小型企业的零信任指南

项目
04/13/2024

本文介绍了面向使用 Microsoft 365 商业高级版的客户与合作伙伴的零信任部署指导和资源，以及中小企业客户常用的其他技术。这些资源可帮助你实现零信任原则：

显式验证	使用最低特权访问	假定数据泄露
始终使用标识和设备访问策略进行身份验证和授权。	仅在用户执行任务所需的时间内为他们提供所需的访问权限。	执行可以阻止攻击、防范威胁，然后准备应对的一切任务。

本文还包括面向 Microsoft 合作伙伴的信息和资源。

Microsoft 365 商业高级版的配置指南

Microsoft 365 商业高级版是一个全面的云生产力和安全解决方案，专为中小企业设计。本指南使用 Microsoft 365 商业高级版中提供的功能在端到端配置过程中应用零信任原则。

网络安全 playbook	说明
	本库内容：可下载的海报，用于指导你完成配置 Microsoft 365 商业高级版零信任的过程。为不是安全专家但需要一些入门帮助的中小型企业提供的指南。保护非托管设备（自带设备办公或 BYOD）和托管设备的步骤。面向所有员工的建议和最佳做法，包括租户管理员和安全操作。

请参阅以下资源：

零信任原则	满足者：
显式验证	使用安全默认值（或条件访问）启用多重身份验证 (MFA)。此配置要求用户注册 MFA。它还通过旧式身份验证（不支持新式验证的设备）禁用访问权限，并要求管理员在每次登录时进行身份验证。
使用最低权限访问	提供了保护管理帐户以及不使用这些帐户执行用户任务的指南。
假定数据泄露	通过使用预设的安全策略来增强对恶意软件和其他网络安全威胁的防护。提供指导来培训你的团队设置非托管（自带设备办公或 BYOD）设备、安全使用电子邮件以及更安全地协作和共享。为保护托管设备（组织拥有的设备）提供了其他指导。

其他威胁防护

Microsoft 365 商业高级版包括 Microsoft Defender 商业版，它通过简化的配置体验为设备提供全面的安全性。针对中小企业进行了优化，功能包括威胁和漏洞管理、下一代保护（防病毒软件和防火墙）、自动调查和修正等。

Microsoft 365 商业高级版还包括通过 Microsoft Defender for Office 365 计划 1，针对电子邮件内容和办公室文件（安全链接和安全附件）的高级防钓鱼、反垃圾邮件和反恶意软件防护。借助这些功能，电子邮件和协作内容更加安全且受到更好的保护。

请参阅以下资源：

零信任原则	满足者：
显式验证	访问公司数据的设备必须符合安全要求。
使用最低权限访问	提供了有关使用角色分配权限和安全策略，以防止未经授权的访问的指导。
假定数据泄露	为设备、电子邮件和协作内容提供高级保护。检测到威胁时，采取修正操作。

合作伙伴指南和工具

如果你是 Microsoft 合作伙伴，可使用多个资源来帮助管理业务客户的安全性。这些资源包括了学习路径、指南和集成。

安全解决方案合作伙伴称号使客户能够将你视为他们可以信赖的合作伙伴，为他们提供集成的安全、合规和身份解决方案。请参阅安全学习路径解决方案合作伙伴（Microsoft 合作伙伴中心）。

指导可用于帮助客户查看授予合作伙伴的权限和管理访问权限。此外，还提供了指导来帮助 Microsoft 托管安全服务提供程序 (MSSP) 与其业务客户的租户集成。请参阅以下文章：

作为 Microsoft 的合作伙伴，你可以利用各种资源来管理客户的安全设置，并帮助保护他们的设备和数据。 Microsoft 365 Lighthouse 与 Microsoft 365 商业高级版、Microsoft Defender 商业版和 Microsoft Defender for Endpoint 集成。

Defender for Endpoint API 可用于将 Microsoft 365 商业高级版中的设备安全功能与远程监视和管理 (RMM) 工具和专业服务自动化 (PSA) 软件集成。请参阅以下文章：

零信任原则	满足者：
显式验证	合作伙伴资源可用于帮助 Microsoft 合作伙伴配置和管理其客户的标识和访问方法及策略。
使用最低权限访问	合作伙伴可以配置与客户租户的集成。客户可以查看授予合作伙伴的权限和管理访问权限。
假定数据泄露	Microsoft 365 Lighthouse 与适用于中小企业的 Microsoft 威胁防护功能集成。

保护你或你的客户使用的其他 SaaS 应用程序

你或你的小型企业客户可能会使用其他服务型软件 (SaaS) 应用程序，如 Salesforce、Adobe Creative Cloud 和 DocuSign。可以将这些应用程序与 Microsoft Entra ID 集成，并将其包含在 MFA 和条件访问策略中。

Microsoft Entra 应用程序库服务型软件 (SaaS) 应用程序的集合，这些应用程序已与 Entra ID 预集成。你只需在库中找到应用程序并将其添加到环境中。然后，可以将该应用程序包含在 MFA 和条件访问规则的范围内。请参阅 Microsoft Entra 应用程序库的概述。

将 SaaS 应用程序添加到环境后，这些应用将自动受到 Microsoft Entra MFA 的保护，以及安全默认值提供的其他保护。如果使用条件访问策略，而不是安全默认值，则需要将这些应用添加到条件访问和相关策略的范围。请参阅在 Microsoft 365 商业高级版中启用 MFA。

Microsoft Entra ID 根据位置、设备、角色和任务等因素确定何时提示用户进行 MFA。此功能可保护注册到 Microsoft Entra ID 的所有应用程序，包括 SaaS 应用程序。请参阅要求用户在必要时执行 MFA。

零信任原则	满足者：
显式验证	添加的所有 SaaS 应用都需要 MFA 才能进行访问。
使用最低权限访问	用户必须满足身份验证要求才能使用访问公司数据的应用。
假定数据泄露	在对用户进行身份验证时，会考虑位置、设备、角色和任务等因素。必要时使用 MFA。

其他零信任文档

根据文档集或组织中的角色使用其他零信任内容。

文档集

请按照此表获取最适合你需求的零信任文档集。

文档集	帮助你...	角色
采用框架，用于提供关键业务解决方案和结果的阶段和步骤指导	将 C 套件中的零信任保护应用于 IT 实施。	安全架构师、IT 团队和项目经理
概念信息和部署目标，用于提供技术领域的常规部署指导	应用与技术领域保持一致的零信任保护。	IT 团队和安全人员
零信任快速现代化计划 (RaMP)，用于提供项目管理指导和清单，从而让组织轻松获胜	快速实现零信任保护的关键层。	安全架构师和 IT 实施者
Microsoft 365 的零信任部署计划，用于提供分步详细设计和部署指导	将零信任保护应用于 Microsoft 365 租户。	IT 团队和安全人员
Microsoft Copilot 的零信任，用于提供分步详细设计和部署指导	将零信任保护应用于 Microsoft Copilot。	IT 团队和安全人员
适用于 Azure 服务的零信任，用于提供分步详细设计和部署指导	将零信任保护应用于 Azure 工作负载和服务。	IT 团队和安全人员
合作伙伴与零信任的集成，用于提供技术领域和专业资质的设计指导	将零信任保护应用于合作伙伴 Microsoft 云解决方案。	合作伙伴开发人员、IT 团队和安全人员
使用零信任原则进行开发，用于提供应用程序开发设计指导和最佳做法	将零信任保护应用于应用程序。	应用程序开发人员

你的角色

请按照此表获取最适合你在组织中的角色的零信任文档集。

角色	文档集	帮助你...
安全架构师 IT 项目经理 IT 实施者	采用框架，用于提供关键业务解决方案和结果的阶段和步骤指导	将 C 套件中的零信任保护应用于 IT 实施。
IT 或安全团队的成员	概念信息和部署目标，用于提供技术领域的常规部署指导	应用与技术领域保持一致的零信任保护。
安全架构师 IT 实施者	零信任快速现代化计划 (RaMP)，用于提供项目管理指导和清单，从而让组织轻松获胜	快速实现零信任保护的关键层。
Microsoft 365 的 IT 或安全团队成员	Microsoft 365 的零信任部署计划，用于提供适用于 Microsoft 365 的分步详细设计和部署指导	将零信任保护应用于 Microsoft 365 租户。
Microsoft Copilots 的 IT 或安全团队成员	Microsoft Copilot 的零信任，用于提供分步详细设计和部署指导	将零信任保护应用于 Microsoft Copilot。
Azure 服务的 IT 或安全团队成员	适用于 Azure 服务的零信任，用于提供分步详细设计和部署指导	将零信任保护应用于 Azure 工作负载和服务。
合作伙伴开发人员或 IT 或安全团队成员	合作伙伴与零信任的集成，用于提供技术领域和专业资质的设计指导	将零信任保护应用于合作伙伴 Microsoft 云解决方案。
应用程序开发人员	使用零信任原则进行开发，用于提供应用程序开发设计指导和最佳做法	将零信任保护应用于应用程序。