Microsoft 365 组织的常见安全策略
组织在为其组织部署 Microsoft 365 时需要担心很多问题。 本文中引用的条件访问、应用保护和设备合规性策略基于 Microsoft 的建议和零信任的三个指导原则:
- 显式验证
- 使用最低特权
- 假定漏洞
组织可以按原样采用这些策略,也可以根据自己的需求对其进行自定义。 如果可能,请在非生产环境中测试策略,然后再向生产用户推出。 测试对于识别并向用户传达任何可能的影响至关重要。
我们会根据部署旅程中的位置将这些策略分为三个保护级别:
- 起点 - 引入多重身份验证、安全密码更改和应用保护策略的基本控制。
- 企业 - 引入设备合规性的增强控制。
- 专用安全性 - 每次要求对特定数据集或用户进行多重身份验证的策略。
下图显示了每个策略适用的保护级别,以及这些策略是否适用于电脑、手机和平板电脑,或者这两类设备。
可以将此关系图下载为 PDF 文件。
提示
在 Intune 中注册设备之前,建议使用多重身份验证 (MFA) ,以确保设备由目标用户拥有。 必须先在 Intune 中注册设备,然后才能强制实施设备符合性策略。
先决条件
权限
- 将管理条件访问策略的用户必须能够以条件访问管理员、安全管理员或全局管理员身份登录到Azure 门户。
- 将管理应用保护和设备符合性策略的用户必须能够以 Intune 管理员 或 全局管理员身份登录到 Intune。
- 只需查看配置的那些用户可以分配 安全读取者 或 全局读取者 角色。
有关角色和权限的详细信息,请参阅文章Microsoft Entra内置角色。
用户注册
在要求使用多重身份验证之前,请确保用户注册多重身份验证。 如果你有包含 Microsoft Entra ID P2 的许可证,则可以在 Microsoft Entra ID 保护 中使用 MFA 注册策略来要求用户注册。 我们提供 通信模板,你可以下载和自定义,以促进注册。
组
作为这些建议的一部分使用的所有Microsoft Entra组都必须创建为 Microsoft 365 组,而不是安全组。 以后在 Microsoft Teams 和 SharePoint 中保护文档时,此要求对于部署敏感度标签非常重要。 有关详细信息,请参阅了解Microsoft Entra ID中的组和访问权限一文
分配策略
条件访问策略可以分配给用户、组和管理员角色。 只能将 Intune 应用保护和设备符合性策略分配给 组。 在配置策略之前,应确定应包括和排除的人员。 通常,起点保护级别策略适用于组织中的每个人。
下面是在用户完成 用户注册后要求 MFA 的组分配和排除项示例。
| Microsoft Entra条件访问策略 | 包括 | 排除 | |
|---|---|---|---|
| 起点 | 要求对中等或高风险登录风险进行多重身份验证 | 所有用户 |
|
| 企业 | 要求对低、中或高登录风险进行多重身份验证 | 高管员工组 |
|
| 专用安全性 | 始终要求多重身份验证 | 绝密项目 Buckeye 组 |
|
对组和用户应用更高级别的保护时要小心。 安全目标不是给用户体验增加不必要的摩擦 。 例如, 最高机密项目 Buckeye 组 的成员每次登录时都需要使用 MFA,即使他们不处理项目的专用安全内容也是如此。 过度的安全摩擦可能导致疲劳。
可以考虑启用无密码身份验证方法,例如Windows Hello 企业版或 FIDO2 安全密钥,以减少某些安全控制造成的摩擦。
紧急访问帐户
所有组织都应至少有一个紧急访问帐户,该帐户受监视以使用,并将其排除在策略之外。 这些帐户仅在所有其他管理员帐户和身份验证方法被锁定或不可用的情况下使用。 有关详细信息,请参阅在 Microsoft Entra ID 中管理紧急访问帐户一文。
排除项
建议的做法是为条件访问排除创建Microsoft Entra组。 此组提供了一种在排查访问问题时向用户提供访问权限的方法。
警告
建议仅将此组用作临时解决方案。 持续监视和审核此组的更改,并确保仅按预期使用排除组。
若要将此排除组添加到任何现有策略,请执行以下操作:
- 以条件访问管理员、安全管理员或全局管理员身份登录到Azure 门户。
- 浏览到Microsoft Entra ID>安全>条件访问。
- 选择现有策略。
- 在 “分配”下,选择“ 用户或工作负荷标识”。
- 在 “排除”下,选择“ 用户和组 ”,然后选择组织的紧急访问或隔离帐户和条件访问排除组。
部署
建议按照下表中列出的顺序实现 起点策略 。 但是,可以随时实施 适用于企业 和 专用安全 级别的保护的 MFA 策略。
起点
| Policy | 更多信息 | 授权 |
|---|---|---|
| 当登录风险中等或较高时需要 MFA | 仅当检测到风险时,才使用来自Microsoft Entra ID 保护的风险数据要求进行 MFA | 使用 E5 Security 加载项Microsoft 365 E5或Microsoft 365 E3 |
| 阻止不支持新式身份验证的客户端 | 不使用新式身份验证的客户端可以绕过条件访问策略,因此请务必阻止它们。 | Microsoft 365 E3 或 E5 |
| 高风险用户必须更改密码 | 如果检测到帐户的高风险活动,则强制用户在登录时更改其密码。 | 使用 E5 Security 加载项Microsoft 365 E5或Microsoft 365 E3 |
| 应用应用程序保护策略进行数据保护 | 每个平台一个 Intune 应用保护策略, (Windows、iOS/iPadOS、Android) 。 | Microsoft 365 E3 或 E5 |
| 需要批准的应用和应用保护策略 | 使用 iOS、iPadOS 或 Android 对手机和平板电脑强制实施移动应用保护策略。 | Microsoft 365 E3 或 E5 |
企业版
| Policy | 更多信息 | 授权 |
|---|---|---|
| 登录风险低、中或高时需要 MFA | 仅当检测到风险时,才使用来自Microsoft Entra ID 保护的风险数据要求进行 MFA | 使用 E5 Security 加载项Microsoft 365 E5或Microsoft 365 E3 |
| 定义设备符合性策略 | 设置最低配置要求。 每个平台都有一个策略。 | Microsoft 365 E3 或 E5 |
| 需要合规的电脑和移动设备 | 对访问组织的设备强制实施配置要求 | Microsoft 365 E3 或 E5 |
专用安全性
| Policy | 更多信息 | 授权 |
|---|---|---|
| 始终 需要 MFA | 用户每次登录到组织服务时都必须执行 MFA | Microsoft 365 E3 或 E5 |
应用保护策略
应用保护策略定义允许哪些应用以及它们可以对组织数据执行的操作。 有许多可用选项,可能会使某些人感到困惑。 以下基线是 Microsoft 建议的配置,可根据你的需求进行定制。 我们提供三个模板,但认为大多数组织会选择级别 2 和 3。
级别 2 映射到我们认为 的起点 或 企业级 安全性,级别 3 映射到 专用 安全性。
级别 1 企业基本数据保护 - Microsoft 建议将此配置作为企业设备的最低数据保护配置。
级别 2 企业增强数据保护 - Microsoft 建议对用户访问敏感或机密信息的设备使用此配置。 此配置适用于访问工作或学校数据的大多数移动用户。 某些控件可能会影响用户体验。
级别 3 企业高数据保护 - Microsoft 建议将此配置用于由具有更大或更复杂安全团队的组织运行的设备,或者对于具有独特高风险的特定用户或组, (处理高度敏感数据的用户,其中未经授权的披露会导致组织) 遭受重大重大损失。 一个组织可能成为资金雄厚的复杂攻击者的目标,应该渴望这种配置。
创建应用保护策略
使用数据保护框架设置为Microsoft Intune内每个平台 (iOS 和 Android) 创建新的应用保护策略,方法是:
- 按照如何使用 Microsoft Intune 创建和部署应用保护策略中的步骤手动创建策略。
- 使用 Intune 的 PowerShell 脚本导入示例 Intune应用保护策略配置框架 JSON 模板。
设备符合性策略
Intune 设备符合性策略定义设备必须满足才能确定为合规的要求。
必须为每个电脑、手机或平板电脑平台创建策略。 本文将介绍针对以下平台的建议:
创建设备符合性策略
若要创建设备符合性策略,请登录到 Microsoft Intune 管理中心,然后导航到“设备>符合性策略>策略”。 选择“创建策略”。
有关在 Intune 中创建合规性策略的分步指南,请参阅在 Microsoft Intune 中创建合规性策略。
iOS/iPadOS 的注册和符合性设置
iOS/iPadOS 支持多种注册方案,该框架涵盖了其中两种:
- 个人拥有的设备注册 - 这些设备是个人拥有的,用于工作和个人使用。
- 企业拥有设备的自动设备注册 - 这些设备是公司拥有的,与单个用户关联,仅用于工作,而不是个人使用。
使用零信任标识和设备访问配置中所述的原则:
个人注册设备的符合性设置
- 个人基本安全 (级别 1) - Microsoft 建议将此配置作为用户访问工作或学校数据的个人设备的最低安全配置。 此配置是通过强制实施密码策略、设备锁定特征和禁用某些设备功能(如不受信任的证书)来完成的。
- 个人增强的安全性 (级别 2) - Microsoft 建议对用户访问敏感或机密信息的设备使用此配置。 此配置会制定数据共享控制。 此配置适用于在设备上访问工作或学校数据的大多数移动用户。
- 个人高安全性 (级别 3) - Microsoft 建议对特定用户或组使用的设备进行此配置,这些用户或组是独一无二的高风险用户, (处理高度敏感数据的用户,其中未经授权的披露会导致组织) 遭受重大物质损失。 此配置可实施更强大的密码策略,禁用某些设备功能,并强制实施额外的数据传输限制。
自动设备注册的符合性设置
- 受监督的基本安全 (级别 1) - Microsoft 建议将此配置作为用户访问工作或学校数据的受监督设备的最低安全配置。 此配置是通过强制实施密码策略、设备锁定特征和禁用某些设备功能(如不受信任的证书)来完成的。
- 受监督的增强安全性 (级别 2) - Microsoft 建议对用户访问敏感或机密信息的设备使用此配置。 此配置制定数据共享控制,并阻止对 USB 设备的访问。 此配置适用于在设备上访问工作或学校数据的大多数移动用户。
- 受监督的高安全性 (级别 3) - Microsoft 建议将这种配置用于特定用户或组的设备,这些用户或组是独一无二的高风险 (处理高度敏感数据的用户,其中未经授权的披露会导致组织) 遭受重大重大损失。 此配置实施更强大的密码策略,禁用某些设备功能,强制实施额外的数据传输限制,并要求通过 Apple 的批量购买计划安装应用。
Android 的注册和符合性设置
Android Enterprise 支持多种注册方案,其中两种已作为此框架的一部分进行介绍:
- Android Enterprise 工作配置文件 - 此注册模型通常用于个人拥有的设备,其中 IT 希望在工作数据和个人数据之间提供明确的分离边界。 由 IT 控制的策略可确保无法将工作数据传输到个人配置文件中。
- Android Enterprise 完全托管的设备 – 这些设备是公司拥有的,与单个用户关联,仅用于工作而不是个人用途。
Android Enterprise 安全配置框架分为多个不同的配置方案,为工作配置文件和完全托管方案提供指导。
使用零信任标识和设备访问配置中所述的原则:
Android Enterprise 工作配置文件设备的符合性设置
- 由于个人拥有的工作配置文件设备可以使用设置,因此没有基本安全 (级别 1) 产品/ 服务。 可用的设置不能说明级别 1 与级别 2 之间的差异。
- 工作配置文件增强安全性 (级别 2) - Microsoft 建议将此配置作为用户访问工作或学校数据的个人设备的最低安全配置。 此配置引入密码要求、将工作和个人数据分离并验证 Android 设备证明。
- 工作配置文件高安全性 (级别 3) - Microsoft 建议将这种配置用于特定用户或组使用的设备,这些用户或组是独一无二的高风险 (处理高度敏感数据的用户,其中未经授权的披露会导致组织) 大量物质损失。 此配置引入了移动威胁防御或Microsoft Defender for Endpoint,设置最低 Android 版本,实施更强大的密码策略,并进一步限制工作和个人分离。
Android Enterprise 完全托管设备的符合性设置
- 完全托管的基本安全 (级别 1) - Microsoft 建议将此配置作为企业设备的最低安全配置。 此配置适用于访问工作或学校数据的大多数移动用户。 此配置引入了密码要求、设置最低 Android 版本并实施某些设备限制。
- 完全托管的增强安全 (级别 2) - Microsoft 建议对用户访问敏感或机密信息的设备使用此配置。 此配置实施更强的密码策略并禁用用户/帐户功能。
- 完全托管的高安全性 (级别 3) - Microsoft 建议将这种配置用于具有独特高风险的特定用户或组使用的设备。 这些用户可能会处理高度敏感的数据,其中未经授权的披露可能会给组织造成相当大的材料损失。 此配置增加了最低 Android 版本,引入了移动威胁防御或Microsoft Defender for Endpoint,并强制实施额外的设备限制。
Windows 10 及更高版本的建议符合性设置
以下设置在步骤 2:符合性设置中配置,用于Windows 10和较新的设备的合规性策略创建过程。 这些设置符合零信任标识和设备访问配置中所述的原则。
有关 设备运行状况 > Windows 运行状况证明服务评估规则,请参阅此表。
| 属性 | 值 |
|---|---|
| 需要 BitLocker | 需要 |
| 要求在设备上启用安全启动 | 需要 |
| 要求代码完整性 | 需要 |
对于 “设备属性”,请根据 IT 和安全策略为操作系统版本指定适当的值。
对于“Configuration Manager符合性”,如果位于Configuration Manager共同管理的环境中,请选择“需要”,否则选择“未配置”。
有关 系统安全性,请参阅此表。
| 属性 | 值 |
|---|---|
| 需要密码才可解锁移动设备 | 需要 |
| 简单密码 | 阻止 |
| 密码类型 | 设备默认值 |
| 最短密码长度 | 6 |
| 需要密码之前处于非活动状态的最大分钟数 | 15 分钟 |
| 密码过期(天数) | 41 |
| 阻止重用的曾用密码数 | 5 |
| 当设备从空闲状态恢复时需要密码 (移动和全息) | 需要 |
| 要求对设备上的数据存储进行加密 | 需要 |
| 防火墙 | 需要 |
| 防病毒 | 需要 |
| 反间谍软件 | 需要 |
| Microsoft Defender 反恶意软件 | 需要 |
| Microsoft Defender 反恶意软件的最低版本 | Microsoft 建议的版本与最新版本相比不超过 5 个。 |
| Microsoft Defender反恶意软件签名最新 | 需要 |
| 实时保护 | 需要 |
对于Microsoft Defender for Endpoint
| 属性 | 值 |
|---|---|
| 要求设备处于计算机风险分数或低于计算机风险分数 | 中 |
条件访问策略
在 Intune 中创建应用保护和设备符合性策略后,可以使用条件访问策略启用强制实施。
要求基于登录风险的 MFA
按照 常见条件访问策略:基于登录风险的多重身份验证 一文中的指导创建一个策略,要求基于登录风险进行多重身份验证。
配置策略时,请使用以下风险级别。
| 保护级别 | 需要的风险级别值 | 操作 |
|---|---|---|
| 起点 | 高、中 | 检查这两者。 |
| 企业版 | 高、中、低 | 检查所有三个。 |
阻止不支持多重身份验证的客户端
按照 常见条件访问策略:阻止旧身份验证 一文中的指导来阻止旧身份验证。
高风险用户必须更改密码
按照 常见条件访问策略:基于用户风险的密码更改 一文中的指导,要求凭据泄露的用户更改其密码。
将此策略与Microsoft Entra密码保护结合使用,除了特定于组织的术语外,还可以检测和阻止已知的弱密码及其变体。 使用Microsoft Entra密码保护可确保更改的密码更强。
需要批准的应用和应用保护策略
必须创建条件访问策略 才能强制实施 Intune 中创建的应用保护策略。 强制实施应用保护策略需要条件访问策略 和 相应的应用保护策略。
若要创建需要已批准的应用和应用保护的条件访问策略,请按照 使用移动设备要求已批准的客户端应用或应用保护策略中的步骤操作。 此策略仅允许受应用保护策略保护的移动应用中的帐户访问 Microsoft 365 终结点。
阻止 iOS 和 Android 设备上的其他客户端应用的旧式身份验证可确保这些客户端无法绕过条件访问策略。 如果遵循本文中的指南,则已配置了 “阻止不支持新式身份验证的客户端”。
需要合规的电脑和移动设备
以下步骤将帮助创建条件访问策略,以要求访问资源的设备标记为符合组织的 Intune 合规性策略。
警告
在启用此策略之前,请确保设备符合要求。 否则,在将用户帐户添加到条件访问排除组之前,你可能会被锁定并无法更改此策略。
- 登录 Azure 门户。
- 浏览到Microsoft Entra ID>安全>条件访问。
- 选择“ 新建策略”。
- 为策略命名。 我们建议组织为其策略名称创建有意义的标准。
- 在 “分配”下,选择“ 用户或工作负荷标识”。
- 在“包括”下,选择“所有用户”。
- 在 “排除”下,选择“ 用户和组 ”,然后选择组织的紧急访问权限或安全帐户。
- 在“ 云应用或操作包括”>下,选择“ 所有云应用”。
- 如果必须从策略中排除特定应用程序,可以从“选择排除的云应用”下的“排除”选项卡中选择它们,然后选择“选择”。
- 在 “访问控制>授予”下。
- 选择“需要将设备标记为兼容”。
- 选择 “选择”。
- 确认设置,然后将“启用策略”设置为“打开”。
- 选择“ 创建 ”以启用策略。
注意
即使选择“ 要求设备标记为符合 策略中的所有 用户 和 所有云应用 ”,也可以将新设备注册到 Intune。 要求设备标记为合规控制不会阻止 Intune 注册和访问 Microsoft Intune Web 公司门户 应用程序。
订阅激活
使用 订阅激活 功能让用户从一个版本的 Windows“逐步升级”到另一个版本的组织可能想要从其设备合规性策略中排除通用应用商店服务 API 和 Web 应用程序 AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f。
始终需要进行 MFA
按照 常见条件访问策略:要求所有用户进行 MFA 一文中的指导,要求专用安全级别用户始终执行多重身份验证。
警告
配置策略时,请选择需要专用安全性的组,并使用该组 ,而不是选择“所有用户”。
后续步骤
反馈
即将推出:在整个 2024 年,我们将逐步取消以“GitHub 问题”作为内容的反馈机制,并将其替换为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈