使用零信任保护远程和混合工作
作为零信任采用指南的一部分,本文介绍了保护远程和混合工作的业务场景。 请注意,保护业务数据和基础结构是单独的业务场景主题,本指南中不涉及。
向混合工作方式的转型迫使组织必须快速适应环境。 远程员工可以通过各种方式完成工作,例如使用个人设备、通过云服务进行协作,以及在公司网络边界之外共享数据。 混合型员工在公司网络和家庭网络中工作,在公司设备和个人设备之间切换。
随着员工的家庭网络延伸至公司网络边界,并有不同设备加入公司网络,其面临的安全威胁成倍增加,并变得更加复杂,同时,攻击途径也在不断演变。
| 使用网络控制措施的传统保护 | 通过零信任提供现代保护 |
|---|---|
| 传统保护依赖网络防火墙和虚拟专用网 (VPN) 隔离和限制访问公司资源。 员工在现实中打卡进入办公室,然后使用其用户帐户和密码登录其设备。 默认情况下,用户帐户和设备都被视作可信任的。 |
零信任模型将策略、流程和技术结合在一起,建立从云端到边缘的信任,无需考虑用户从何处访问网络。 零信任模型假定任何网络中的任何用户标识或设备都不是安全的。 此方法要求验证用户标识和设备,与此同时,它还会持续监视办公室和家中各种设备上网络、数据和应用的安全。 |
在下图中,从左至右,展示了从使用网络控制方式的传统保护(有限的已知位置)到使用零信任的现代保护(未知位置)的转变,后者不受用户和设备所在地的影响,能够对所有位置提供同样的保护。
本文将提供指南,介绍如何开始和实施远程和混合工作的保护策略。
企业领导者对保护远程和混合工作的看法
在开始任何技术性工作之前,请务必了解企业是在哪些不同动机的驱使下,对远程和混合工作的安全性做出投资的,因为这些动机将提供依据,帮助企业制定策略、目标和措施,通往成功。
下表列出的原因揭示了组织的企业领导者为何应该投资保护远程和混合工作。
| 角色 | 保护远程和混合工作为什么重要 |
|---|---|
| 首席执行官 (CEO) | 企业必须建立能力,无论其员工身处何处,都能实现自身的战略目的和目标。 业务敏捷性和业务执行不应受到限制。 一旦网络攻击达成其目的,付出的代价可能远远超过实施安全措施的成本。 在大多数情况下,企业需要遵守网络安全保障要求或标准,以及区域性法规。 |
| 首席营销官 (CMO) | 内部和外部对业务的看法不应受到设备或环境的限制。 员工可以选择在家还是在办公室工作,体现了企业对其福祉的高度重视。 一次成功的攻击可能会被公众知晓,对品牌价值造成潜在损害。 |
| 首席信息官 (CIO) | 在保护公司数据安全的同时,必须确保移动办公员工和混合办公员工可访问其需要使用的应用程序。 安全性应是可衡量结果,并与 IT 策略保持一致。 用户体验和工作效率非常重要。 |
| 首席信息安全官 (CISO) | 远程或混合工作环境为安全漏洞创造了更大的攻击面。 在环境扩大的同时,组织仍应遵守安全性和数据保护的要求、标准和法规。 |
| 首席技术官 (CTO) | 用于辅助业务创新的技术和流程必须得到保护。 SecOps 和 DevSecOps 实践可以降低攻击造成的影响。 采用的配套技术必须有助于推进远程工作的展开以及云服务的安全采用。 |
| 首席运营官 (COO) | 随着员工队伍的移动化,使用固定办公地点的频率降低,企业资产的安全需要得到保障,业务风险必须得到管理。 由于首席执行官对日常业务生产负责,攻击对运营或供应链造成的任何干扰都会影响盈利。 |
| 首席财务官 (CFO) | 花费的重点正从固定模式转向敏捷模式。 固定的数据中心投资和办公建筑正在被云应用程序和员工的在家办公所取代。 实施安全功能的成本必须根据对风险和成本的分析进行权衡。 |
除了企业领导者方面的动机外,许多员工也在期待获得灵活性,希望随时随地通过任何设备工作。
在新冠疫情初期,许多企业级组织就开始采用远程和混合工作方式,Microsoft 就是其中之一。 在《2022 年 Microsoft 数字防御报告》第 87 页,Microsoft 强调,这项商业机会引入了风险,必须与安全措施相结合,以提高应对攻击的复原能力:
- 网络安全是在技术上取得成功的关键推动因素。 只有引入安全措施,赋予组织复原能力,以便尽可能地应对现代攻击,才能实现创新并提高工作效率。
- 疫情带来了一项挑战,要求我们调整安全实践和技术,确保无论 Microsoft 的员工在何处工作,都能为其提供保护。 在过去的一年里,威胁行动者继续利用着疫情期间暴露的漏洞,并将攻击面转向了混合工作环境。
这份报告强调,对于绝大多数成功的网络攻击,只需遵守基本的安全行为习惯即可预防。
远程和混合工作保护措施的采用周期
使用零信任保护远程和混合工作包括部署虽然基本但能提供复杂防护的安全保护措施。 从技术上讲,这项目标涉及策略的实施,以及通过完整的端到端生命周期方法,对组织资源的所有访问进行监控。
本文使用与适用于 Azure 的云采用框架相同的生命周期阶段(定义策略、计划、就绪、采用,以及治理与管理)来演示此业务方案,但针对零信任对其进行了调整。
下表是示意图的可访问版本。
| 定义策略 | 计划 | 就绪 | 采用 | 治理和管理 |
|---|---|---|---|---|
| 成果 组织遵循情况 战略目标 |
利益干系人团队 技术计划 技能就绪 |
评估 测试 试点 |
在数字资产中逐步实施 | 跟踪和度量 监视和检测 迭代提高成熟度 |
在零信任采用框架概述中详细了解零信任采用周期。
定义策略阶段
“定义策略”阶段对于定义和规范我们的工作来解决这个方案的具体问题至关重要。 在这个阶段,我们将从业务、IT、运营和战略角度了解该场景。
我们要了解安全是一个循序渐进、不断迭代的历程,并定义成果,用于衡量是否在这个场景中取得了成功。
本文列出了与许多组织相关的动机和成果,作为参考建议。 请根据组织的独特需求,使用这些建议来改进组织的策略。
保护远程和混合工作的动机
保护远程和混合工作的动机非常简单,但组织的不同部门会出于不同的激励因素完成这项工作。 下表汇总了其中的部分动机。
| 领域 | 动机 |
|---|---|
| 业务需求 | 在不降低安全标准并控制数据访问风险的前提下,随时随地通过任何设备访问信息。 |
| IT 需求 | 一个标准化标识平台,可满足人类和非人类标识要求,消除对 VPN 的需求,并以合规的方式提供对企业和 BYOD 设备的远程管理,同时提供无缝且积极的用户体验。 |
| 运营需求 | 以标准化方式实现现有的安全解决方案。 降低实施和维护安全标识所需的管理工作量。 标识治理涉及用户的入职和离职、在正确的时间授予对资源的访问权限,以及提供刚好足够的访问权限。 这也涉及在不需要时,撤销访问权限。 |
| 战略需求 | 通过实施强大的安全解决方案,逐步降低网络攻击的投资回报。 零信任的假设已入侵原则允许企业制定计划,以便在发生网络攻击时,最大限度地缩小波及范围和攻击面,并缩短遭入侵后的恢复时间。 |
“保护远程和混合工作”场景的成果
要提高工作效率,用户必须能够使用:
- 可验证其标识的帐户凭证。
- 其终结点(设备),如电脑、平板电脑或手机。
- 企业提供的应用程序。
- 完成工作所需的数据。
- 一个网络,使无论用户及其设备是在企业内部还是在互联网上,都可通过该网络在设备和应用程序之间传输流量。
所有这些元素都是攻击者的目标,必须受到零信任“永不信任,始终验证”原则的保护。
下表提供了“保护远程和混合工作”场景的目标及其成果。
| 目标 | 成果 |
|---|---|
| 工作效率 | 组织希望以安全的方式提升用户及其设备的工作效率,确保员工的能力不会因为工作地点而受到限制。 |
| 安全访问 | 公司数据和应用程序需要由正确的员工以安全的方式访问,以保护公司的知识产权和个人的数据。 |
| 支持最终用户 | 在组织采用混合工作思维的同时,员工需要更多的应用程序和平台功能,以获得安全的移动工作体验。 |
| 提高安全性 | 现有或拟议的工作解决方案需要提升安全性,以帮助组织适应移动办公人员的需求。 安全功能应等同于或超过在企业内部办公时已实现的安全级别。 |
| 为 IT 部门提供支持 | IT 团队希望确保工作场所的安全,这首先需要保障员工的用户体验,不能给用户增加过多不便。 此外,IT 团队还需要相应的流程和可见性,从而为治理工作提供支持,并实现对网络攻击的检测和抑制。 |
计划阶段
采用计划将零信任策略的理想目标转化为可行的计划。 所有团队可以共同利用采用计划指导其技术工作,使之与组织的业务策略相符。
你与业务领导者和团队一起定义的动机和结果支持解决组织的具体问题。 它们将成为组织策略的北极星指标或指导目标。 接下来是实现动机和目标的技术规划。
使用以下练习帮助你规划组织技术策略的实施。 这些练习通过捕捉优先任务,为零信任的采用工作提供支持。 在此流程结束时,你将得到一份云采用计划,它与云采用策略中定义的指标和动机相对应。
| 练习 | 说明 |
|---|---|
| 数字资产 | 盘点数字资产:标识、设备、应用。 根据与组织动机及业务成果相一致的假设,确定数字资产的优先级。 |
| 组织一开始的遵循情况 | 使组织符合技术策略和采用计划。 策略和计划基于组织的目标以及你在清单中确定的优先级。 |
| 技术技能就绪计划 | 创建一个计划,解决组织内部技能就绪性方面的差距。 |
| 云采用计划 | 制定云采用计划,管理技能、数字资产和组织方面的变化。 |
为了确保远程和混合工作的安全,在技术方面,采用过程涉及使用分阶段的方法,以确保将零信任原则应用于标识、设备和应用程序,具体要求如下:
- 对访问该环境的所有用户标识实施结合了条件访问的多重身份验证 (MFA)
- 设备注册到设备管理系统中,其健康状况受到监控。
- 访问应用程序及其数据需要验证标识,并具有健康的设备和适当的数据访问权限。
许多组织可以采取四阶段方法实现这些部署目标,如下图所示。
| 阶段 1 | 阶段 2 | 阶段 3 | 阶段 4 |
|---|---|---|---|
| 利用强大的身份验证功能,验证和保护每个标识 将 SaaS 应用程序与 Microsoft Entra ID 集成,实现单一登录 确保所有新应用程序都使用新式验证 |
使用 Microsoft Entra ID 注册设备。 实施作为起点的零信任标识和设备访问策略 对本地应用使用 Microsoft Entra 应用程序代理,实现单一登录 |
在设备管理解决方案中注册设备,并应用建议的安全保护措施 只允许合规和受信任的设备访问数据 |
监视设备配置偏移 实现无密码身份验证 |
如果这种分阶段的方法适合你的组织,则可以使用:
这个可下载的 PowerPoint 演示文稿为企业领导者和其他利益干系人展示和报告这些阶段及目标的进度。 以下是用于此业务方案的幻灯片。
此 Excel 工作簿用于分配所有者并跟踪这些阶段、目标及其任务的进度。 以下是用于此业务方案的工作表。
如果你的组织订阅了特定的治理风险与合规性 (GRC) 或安全运营中心 (SOC) 策略,则技术工作必须包含满足这些要求的配置。
了解你的组织
每个组织的需求和构成都不尽相同。 与拥有众多应用程序和高度标准化安全架构的跨国企业相比,敏捷的初创企业或中型组织会以不同的方式实施安全措施。
无论组织的规模和复杂程度如何,都适合采取以下行动:
- 清点用户、终结点、应用、数据和网络,了解安全状态,并估算改造资产所需的工作量级别。
- 记录目标,根据优先级制定要逐步采用的计划。 例如,首先保护标识和 Microsoft 365 服务的安全,然后保护终结点的安全。 接下来,使用条件访问提供的新式身份验证方法和分段功能,保护应用和 SaaS 服务的安全。
- 根据“使用最低权限访问”原则,清点拥有访问特权的帐户,并尽可能减少此类帐户的数量。 对于需要访问特权的帐户,应使用即时和刚好 (JIT/JEA) 的访问策略,限制常设的管理权限。 如果发生入侵,被盗用的帐户受到限制,将最大程度地缩小波及范围。 除了“破窗”帐户之外,不应允许高特权角色进行任何常设管理访问,其中包括 SharePoint、Exchange 和 Teams 等生产力服务的应用程序管理角色。
组织规划和调整
实施和治理安全访问权限的方法将影响到多个重叠领域,通常按照以下顺序实施:
- 标识
- 终结点(设备)
- 应用
- 网络
对于保护远程和混合工作,保护数据也同样至关重要。 《识别和保护敏感业务数据》更深入地阐述了这一主题。
在构建发起计划和项目管理层次结构时,推荐使用下表总结的角色来确定和推动结果。
| 区域 | 计划领导者 | 技术所有者角色 |
|---|---|---|
| 标识 | CISO、CIO 或标识安全总监 标识安全项目负责人或标识架构师 |
安全架构师 标识安全或标识架构师 标识管理员 安全治理或标识管理员 用户培训团队 |
| 终结点 | CISO、CIO 或标识安全总监 标识安全项目负责人或标识架构师 |
安全架构师 标识安全或基础结构安全架构师 移动设备管理 (MDM) 管理员 安全治理或 MDM 管理员 用户培训团队 |
| 应用 | CISO、CIO 或应用程序安全总监 应用管理项目主管 |
标识架构师 开发人员架构师 网络架构师 云网络架构师 安全治理 |
| 网络 | CISO、CIO 或网络安全总监 网络领导项目主管 |
安全架构师 网络架构师 网络工程师 网络实施人员 网络治理 |
此采用内容的资源 PowerPoint 幻灯片组包含以下幻灯片,可针对组织情况自行定制其中的利益干系人视图。
技术规划和技能就绪情况
Microsoft 提供的资源可帮助你确定这项工作的优先级,开始并建立成熟的部署。 在此阶段,我们将这些资源用作规划活动,以了解拟议变更的影响,并创建实施计划。
这些资源包括规范性指导,你可以将其当作推荐的起点,在自己的组织中使用。 请根据优先事项和要求调整建议。
| 资源 | 说明 |
|---|---|
快速现代化计划 (RaMP) 清单:明确验证所有访问请求的信任度  |
此系列清单按优先顺序枚举了每个安全部署领域的技术目标,并记录了实现这些目标所需的步骤。 它还列出了每个领域需要参与的项目成员。 使用此资源可帮助确定速赢方案。 |
零信任标识和设备访问配置  |
此解决方案指南推荐了一套经过共同测试的标识和设备访问策略。 其中包括:
|
使用 Intune 管理设备  |
从无需将设备注册到管理系统中的操作,到全面管理设备,本解决方案指南将介绍设备管理中的各个阶段。 这些建议已与上述资源协调一致。 |
Intune 注册选项  PDF | Visio 更新(2022 年 6 月) |
此海报集以一目了然的方式对比了各个平台上的设备注册选项。 |
| MFA 部署计划 | 此部署指南介绍了如何计划和成功实施 Microsoft Entra 多重身份验证。 |
除这些资源,以下各节还重点介绍了用于上述四个阶段中特定任务的资源。
阶段 1
| 部署目标 | 资源 |
|---|---|
| 通过强身份验证来验证和保护每个标识 | Microsoft Entra ID 中有哪些可用的身份验证和验证方法? |
| 将 SaaS 应用程序与 Microsoft Entra ID 集成,实现单一登录 | 将 SaaS 应用程序添加到 Microsoft Entra ID 和策略范围中 |
| 确保新应用程序使用新式验证 | 清单 - 你如何管理工作负荷的标识? |
阶段 2
| 部署目标 | 资源 |
|---|---|
| 使用 Microsoft Entra ID 注册设备。 | 已注册 Microsoft Entra 的设备 规划 Microsoft Entra 联接实现 |
| 针对起点保护级别实施零信任标识和设备访问策略 | 零信任标识和设备访问权限配置的保护级别 |
| 对本地应用使用 Microsoft Entra 应用程序代理,实现单一登录 | 如何配置应用程序代理应用的单一登录 |
阶段 3
| 部署目标 | 资源 |
|---|---|
| 将设备注册到管理系统,并应用建议的安全保护措施 | 使用 Intune 管理设备概述 零信任标识和设备访问权限配置 |
| 只允许合规和受信任的设备访问数据 | 使用 Intune 为设备设置合规策略 使用 Intune 需要正常且合规的设备 |
阶段 4
| 部署目标 | 资源 |
|---|---|
| 监视设备配置偏移 | 在 Microsoft Intune 中部署设备配置文件 监视设备风险和对安全基线的合规性 |
| 实现无密码身份验证 | 使用无密码身份验证提高登录安全性 |
云采用计划
采用计划是成功采用零信任的基本要求。 零信任采用计划是一项迭代的项目计划,可帮助公司从传统的安全方法过渡到更成熟、更复杂的策略,其中包括变更管理和治理。
标识、终结点、应用和网络都涵盖在此计划阶段的范围内。 这些方面都要求保护现有资产的安全,并且计划在新实体到来时,将安全性扩展到新实体,作为更大规模加入流程的一部分。
安全的远程和混合工作解决方案计划应考虑到组织现有的标识需要得到保护,还必须创建符合安全标准的新标识。
采用计划还包括培训员工以新方式工作,让其了解需要如何为组织提供支持,这可能包括:
- 培训管理员掌握新的工作方式。 特权访问方法不同于常设管理员访问权限,可能需要经历最初的摩擦,才能被普遍接受。
- 为各级支持人员和 IT 人员提供相同的效益实现信息。 提高安全性会增加对攻击者的阻碍,相对应地,组织将享受到安全工作的益处。 确保各级人员都能理解并传播这一信息。
- 创建用户采用和培训材料。 让人们普遍接受安全是一种共同的责任,并且必须向用户传达与业务目标相一致的安全效益。 确保用户就像接受新技术一样,对安全措施抱有同样的接受程度。
有关云采用框架的详细信息,请参阅云采用计划。
就绪阶段
此场景(保护远程和混合工作)需要进行评估,并在通过网络使用标识、设备和数据时保护它们的安全。 由于这些技术可能具有潜在的破坏性,因此建议使用分阶段方法,从利用现有授权、对用户影响最小的小型项目开始,它们将快速提供成效。
首先构建计划,然后测试该计划。 接下来,以增量方式推出新的配置和功能。 这提供了在学习过程中改进计划的机会。 在扩大部署范围时,务必制定沟通计划,并宣布要做出的更改。
下图说明了在项目开始时,由一个小组对更改进行评估的建议。 该小组可以是 IT 团队的成员,也可以是对项目成果感兴趣的合作伙伴团队。 然后,与更大的小组一起推行试点更改。 虽然图中包括完整部署的第三阶段,但这通常是通过逐渐扩大部署范围,直到覆盖整个组织来实现的。
例如,注册设备时,建议遵循以下指南。
| 部署阶段 | 说明 |
|---|---|
| 评估 | 阶段 1:确定要测试的 50 个终结点 |
| 试点 | 阶段 2:在生产环境中确定下一批 50 到 100 个终结点 |
| 完整部署 | 阶段 3:以更大的增量注册其余终结点 |
要保护标识,请首先采用 MFA,并使用 Microsoft Entra 条件访问划分访问权限。 这些功能支持明确验证的原则,但需要逐步执行的采用过程。 根据方式的不同,可能需要在开启日期之前推广 MFA 方法并告知用户,对于当前只习惯使用密码的员工,这尤其重要。
为该场景制定计划时,请考虑以下要素:
- 根据 MFA 方法的不同,可能需要寻求用户的同意才能使用基于移动应用的 MFA,这与使用 FIDO2 或其他基于令牌的方法不同。 这也适用于 Windows Hello 企业版。
- 条件访问策略的评估和决策标准可能比较复杂。 这就需要在应用和用户中为条件访问建立试点,并逐步推出。
- 条件访问可能会采用终结点的相对健康状况和补丁状态以及用户的位置作为条件参数。 如果需要对终结点进行管理,使其作为访问条件有资格访问应用或服务,则需要将终结点注册到管理系统中。
- 支持新式身份验证方法的新式应用可以轻松与基于 MFA 的身份验证和条件访问策略集成。 了解应用程序的数量及其身份验证方法至关重要。
规划并分阶段建立保护层,以构建零信任时,请利用 Microsoft 提供的资源。 为了确保远程和混合工作的安全,Microsoft 提供了一组常见零信任标识和设备访问策略。 这组策略经过测试,已知可以很好地协同工作。
以下是三个保护级别的策略。
此策略集包含一个起点保护级别,对用户的影响最小。 这组策略不要求将设备注册到管理中。 准备就绪并注册设备后,就可以部署建议用于零信任的企业级保护。
除了这些保护级别,还可以通过以下做法,以增量方式扩大策略的范围:
- 首先将策略的范围应用于一小部分用户,然后增加包含的用户的范围。 用户细分可以降低服务中断或用户中断的风险,因为只有目标用户或设备会受到影响。
- 先将 Microsoft 365 应用和服务添加到策略范围。 然后,继续将组织使用的其他 SaaS 应用程序包含进来。 准备就绪后,将在 Azure 或其他云提供商服务中构建的应用包含进策略范围。
最后,不要忘记用户。 在实现标识安全时,用户采用和沟通至关重要,这与从基于数据中心的服务迁移到 Microsoft 365 时的初始用户采用一样重要。 实施安全服务时,单阶段方法很少成功。 如果更改具有破坏性,且未进行充分沟通和测试,则安全计划通常会因增加用户摩擦而失败。 这就是执行领导在安全计划中最能发挥作用的地方。 如果高管在部署阶段早期通过采用表明支持,用户会更容易跟进。
为了帮助教育用户和采用,Microsoft 提供了可以下载的最终用户推出模板和材料。 其中包含重塑这些模板的说明以及与用户共享这些模板的建议。 请参阅 https://aka.ms/entratemplates。
构建和测试
在组建团队、审查推荐的技术资源,并制定项目和部署阶段计划之后,你将有望获得一份记录完备的计划。 在正式采用计划之前,请务必在测试环境中构建和测试配置。
每个技术领域,如条件访问策略集,都可以通过在整个租户中启用功能来确保安全。 但是,配置错误的策略可能会产生严重的后果。 例如,编写错误的条件访问策略可能会将所有管理员锁定在租户外。
为了降低风险,可以考虑部署测试或 QA 租户,以便在熟悉或首次推出每项功能前,先对该租户实施功能。 测试或 QA 租户应该合理地代表你当前的用户环境,并且足够准确,方便你执行 QA 功能,以测试启用的功能是否被理解,以及是否支持其保护的功能。
RAMP 清单可用于跟踪进度。 其中列出了计划和实施步骤。 QA 租户是首次执行的实施操作的测试平台。
此阶段的输出结果应该是一个文档化的配置,该配置最初针对 QA 租户构建和测试,计划随后过渡到在生产租户中采用,并在将新学习成果应用到计划中的同时,在生产租户中以增量方式推出变更。
在生产环境中推出新配置时,应保持向用户传送一致的消息,并随时了解这些更改对用户的影响。 实施安全功能对技术的影响可能较小(例如实现即时访问),但相对地,对流程的影响却很大,例如管理员需要通过审批工作流申请访问服务,才能履行职责。
同样,设备注册对用户体验的影响较小,而根据设备合规性和健康要求实施有条件访问可能会对用户群产生巨大影响,因为用户将无法访问服务。
测试每项服务,了解服务和变更计划的影响是成功的关键。 需要注意的是,有些影响可能要到开始在生产中试用时才能完全显现出来。
跟踪治理和对管理的更改
零信任的目标是逐步提高安全性,并在实现此目标的环境中实施更改。 这些更改需要改变环境的管理和治理模式。 在测试和部署过程中,一定要记录这些更改以及对管理和治理模式的影响。
采用阶段
在采用阶段,可以在各个职能领域逐步实施战略和部署计划。 采用阶段是对概念证明的更大规模实现。 将根据用户细分和整个数字资产的目标领域,连续几波地执行并推出部署计划。
根据建议,将每个新配置部署到生产租户中作为有限的概念证明(在下图中标记为“评估”)。
尽管已在 QA 环境中测试了新配置,但仍要确保生产部署计划也记录了正在测试和评估的内容,以及衡量每个阶段成功与否的验收条件。 在扩大部署范围之前,最好选择影响较小的用户、终结点和应用子集进行测试。 遵循相同的方法,从实施的成功和失败中吸取经验教训,并更新计划。
请注意,部署的某些功能即使只针对有限的受众,也会对整个服务产生影响。 可通过在 QA 测试期间识别风险,并确保存在回滚计划,以缓解这种影响。
成功的部署计划包括以下要素:
- 将用户沟通策略包含在内的采用和推出计划
- 确保高管认可的高管采用和推出计划
- 用户采用和推出计划
- 项目管理和治理工具
- 按业务部门或用户影响划分的用户细分
- 按业务部门或用户影响划分的设备细分
- 按关键性和实施复杂性排列的应用
- 为日常管理和治理中的更改起草的更新
治理和管理阶段
安全治理是一个迭代过程。 对于使用现有策略治理整个数字资产安全性的组织,采用零信任策略可激励其不断改进这些策略。 随着时间的推移,安全策略和策略会逐渐成熟,云治理流程和策略也是如此。
在规划阶段,新功能要针对测试租户进行测试,并在其中开展管理活动。 值得注意的是,实现那些支持零信任原则的功能要求采用另一方式来管理生成的最终状态。
以下是本场景中新要求的一些示例:
- 建立流程,在需要时批准管理访问权限,而不是常设管理访问权限。
- 更新用户进入、使用和退出组织时的生命周期管理。
- 更新设备的生命周期管理。
- 更新新应用的发布条件,确保这些条件包含在条件访问策略范围内。
随着推出计划的进展,对所产生环境的管理将推动管理和治理方法的改变。 零信任带来的变化改变了监视环境的方式。
由于零信任解决了环境中的安全风险,标识对象生命周期管理不再可有可无。 对象证明是对象生命周期的一种表现形式,它将责任推向业务领域,使 IT 部门不再是对象生命周期的唯一监管人。
零信任要求提高最终的资产管理的成熟度,涵盖用户和管理员如何与推出的最终状态进行交互。 下表是潜在变化的示例。
| 受众 | 功能 | 参考 |
|---|---|---|
| 用户 | 基于用户的对象证明评审 | 使用访问评审管理用户和来宾的访问权限 |
| 管理员 | Microsoft Entra ID 治理的标识和访问生命周期 | 什么是 Microsoft Entra ID 治理? |
日常治理和操作的其他资源包括:
Microsoft Entra ID Governance 文档
探讨其他治理领域,以及针对多个领域的工具。 由于组织需求不同,本文档中列出的治理功能并非全部适用于所有组织。
后续步骤
进度跟踪资源
对于任何零信任业务方案,都可以使用以下进度跟踪资源。
| 进度跟踪资源 | 有助于… | 面向的对象 |
|---|---|---|
采用方案计划阶段网格 - 可下载的 Visio 文件或 PDF 
|
轻松了解每个业务方案的安全增强,以及“计划”阶段的各个阶段和目标的工作量。 | 业务方案项目负责人、业务主管和其他利益干系人。 |
零信任采用跟踪器 - 可下载的 PowerPoint 幻灯片 
|
跟踪“计划”阶段的各个阶段和目标的进度。 | 业务方案项目负责人、业务主管和其他利益干系人。 |
业务方案目标和任务 - 可下载的 Excel 工作簿 
|
分配所有权并跟踪“计划”阶段的各个阶段、目标和任务的进度。 | 业务方案项目负责人、IT 负责人和 IT 实现者。 |
有关其他资源,请参阅零信任评估和进度跟踪资源。