保护用户和设备的访问权限

保护对 Microsoft 365 数据和服务的访问对于防御网络攻击和防止数据丢失至关重要。 相同的保护可以应用于环境中的其他 SaaS 应用程序,甚至应用于使用 Microsoft Entra 应用程序代理发布的本地应用程序。

提示

如果你不是 E5 客户,请使用为期 90 天的 Microsoft Purview 解决方案试用版来探索其他 Purview 功能如何帮助组织管理数据安全性和合规性需求。 立即从Microsoft Purview 合规门户试用中心开始。 了解有关 注册和试用条款的详细信息。

步骤 1:查看建议

用于保护使用 Microsoft Entra 应用程序代理发布的Office 365、其他 SaaS 服务和本地应用程序的标识和设备的建议功能。

PDF | Visio | 更多语言

步骤 2:保护管理员帐户和访问权限

用于管理 Microsoft 365 环境的管理帐户包括提升的权限。 这些是黑客和网络攻击者的宝贵目标。

首先,仅使用管理员帐户进行管理。 管理员应具有单独的用户帐户,以便定期使用非管理用途,并且仅在必要时使用其管理帐户来完成与其作业功能关联的任务。

使用多重身份验证和条件访问保护管理员帐户。 有关详细信息,请参阅 保护管理员帐户

接下来,配置 Microsoft Purview Privileged Access Management。 特权访问管理可以对 Office 365 中的特权管理任务进行粒度访问控制。 它可以帮助保护组织免受可能使用现有特权管理员帐户的违规行为,这些帐户具有对敏感数据的永久访问权限或对关键配置设置的访问权限。

另一个首要建议是使用特别为管理工作配置的工作站。 这些是仅用于管理任务的专用设备。 请参阅 保护特权访问

最后,可以通过在租户中创建两个或更多个紧急访问帐户来缓解无意中缺少管理访问权限的影响。 请参阅管理Microsoft Entra ID 中的紧急访问帐户

多重身份验证 (MFA) 和条件访问策略是缓解帐户泄露和未经授权的访问的强大工具。 建议实现一组已一起测试的策略。 有关详细信息(包括部署步骤),请参阅 标识和设备访问配置

这些策略实现以下功能:

  • 多重身份验证
  • 条件访问
  • 适用于设备的 Intune 应用保护 (应用和数据保护)
  • Intune 设备合规性
  • Microsoft Entra ID 保护

实现 Intune 设备符合性需要设备注册。 通过管理设备,可以在允许设备访问环境中的资源之前确保它们正常运行且合规。 请参阅 在 Intune 中注册设备进行管理

步骤 4:配置 SharePoint 设备访问策略

Microsoft 建议使用设备访问控制通过敏感且高度管控的内容保护 SharePoint 网站中的内容。 有关详细信息,请参阅 保护 SharePoint 网站和文件的策略建议