零信任标识和设备访问配置

  • 项目

如今,员工需要访问超出传统企业网络边界的应用程序和资源。 依赖于网络防火墙和虚拟专用网络 (VPN 的安全体系结构) 来隔离和限制对资源的访问已不再足够。

为了应对这一新的计算领域,Microsoft 强烈建议零信任安全模型,该模型基于以下指导原则:

  • 显式验证:始终基于所有可用数据点进行身份验证和授权。 此验证是零信任标识和设备访问策略对于登录和持续验证至关重要的地方。
  • 使用最低特权访问:使用实时访问和 Just-Enough-Access (JIT/JEA) 、基于风险的自适应策略和数据保护来限制用户访问。
  • 假设存在漏洞:最小化爆炸半径和段访问。 验证端到端加密,并使用分析获取可见性、促进威胁检测和加强防范。

下面是零信任的整体体系结构:

显示 Microsoft 零信任 体系结构的示意图。

零信任标识和设备访问策略解决了以下问题:验证显式指导原则:

  • 标识:当标识尝试访问资源时,请验证具有强身份验证的标识,并确保请求的访问符合要求且典型。
  • 设备 (也称为终结点) :监视并强制实施设备运行状况和合规性要求,以确保安全访问。
  • 应用程序:将控件和技术应用于:
    • 确保适当的应用内权限。
    • 基于实时分析控制访问权限。
    • 监视异常行为
    • 控制用户操作。
    • 验证安全配置选项。

本系列文章介绍了一组使用Microsoft Entra ID、条件访问、Microsoft Intune和其他功能的标识和设备访问配置和策略。 这些配置和策略零信任访问 Microsoft 365 企业云应用和服务、其他 SaaS 服务,以及使用 Microsoft Entra 应用程序代理发布的本地应用程序。

零信任标识和设备访问设置以及策略建议采用三个层:

  • 起点。
  • 企业。
  • 针对具有高度管控或机密数据的环境提供专用安全性。

这些层及其相应的配置跨数据、标识和设备提供一致的零信任保护级别。 这些功能及其建议:

如果组织具有独特的要求或复杂性,请使用这些建议作为起点。 但是,大多数组织都可以按照规定实施这些建议。

观看此视频,快速了解 Microsoft 365 企业版的标识和设备访问配置。

注意

Microsoft 还为Office 365订阅销售企业移动性 + 安全性 (EMS) 许可证。 EMS E3 和 EMS E5 功能与 Microsoft 365 E3 和 Microsoft 365 E5 中的功能等效。 有关详细信息,请参阅 EMS 计划

目标受众

这些建议适用于熟悉 Microsoft 365 云生产力和安全服务的企业架构师和 IT 专业人员。 这些服务包括Microsoft Entra ID (标识) 、Microsoft Intune (设备管理) 和Microsoft Purview 信息保护 (数据保护) 。

客户环境

建议的策略适用于完全在 Microsoft 云中运营的企业组织以及具有混合标识基础结构的客户。 混合标识结构是与Microsoft Entra ID同步的本地 Active Directory林。

我们的许多建议依赖于只有以下许可证才可用的服务:

  • Microsoft 365 E5。
  • 使用 E5 Security 加载项Microsoft 365 E3。
  • EMS E5。
  • Microsoft Entra ID P2 许可证。

对于没有这些许可证的组织,我们建议你至少实现所有 Microsoft 365 计划中包含的 安全默认值

警告

你的组织可能受法规或其他合规性要求的约束,包括要求你应用与这些建议配置不同的策略的具体建议。 这些配置建议使用以前不可用的使用情况控件。 建议使用这些控制措施,因为我们相信它们代表了安全性和工作效率之间的平衡。

我们已尽最大努力考虑各种组织保护要求,但我们无法考虑所有可能的要求或组织的所有独特方面。

三级保护

大多数组织都具有安全性和数据保护方面的特定要求。 这些要求因行业部门和组织内的工作职能而异。 例如,法律部门和管理员可能需要对其电子邮件通信进行额外的安全和信息保护控制,而其他业务部门不需要这些控制措施。

每个行业也有自己独特的一组规定。 我们不会尝试提供所有可能的安全选项列表或每个行业细分或工作职能的建议。 相反,我们将针对三个级别的安全性和保护提供建议,这些级别可以根据需求粒度应用。

  • 起点:我们建议所有客户建立并使用最低标准来保护数据,以及访问数据的标识和设备。 可以遵循这些建议为所有组织提供强大的默认保护作为起点。
  • 企业:某些客户拥有的一部分数据必须在较高级别受到保护,或者所有数据必须在较高级别受到保护。 你可以对 Microsoft 365 环境中的所有或特定数据集应用增强的保护。 建议以与安全性相当的级别保护访问敏感数据的标识和设备。
  • 专用安全性:根据需要,少数客户拥有少量高度机密、构成商业机密或受监管的数据。 Microsoft 提供的功能可帮助这些客户满足这些要求,包括为标识和设备添加保护。

安全锥

本指南介绍如何为这些保护级别中的每个级别实现标识和设备零信任保护。 将本指南用作组织的最低要求,并调整策略以满足组织的特定要求。

请务必跨标识、设备和数据使用一致的保护级别。 例如,对具有优先帐户的用户(如高管、领导、经理和其他人员)的保护应包括对其标识、设备和他们访问的数据的相同级别的保护。

此外,请参阅 为数据隐私法规部署信息保护 解决方案,以保护存储在 Microsoft 365 中的信息。

安全性和生产力权衡

实施任何安全策略都需要在安全性和工作效率之间进行权衡。 评估每个决策如何影响安全性、功能和易用性的平衡很有帮助。

平衡安全性、功能和易用性的安全三重奏

提供的建议基于以下原则:

  • 了解用户,并灵活满足其安全性和功能要求。
  • 及时应用安全策略并确保其有意义。

零信任标识和设备访问保护的服务和概念

Microsoft 365 企业版专为大型组织设计,使每个人都能够发挥创造力并安全地协同工作。

本部分概述了 Microsoft 365 服务和功能,这些功能对于零信任标识和设备访问非常重要。

Microsoft Entra ID

Microsoft Entra ID提供了一整套标识管理功能。 建议使用这些功能来保护访问。

功能或特性 说明 许可
多重身份验证 (MFA) MFA 要求用户提供两种形式的验证,例如用户密码以及来自 Microsoft Authenticator 应用的通知或电话呼叫。 MFA 大大降低了被盗凭据可用于访问环境的风险。 Microsoft 365 对基于 MFA 的登录使用Microsoft Entra多重身份验证服务。 Microsoft 365 E3 或 E5
条件访问 Microsoft Entra ID评估用户登录的条件,并使用条件访问策略来确定允许的访问。 例如,本指南介绍如何创建条件访问策略,以要求设备符合性才能访问敏感数据。 这大大降低了具有自己设备和被盗凭据的黑客访问敏感数据的风险。 它还保护设备上的敏感数据,因为设备必须满足特定的运行状况和安全性要求。 Microsoft 365 E3 或 E5
Microsoft Entra组 条件访问策略、具有Intune的设备管理,甚至对组织中的文件和站点的权限都依赖于对用户帐户或Microsoft Entra组的分配。 建议创建Microsoft Entra组,这些组对应于要实现的保护级别。 例如,你的高管人员可能是黑客的更高价值目标。 因此,有必要将这些员工的用户帐户添加到Microsoft Entra组,并将此组分配给条件访问策略和其他策略,以强制实施更高级别的访问保护。 Microsoft 365 E3 或 E5
设备注册 将设备注册到 Microsoft Entra ID,为设备创建标识。 此标识用于在用户登录时对设备进行身份验证,并应用需要已加入域或合规的电脑的条件访问策略。 对于本指南,我们使用设备注册自动注册已加入域的 Windows 计算机。 设备注册是使用Intune管理设备的先决条件。 Microsoft 365 E3 或 E5
Microsoft Entra ID 保护 使你能够检测影响组织标识的潜在漏洞,并将自动修正策略配置为低、中、高登录风险和用户风险。 本指南依赖于此风险评估来应用条件访问策略进行多重身份验证。 本指南还包括条件访问策略,该策略要求用户在检测到其帐户的高风险活动时更改其密码。 Microsoft 365 E5、使用 E5 Security 加载项、EMS E5 或 Microsoft Entra ID P2 许可证Microsoft 365 E3
自助密码重置 (SSPR) 通过提供管理员可控制的多种身份验证方法的验证,允许用户安全地重置其密码,而无需支持人员干预。 Microsoft 365 E3 或 E5
Microsoft Entra密码保护 检测并阻止已知的弱密码及其变体以及特定于组织的其他弱术语。 默认的全局禁止密码列表会自动应用于Microsoft Entra租户中的所有用户。 可在自定义禁止密码列表中定义额外条目。 用户更改或重置其密码时,将检查这些禁止的密码列表,强制使用强密码。 Microsoft 365 E3 或 E5

下面是零信任标识和设备访问的组件,包括Intune和Microsoft Entra对象、设置和子服务。

零信任标识和设备访问的组件

Microsoft Intune

Intune是 Microsoft 基于云的移动设备管理服务。 本指南建议使用Intune对 Windows 电脑进行设备管理,并建议设备符合性策略配置。 Intune确定设备是否合规,并将此数据发送到Microsoft Entra ID,以在应用条件访问策略时使用。

Intune应用保护

Intune应用保护策略可用于在移动应用中保护组织的数据,无论是否将设备注册到管理中。 Intune有助于保护信息,确保员工仍能保持工作效率,并防止数据丢失。 通过实施应用级策略,可以限制对公司资源的访问,并使数据在 IT 部门的控制范围内。

本指南介绍如何创建建议的策略来强制使用已批准的应用,并确定如何将这些应用与业务数据一起使用。

Microsoft 365

本指南介绍如何实施一组策略来保护对 Microsoft 365 云服务(包括 Microsoft Teams、Exchange、SharePoint 和 OneDrive)的访问。 除了实现这些策略外,建议还使用这些资源提高租户的保护级别:

使用Microsoft 365 企业应用版Windows 11或Windows 10

建议使用 Microsoft 365 企业应用版 Windows 11 或 Windows 10 是适用于电脑的客户端环境。 建议Windows 11或Windows 10,因为Microsoft Entra旨在为本地和Microsoft Entra ID提供尽可能流畅的体验。 Windows 11或Windows 10还包括可通过Intune管理的高级安全功能。 Microsoft 365 企业应用版包括最新版本的 Office 应用程序。 它们使用新式身份验证,新式身份验证更安全,也是条件访问的要求。 这些应用还包括增强的合规性和安全性工具。

跨三个保护级别应用这些功能

下表总结了有关跨三个保护级别使用这些功能的建议。

保护机制 起点 企业版 专用安全性
强制执行 MFA 针对中级或以上登录风险 针对低级或以上登录风险 针对所有新会话
强制更改密码 对于高风险用户 对于高风险用户 对于高风险用户
强制实施Intune应用程序保护
对组织拥有的设备强制实施Intune注册 需要符合要求或已加入域的电脑,但允许自带设备 (BYOD) 手机和平板电脑 需要合规或已加入域的设备 需要合规或已加入域的设备

设备所有权

上表反映了许多组织支持组织拥有的设备组合以及个人或 BYOD 以实现整个员工移动工作效率的趋势。 Intune应用保护策略可确保在组织拥有的设备和 BYOD 上保护电子邮件免受 Outlook 移动应用和其他 Office 移动应用的外泄。

我们建议组织拥有的设备由Intune或已加入域的设备进行管理,以应用其他保护和控制。 根据数据敏感度,组织可能会选择不允许特定用户群体或特定应用的 BYOD。

部署和应用

在为Microsoft Entra集成应用配置和推出零信任标识和设备访问配置之前,必须:

  • 确定组织中要保护哪些应用。

  • 分析此应用列表以确定提供适当保护级别的策略集。

    不应为每个应用创建单独的策略集,因为管理策略可能会变得繁琐。 Microsoft 建议对对相同用户具有相同保护要求的应用进行分组。

    例如,有一组策略,其中包含所有用户的所有 Microsoft 365 应用,以便进行起点保护。 为所有敏感应用(例如人力资源或财务部门使用的应用)设置第二组策略,并将其应用于这些组。

确定要保护的应用的策略集后,以增量方式向用户推出策略,从而解决过程中的问题。 例如:

  1. 配置要用于所有 Microsoft 365 应用的策略。
  2. 仅添加 Exchange 及其所需更改,向用户推出策略,并解决任何问题。
  3. 使用所需的更改添加 Teams,向用户推出策略,并解决任何问题。
  4. 添加 SharePoint 及其所需的更改,向用户推出策略,并解决任何问题。
  5. 继续添加其余应用,直到可以放心地配置这些起点策略以包括所有 Microsoft 365 应用。

同样,对于敏感应用,请创建策略集,并一次添加一个应用。 解决任何问题,直到这些问题全部包含在敏感应用策略集中。

Microsoft 建议不要创建适用于所有应用的策略集,因为这可能会导致一些意外的配置。 例如,阻止所有应用的策略可能会将管理员锁定Microsoft Entra 管理中心,并且无法为 Microsoft Graph 等重要终结点配置排除项。

配置零信任标识和设备访问的步骤

配置零信任标识和设备访问的步骤

  1. 配置先决条件标识功能及其设置。
  2. 配置通用标识和访问条件访问策略。
  3. 为来宾和外部用户配置条件访问策略。
  4. 为 Microsoft 365 云应用(如 Microsoft Teams、Exchange 和 SharePoint)配置条件访问策略,并Microsoft Defender for Cloud Apps策略。

配置零信任标识和设备访问后,请参阅Microsoft Entra功能部署指南,获取要考虑和Microsoft Entra ID 治理保护、监视和审核访问权限的其他功能的分阶段清单。

后续步骤

实现零信任标识和设备访问策略的先决条件