实现零信任标识和设备访问策略的先决条件

项目
03/21/2024

本文介绍管理员使用建议的零信任标识和设备访问策略以及使用条件访问时必须满足的先决条件。此外，还讨论了为客户端平台配置最佳单一登录 (SSO) 体验的建议默认值。

先决条件

在使用建议的零信任标识和设备访问策略之前，组织需要满足先决条件。列出的各种标识和身份验证模型的要求不同：

仅限云
与密码哈希同步 (PHS) 身份验证的混合
与直通身份验证 (PTA) 的混合身份验证
联邦

下表详细介绍了适用于所有标识模型的先决条件功能及其配置，但未说明的情况除外。

配置	例外	授权
配置 PHS。必须启用此功能才能检测泄露的凭据，并针对基于风险的条件访问执行操作。注意：无论组织是否使用联合身份验证，都需要这样做。	仅限云	Microsoft 365 E3 或 E5
启用无缝单一登录，以便在用户位于连接到组织网络的组织设备上时自动登录。	仅限云和联合	Microsoft 365 E3 或 E5
配置命名位置。 Microsoft Entra ID 保护收集并分析所有可用的会话数据以生成风险评分。建议在Microsoft Entra ID命名位置配置中为网络指定组织的公共 IP 范围。为来自这些范围的流量提供了降低的风险分数，而来自组织环境外部的流量则会获得更高的风险分数。		Microsoft 365 E3 或 E5
将所有用户注册为自助密码重置 (SSPR) 和多重身份验证 (MFA) 。建议提前为用户注册Microsoft Entra多重身份验证。 Microsoft Entra ID 保护使用Microsoft Entra多重身份验证来执行其他安全验证。此外，为了获得最佳登录体验，我们建议用户在其设备上安装 Microsoft Authenticator 应用和 Microsoft 公司门户应用。可以从每个平台的应用商店安装它们。		Microsoft 365 E3 或 E5
规划Microsoft Entra混合联接实现。条件访问将确保连接到应用的设备已加入域或合规。若要在 Windows 计算机上支持此功能，必须将设备注册到 Microsoft Entra ID。本文介绍了如何配置自动设备注册。	仅限云	Microsoft 365 E3 或 E5
准备支持团队。为无法完成 MFA 的用户制定计划。这可以是将它们添加到策略排除组，或为其注册新的 MFA 信息。在进行其中任一安全敏感更改之前，需要确保实际用户正在发出请求。请求用户的管理人员来帮助审批是一个有效的步骤。		Microsoft 365 E3 或 E5
配置密码写回到本地 AD。密码写回允许Microsoft Entra ID在检测到高风险帐户泄露时要求用户更改其本地密码。可以通过以下两种方式之一使用 Microsoft Entra Connect 启用此功能：在 Microsoft Entra Connect 设置的可选功能屏幕中启用密码写回，或通过Windows PowerShell启用它。	仅限云	Microsoft 365 E3 或 E5
配置Microsoft Entra密码保护。 Microsoft Entra密码保护检测并阻止已知的弱密码及其变体，还可以阻止特定于组织的其他弱术语。默认的全局禁止密码列表会自动应用于Microsoft Entra租户中的所有用户。可在自定义禁止密码列表中定义额外条目。用户更改或重置其密码时，将检查这些禁止的密码列表，强制使用强密码。		Microsoft 365 E3 或 E5
启用Microsoft Entra ID 保护。 Microsoft Entra ID 保护，可以检测影响组织标识的潜在漏洞，并将自动修正策略配置为低、中、高登录风险和用户风险。		使用 E5 Security 加载项Microsoft 365 E5或Microsoft 365 E3
为 Exchange Online 和 Skype for Business Online启用新式身份验证。新式身份验证是使用 MFA 的先决条件。默认情况下，为 Office 2016 和 2019 客户端、SharePoint 和 OneDrive for Business 启用新式身份验证。		Microsoft 365 E3 或 E5
为Microsoft Entra ID启用持续访问评估。持续访问评估会主动终止活动用户会话，并近乎实时地强制实施租户策略更改。		Microsoft 365 E3 或 E5

推荐的客户端配置

本部分介绍建议为用户提供最佳 SSO 体验的默认平台客户端配置，以及条件访问的技术先决条件。

Windows 设备

建议Windows 11或Windows 10 (版本 2004 或更高版本) ，因为 Azure 旨在为本地和Microsoft Entra ID提供最流畅的 SSO 体验。应将工作或学校颁发的设备配置为直接加入Microsoft Entra ID，或者如果组织使用本地 AD 域加入，则应将这些设备配置为自动且无提示地向Microsoft Entra ID注册。

对于 BYOD Windows 设备，用户可以使用 “添加工作或学校帐户”。请注意，Windows 11或Windows 10设备上的 Google Chrome 浏览器的用户需要安装扩展才能获得与 Microsoft Edge 用户相同的流畅登录体验。此外，如果组织已加入域Windows 8或 8.1 台设备，则可以为非Windows 10计算机安装 Microsoft Workplace Join。下载包，将设备注册到 Microsoft Entra ID。

iOS 设备

建议在部署条件访问或 MFA 策略之前，在用户设备上安装 Microsoft Authenticator 应用。至少，当用户被要求通过添加工作或学校帐户向Microsoft Entra ID注册其设备时，或者当他们安装Intune公司门户应用以将其设备注册到管理中时，应至少安装应用。这取决于配置的条件访问策略。

Android 设备

建议用户在部署条件访问策略之前或在某些身份验证尝试期间需要时安装 Intune 公司门户应用和 Microsoft Authenticator 应用。安装应用后，系统可能会要求用户注册Microsoft Entra ID或使用Intune注册其设备。这取决于配置的条件访问策略。

我们还建议在支持 Android for Work 或 Samsung Knox 的 OEM 和版本上标准化组织拥有的设备，以允许邮件帐户受Intune MDM 策略的管理和保护。

平台	客户端	版本/说明
Windows	Outlook	2019, 2016 所需的更新
iOS	Outlook for iOS	最新版本
Android	Outlook for Android	最新版本
macOS	Outlook	2019 年和 2016 年
Linux	不支持

保护文档时推荐使用的客户端平台

应用安全文档策略后，建议使用以下客户端。

平台	Word/Excel/PowerPoint	OneNote	OneDrive 应用	SharePoint 应用	OneDrive 同步客户端
Windows 11或Windows 10	支持	支持	不适用	不适用	支持
Windows 8.1	支持	支持	不适用	不适用	支持
Android	支持	支持	支持	支持	不适用
iOS	支持	支持	支持	支持	不适用
macOS	支持	支持	不适用	不适用	不支持
Linux	不支持	不支持	不支持	不支持	不支持

Microsoft 365 客户端支持

有关 Microsoft 365 中的客户端支持的详细信息，请参阅以下文章：

保护管理员帐户

对于Microsoft 365 E3、E5 或具有单独的Microsoft Entra ID P1 或 P2 许可证，可以要求对具有手动创建的条件访问策略的管理员帐户进行 MFA。有关详细信息，请参阅条件访问：要求管理员进行 MFA 。

对于不支持条件访问的 Microsoft 365 或Office 365版本，可以启用安全默认值，以要求对所有帐户进行 MFA。

下面是一些其他建议：

使用 Microsoft Entra Privileged Identity Management 减少永久性管理帐户的数量。
使用特权访问管理来保护组织免受可能使用现有特权管理员帐户的违规行为，这些帐户具有对敏感数据或关键配置设置的永久访问权限。
创建和使用分配有 Microsoft 365 管理员角色的单独帐户，这些帐户仅用于管理。管理员应有自己的用户帐户，以便定期使用非管理用途，并且仅在必要时使用管理帐户来完成与其角色或工作职能关联的任务。
遵循在 Microsoft Entra ID 中保护特权帐户的最佳做法。