实施零信任标识和设备访问策略的先决条件工作

项目
05/17/2024

本文介绍了使用建议的零信任标识与设备访问策略以及使用条件访问必须满足的先决条件。它还讨论了配置客户端平台以获得最佳单一登录 (SSO) 体验时建议使用的默认值。

先决条件

在使用建议的零信任标识和设备访问策略之前，组织需要满足先决条件。列出的各种标识和身份验证模型的要求有所不同：

仅限云
与密码哈希同步 (PHS) 身份验证的混合
与直通身份验证 (PTA) 的混合
联合

下表详细介绍了适用于所有身份模型（除非另有说明）的先决条件功能及其配置。

配置	异常	许可
配置 PHS。必须启用此功能才能检测泄露的凭据，并对其采取措施以实现基于风险的条件访问。请注意，无论你的组织是否使用联合身份验证，此功能都是必需的。	仅限云	Microsoft 365 E3 或 E5
启用无缝单一登录，以允许用户在连接到你的组织网络的组织设备上自动登录。	纯云和联合	Microsoft 365 E3 或 E5
配置命名位置。 Microsoft Entra ID 保护收集并分析所有可用的会话数据来生成风险分数。建议在 Microsoft Entra ID 命名位置配置中为你的网络指定你的组织的公共 IP 地址。来自这些范围的流量会被给予一个较低的风险分数，来自组织环境外部的流量将被给予一个较高的风险分数。		Microsoft 365 E3 或 E5
为所有用户注册自助式密码重置 (SSPR) 和多重身份验证 (MFA)。我们建议你提前为用户注册 Microsoft Entra 多重身份验证。 Microsoft Entra ID 保护利用 Microsoft Entra 多重身份验证来执行额外的安全验证。此外，为了获得最佳登录体验，我们建议用户在设备上安装 Microsoft Authenticator 应用和 Microsoft Company Portal 应用。可以从每个平台的应用商店安装这些应用。		Microsoft 365 E3 或 E5
规划 Microsoft Entra 混合加入实现。条件访问可确保连接到应用的设备已加入域或合规。若要在 Windows 计算机上支持此功能，必须将设备注册到 Microsoft Entra ID。本文讨论了如何配置自动化设备注册。	仅限云	Microsoft 365 E3 或 E5
准备你的支持团队。针对无法完成 MFA 的用户制定计划。此计划可以将它们添加到一个策略排除组，或者为它们注册新的 MFA 信息。在进行这些对安全性敏感的更改之前，需要确保是实际用户发出了申请。要求用户的经理帮助进行批准是一个有效的步骤。		Microsoft 365 E3 或 E5
配置向本地 AD 的密码写回。密码写回允许 Microsoft Entra ID 在检测到高风险帐户危害时要求用户更改其本地密码。可以通过以下两种方式之一启用此功能：在 Microsoft Entra Connect 设置的可选功能屏幕中启用“密码写回”，或通过 Windows PowerShell 启用此功能。	仅限云	Microsoft 365 E3 或 E5
配置 Microsoft Entra 密码保护。 Microsoft Entra 密码保护可以检测并阻止已知的弱密码及其变体，还可以阻止特定于组织的其他弱字词。默认的全局受禁密码列表会自动应用于 Microsoft Entra 租户中的所有用户。你可以在自定义受禁密码列表中定义更多条目。用户更改或重置密码时，系统会检查这些受禁密码列表以强制使用强密码。		Microsoft 365 E3 或 E5
启用 Microsoft Entra ID 保护。 Microsoft Entra ID 保护可用于检测可能会影响组织中的标识的潜在漏洞，还可用于配置对低、中和高登录风险以及用户风险的自动修整策略。		具有 E5 安全加载项的 Microsoft 365 E5 或 Microsoft 365 E3
为 Exchange Online 和 Skype for Business Online 启用新式身份验证。新式身份验证是使用 MFA 的先决条件。默认情况下，Office 2016 和 2019 客户端、SharePoint 和 OneDrive for Business 会启用新式身份验证。		Microsoft 365 E3 或 E5
为 Microsoft Entra ID 启用连续访问评估。连续访问评估主动终止活动用户会话并近乎实时地强制实施租户策略更改。		Microsoft 365 E3 或 E5

推荐的客户端配置

此部分介绍了我们建议使用的为用户提供最佳 SSO 体验的默认平台客户端配置，并介绍了进行条件访问的技术先决条件。

Windows 设备

建议使用 Windows 11 或 Windows 10（版本 2004 或更高版本），因为根据设计，Azure 可以提供最顺畅的 SSO 体验，既适用于本地，又适用于 Microsoft Entra ID。应该将工作单位或学校配发的设备配置为直接加入 Microsoft Entra ID；如果组织使用本地 AD 域加入，则应将这些设备配置为自动且无提示地注册到 Microsoft Entra ID。

对于 BYOD Windows 设备，用户可以使用“添加工作或学校帐户”。请注意，Windows 11 或 Windows 10 设备上的 Google Chrome 浏览器的用户需要安装一个扩展才能获得与 Microsoft Edge 用户相同的平滑登录体验。另外，如果组织有已加入域的 Windows 8 或 8.1 设备，则可安装适用于非 Windows 10 计算机的 Microsoft Workplace Join。下载软件包来将设备注册到 Microsoft Entra ID。

iOS 设备

在部署条件性访问或 MFA 策略之前，建议你先在用户设备上安装 Microsoft Authenticator 应用。至少应该在系统要求用户将其设备注册到 Microsoft Entra ID（通过添加工作或学校帐户的方式）时，或者在用户安装 Intune 公司门户应用以将其设备通过注册方式加入管理时，安装该应用。这取决于配置的条件性访问策略。

Android 设备

建议用户在部署条件性访问策略之前安装 Intune 公司门户应用和 Microsoft Authenticator 应用，或者在进行某些身份验证尝试时根据需要这样做。安装完应用之后，系统可能会要求用户注册到 Microsoft Entra ID 或将其设备注册到 Intune。这取决于配置的条件性访问策略。

另一建议是，组织拥有的设备应由 OEM 标准化，而支持 Android for Work 或 Samsung Knox 的版本则应允许通过 Intune MDM 策略来管理和保护邮件帐户。

建议的电子邮件客户端

以下电子邮件客户端支持新式身份验证和条件性访问。

平台	客户端	版本/说明
Windows	Outlook	2019、2016 所需的更新
iOS	Outlook for iOS	最新
Android	Outlook for Android	最新
macOS	Outlook	2019 和 2016
Linux	不支持

保护文档时建议使用的客户端平台

应用了安全文档策略时，建议使用以下客户端。

平台	Word/Excel/PowerPoint	OneNote	OneDrive 应用	SharePoint 应用	OneDrive 同步客户端
Windows 11 或 Windows 10	支持	支持	空值	空值	支持
Windows 8.1	支持	支持	空值	空值	支持
Android	支持	受支持	受支持	支持	空值
iOS	支持	受支持	受支持	支持	空值
macOS	支持	支持	空值	N/A	不支持
Linux	不支持	不支持	不支持	不支持	不支持

Microsoft 365 客户端支持

有关 Microsoft 365 中的客户端支持的详细信息，请参阅以下文章：

保护管理员帐户

使用 Microsoft 365 E3 或 E5 时，或者具有单独的 Microsoft Entra ID P1 或 P2 许可证时，可以通过手动创建的条件访问策略要求管理员帐户使用 MFA。有关详细信息，请参阅条件访问：要求管理员进行 MFA。

对于不支持条件访问的 Microsoft 365 或 Office 365 版本，你可以启用安全默认设置，要求所有帐户进行 MFA。

下面是一些其他建议：

使用 Microsoft Entra Privileged Identity Management 减少持久性管理帐户数。
使用特权访问管理帮助你保护组织免受违规行为的危害，违规行为可能使用现有的特权管理员帐户对敏感数据进行长期访问或访问关键的配置设置。
为管理员创建并使用单独的帐户，并为这些帐户分配他们专用的 Microsoft 365 管理员角色。管理员应当具有自己的用于执行普通非管理工作的用户帐户，并且仅在完成与其角色或工作职能相关的任务时使用管理帐户。
请遵循最佳做法来保护 Microsoft Entra ID 中的特权帐户。

通过