分阶段清单,以及用于保护、监视和审核访问权限的 Azure AD 标识治理

后续步骤

实现零信任标识和设备访问策略的先决条件工作