本文提供使用 Microsoft 365 构建零信任安全的部署计划。 零信任是一种安全模型,它假定存在漏洞,并验证每个请求是否源自不受控制的网络。 无论请求的来源或访问的资源是什么,零信任模型都教我们“永远不信任,始终验证”。
将本文与此海报一起使用。
| 条目 | DESCRIPTION |
|---|---|
PDF格式 | Visio格式 更新时间:2025 年 4 月 |
相关解决方案指南 |
零信任原则和体系结构
零信任是一种安全策略。 它不是产品或服务,而是设计和实现以下一组安全原则的方法。
| 原则 | DESCRIPTION |
|---|---|
| 明确地验证 | 始终根据所有可用的数据点进行身份验证和授权。 |
| 使用最小特权访问 | 使用实时和恰好足够的访问权限 (JIT/JEA)、基于风险的自适应策略和数据保护,来限制用户访问。 |
| 假定已发生安全漏洞 | 最大限度地减少影响范围,并对访问进行分段。 验证端到端加密,并使用分析来获取可见性、推动威胁检测和改进防御。 |
本文中的指南通过Microsoft 365 实现功能来帮助你应用这些原则。
零信任方法遍及整个数字环境,并作为一种集成的安全理念和端到端策略。
此图提供有助于零信任的主要元素的表示形式。
在插图中:
- 安全策略强制实施位于零信任体系结构的中心。 这包括将用户帐户风险、设备状态以及你设置的其他条件和策略考虑在内的条件访问的多重身份验证。
- 标识、设备、数据、应用、网络和其他基础结构组件都配置了适当的安全性。 为每个组件配置的策略都与整体零信任策略进行协调。 例如,设备策略确定正常设备的条件,条件访问策略要求正常设备才能访问特定应用和数据。
- 威胁防护和智能监视环境、显示当前风险,并采取自动措施来修正攻击。
有关零信任的详细信息,请参阅Microsoft的零信任指导中心。
为 Microsoft 365 部署零信任
Microsoft 365 是特意构建的,具有许多安全和信息保护功能,可帮助你将零信任构建到环境中。 可以扩展许多功能,以保护对组织使用的其他 SaaS 应用的访问权限以及这些应用中的数据。
此图表示部署零信任功能的工作。 这项工作与零信任采用框架中的零信任业务方案保持一致。
在此图中,部署工作分为五条泳道:
- 保护远程和混合工作 — 此工作为标识和设备保护奠定了基础。
- 防止或减少违规造成的业务损失 — 威胁防护提供安全威胁的实时监视和修正。 Defender for Cloud Apps提供 SaaS 应用(包括 AI 应用)的发现,并允许你将数据保护扩展到这些应用。
- 识别和保护敏感的业务数据 — 数据保护功能提供针对特定数据类型的复杂控制,以保护最有价值的信息。
- 保护 AI 应用和数据 - 快速保护组织使用 AI 应用及其与之交互的数据。
- 满足法规和合规性要求 - 了解并跟踪你遵守影响组织的法规的进度。
本文假定你使用的是云标识。 如果需要此目标的指导,请参阅 为 Microsoft 365 部署标识基础结构。
小窍门
了解步骤和端到端部署过程后,可以在登录到Microsoft 365 管理中心时使用设置Microsoft零信任安全模型高级部署指南。 本指南指导你对标准和先进技术支柱应用零信任原则。 若要在不登录的情况下逐步完成指南,请转到 Microsoft 365 安装门户。
泳道 1 - 保护远程和混合工作
保护远程和混合工作涉及配置标识和设备访问保护。 这些保护有助于显式验证零信任原则。
分三个阶段完成保护远程和混合工作的工作。
阶段 1 - 实现起点标识和设备访问策略
Microsoft在本指南中为零信任推荐了一组全面的标识和设备访问策略,零信任标识和设备访问配置。
在第 1 阶段中,首先实现起点层。 这些策略不需要将设备注册到管理中。
若要获取详细的规范性指导,请转到零信任标识和设备访问保护。 本系列文章介绍了一组标识和设备访问先决条件配置,以及一组Microsoft Entra条件访问、Microsoft Intune和其他策略,用于保护对 Microsoft 365 企业云应用和服务、其他 SaaS 服务以及随 Microsoft Entra 应用程序发布的本地应用程序的访问代理。
| 所含内容 | 先决条件 | 不包括 |
|---|---|---|
针对三个保护级别的建议标识和设备访问策略:
针对:
|
Microsoft E3 或 E5 在以下任一模式下Microsoft Entra ID:
|
需要托管设备的策略的设备注册。 请参阅使用Intune管理设备以注册设备。 |
阶段 2 - 使用 Intune 将设备注册到管理中
接下来,将设备注册到管理中,并开始使用更复杂的控制来保护它们。
有关将设备注册到管理的详细规范性指南,请参阅使用Intune管理设备。
| 所含内容 | 先决条件 | 不包括 |
|---|---|---|
使用 Intune 注册设备:
配置策略:
|
向 Microsoft Entra ID 注册终结点 | 配置信息保护功能,包括:
有关这些功能,请参阅本文后面的 泳道 3 — 识别和保护敏感业务数据 () 。 |
有关详细信息,请参阅Microsoft Intune零信任。
阶段 3 - 添加零信任标识和设备访问保护:企业策略
通过注册到管理中的设备,现在可以实现一整套建议的零信任标识和设备访问策略,要求设备合规。
返回到 通用标识和设备访问策略 ,并在企业层中添加策略。
在零信任采用框架 - 保护远程和混合工作中详细了解如何保护远程和混合工作。
泳道 2 - 防止或减少违规造成的业务损失
Microsoft Defender XDR是 XDR) 解决方案的扩展检测和响应 (,可自动收集、关联和分析来自 Microsoft 365 环境(包括终结点、电子邮件、应用程序和标识)的信号、威胁和警报数据。 此外,Microsoft Defender for Cloud Apps可帮助组织识别和管理对 SaaS 应用(包括 GenAI 应用)的访问权限。
通过试点和部署Microsoft Defender XDR来防止或减少违规造成的业务损失。
转到试点和部署Microsoft Defender XDR,获取有关试点和部署Microsoft Defender XDR组件的有条不紊的指南。
| 所含内容 | 先决条件 | 不包括 |
|---|---|---|
| 为所有组件设置评估和试点环境: 抵御威胁 调查并响应威胁 |
请参阅指南,了解Microsoft Defender XDR的每个组件的体系结构要求。 | 此解决方案指南中不包含Microsoft Entra ID 保护。 它包含在 泳道 1 - 安全远程和混合工作中。 |
在零信任采用框架中详细了解如何防止或减少违规造成的业务损失 — 防止或减少违规造成的业务损失。
泳道 3 - 识别和保护敏感的业务数据
实现Microsoft Purview 信息保护,帮助你发现、分类和保护敏感信息,无论其生活或传播到何处。
Microsoft Purview 信息保护功能包含在 Microsoft Purview 中,并提供用于了解数据、保护数据和防止数据丢失的工具。 可以随时开始此工作。
Microsoft Purview 信息保护提供了可用于实现特定业务目标的框架、流程和功能。
有关如何规划和部署信息保护的详细信息,请参阅部署Microsoft Purview 信息保护解决方案。
在零信任采用框架中详细了解如何识别和保护敏感业务数据 — 识别和保护敏感业务数据。
泳道 4 - 保护 AI 应用和数据
Microsoft 365 包括帮助组织快速保护 AI 应用和使用这些应用的数据的功能。
首先使用适用于 AI 的 Purview 数据安全状况管理 (DSPM) 。 此工具侧重于如何在组织中使用 AI,尤其是与 AI 工具交互的敏感数据。 DSPM for AI 为 Microsoft Copilots 和第三方 SaaS 应用程序(如 ChatGPT Enterprise 和 Google Gemini)提供了更深入的见解。
下图显示了一个关于 AI 使用对您数据影响的聚合视图——每个生成式 AI 应用程序中的敏感交互。
使用适用于 AI 的 DSPM 可以:
- 了解 AI 使用情况,包括敏感数据。
- 查看数据评估,了解可通过 SharePoint 过度共享控制来缓解过度共享方面的差距。
- 在敏感度标签和数据丢失防护 (DLP) 策略方面查找策略覆盖范围中的差距。
Defender for Cloud Apps是另一个功能强大的工具,用于发现和管理 SaaS GenAI 应用和使用情况。 Defender for Cloud Apps目录中包括一千多个与生成 AI 相关的应用,可让你深入了解组织中如何使用生成 AI 应用,并帮助你安全地管理它们。
除了这些工具,Microsoft 365 还提供了一组全面的功能,用于保护和治理 AI。 若要了解如何开始使用这些功能 ,请参阅发现、保护和治理 AI 应用和数据 。
下表列出了 Microsoft 365 功能,其中包含 指向 AI 安全性库中详细信息的链接。
| 能力 | 详细信息 |
|---|---|
| SharePoint 过度共享控件,包括SharePoint 高级管理 | 应用 SharePoint 过度共享控件 |
| 适用于 AI 的DSPM |
使用适用于 AI 的 (DSPM) 了解 AI 使用情况 通过适用于 AI 的DSPM保护数据 |
| 敏感度标签和 DLP 策略 | 继续识别敏感度标签和 DLP 策略中的差距 |
| 内部风险管理 (IRM) — 风险 AI 使用策略模板 | 应用风险 AI 模板 |
| 自适应保护 | 为内部风险管理配置自适应保护 |
| 云应用防御者 |
发现、批准和阻止 AI 应用 会审和保护 AI 应用的使用 基于合规性风险管理 AI 应用 |
| Purview 合规性管理器 | 为 AI 相关法规生成和管理评估 |
| Purview 通信合规性 | 分析在生成 AI 应用程序中输入的提示和响应,以帮助检测不适当或有风险的交互或机密信息的共享 |
| Purview 数据生命周期管理 | 主动删除不再需要保留的内容,以降低 AI 工具中数据过度曝光的风险 |
| 电子数据展示 | 在提示和响应中搜索关键字,管理电子数据展示事例中的结果 |
| Copilot 和 AI 活动的审核日志 | 确定 Copilot 交互发生的方式、时间和位置以及访问哪些项目,包括这些项目上的任何敏感度标签 |
| Priva 隐私评估 | 为构建的 AI 应用启动隐私影响评估 |
泳道 5 - 满足法规和合规性要求
无论组织 IT 环境的复杂性或组织规模如何,可能影响业务的新法规要求都会不断增加。 零信任方法通常超过合规性法规(例如控制个人数据访问的法规)施加的某些类型的要求。 实施零信任方法的组织可能会发现,他们已经满足一些新条件,或者可以轻松地在其零信任体系结构的基础上进行构建以符合要求。
Microsoft 365 包括有助于符合法规的功能,包括:
- 合规性管理器
- 内容资源管理器
- 保留策略、敏感度标签和 DLP 策略
- 通信合规性
- 数据生命周期管理
- Priva 隐私风险管理
使用以下资源来满足法规和合规性要求。
| 资源 | 详细信息 |
|---|---|
| 零信任采用框架 — 满足法规和合规性要求 | 介绍组织可以遵循的有条不紊的方法,包括定义策略、规划、采用和管理。 |
| 治理 AI 应用和数据,确保合规性 | 解决新兴 AI 相关法规的合规性问题,包括提供帮助的特定功能。 |
| 使用 Microsoft Priva 和 Microsoft Purview 管理数据隐私和数据保护 | 使用 Microsoft Priva 和 Microsoft Purview 评估风险并采取适当措施来保护组织环境中的个人数据。 |
后续步骤
请访问零信任指导中心,详细了解零信任。