许多组织在以安全方式部署Microsoft 365时遇到问题。 本文中的条件访问、应用保护和设备符合性策略基于Microsoft的建议和
- 明确地验证
- 使用最小特权
- 假定违约
组织可以按原样使用这些策略,也可以对其进行自定义以满足其需求。 在非生产环境中测试策略,以识别潜在影响,并在将其推广到生产环境之前将其传达给用户。 测试对于识别和传达用户可能的影响至关重要。
我们根据你在部署历程中的位置将这些策略分为三个保护级别:
- 起点:引入多重身份验证、安全密码更改和移动设备 Intune 应用保护策略的基本控制。
- 企业:增强控制,引入设备合规性。
- 专用安全性:每次针对特定数据集或用户都需要多重身份验证的策略。
此图显示了每个策略的保护级别及其适用的设备类型:
可以将此关系图下载为 PDF 文件或可编辑的 Visio 文件。
小贴士
在 Intune 中注册设备之前,需要对用户进行多重身份验证(MFA),以确认设备是否与预期用户一起。 MFA 默认启用安全默认值,或者可以使用条件访问策略,要求所有用户使用MFA。
必须先在 Intune 中注册设备,然后才能强制实施设备符合性策略。
先决条件
权限
需要Microsoft Entra中的以下权限:
- 管理条件访问策略: 条件访问管理员 角色。
- 管理应用保护和设备符合性策略: Intune 管理员 角色。
- 仅查看配置:安全审阅者角色。
有关 Microsoft Entra 中角色和权限的详细信息,请参阅 Microsoft Entra ID 中角色基于访问控制的概述。
用户注册
在用户需要使用 MFA 之前,请确保用户注册 MFA。 如果您的许可证包括 Microsoft Entra ID P2,那么可以使用 Microsoft Entra ID 保护 中的 MFA 注册策略来要求用户注册。 我们提供 通信模板 ,你可以下载和自定义以提升用户注册。
群组
这些建议中使用的所有 Microsoft Entra 组都必须是 Microsoft 365 组,而不是安全组。 此要求对于部署敏感度标签来保护Microsoft Teams和SharePoint中的文档非常重要。 有关详细信息,请参阅 了解 Microsoft Entra ID 中的组和访问权限。
分配策略
可以将条件访问策略分配给用户、组和管理员角色。 只能将 Intune 应用保护和设备符合性策略分配给 组。 在配置策略之前,请确定应包括和排除的人员。 通常,起点保护级别策略适用于组织中的每个人。
下表描述了用户完成 用户注册后 MFA 的示例组分配和排除项:
| Microsoft Entra条件访问策略 | 包括 | 排除 | |
|---|---|---|---|
| 起点 | 需要 中等 或 高 登录风险的多重身份验证 | 所有用户 |
|
| 企业 | 要求 对低、 中或 高 登录风险进行多重身份验证 | 执行人员组 |
|
| 定制化安全 | 始终要求 多重身份验证 | 绝密项目 Buckeye 组 |
|
小贴士
请仔细对用户和群组应用更高级别的保护措施。 安全性的目标是不会为用户体验增加不必要的摩擦。 例如,顶级机密项目 Buckeye 组的成员每次登录时都需要使用 MFA,即使他们没有处理项目专用内容也是如此。 过度的安全摩擦可能导致疲劳。 启用 防伪身份验证方法(例如,Windows Hello 企业版或 FIDO2 安全密钥),以帮助减少安全控制造成的摩擦。
紧急访问帐户
每个组织都需要至少一个受监视的紧急访问帐户供使用和排除在策略之外。 大型组织可能需要更多帐户。 仅当所有其他管理员帐户和身份验证方法都被锁定或不可用时,才能使用这些帐户。 有关详细信息,请参阅Microsoft Entra ID 中的管理紧急访问帐户。
排除用户
建议创建一个Microsoft Entra组以用于条件访问排除项。 此组为你提供了一种在排查访问问题时向用户提供访问权限的方法。 Microsoft Entra ID 治理中的访问评审等功能可帮助你管理从条件访问策略中排除的用户
警告
我们建议仅将排除组作为临时解决方案。 持续监视此组的更改并确保它仅用于其预期目的。
使用以下步骤将排除组添加到现有策略。
- 登录到 Microsoft Entra 管理中心,身份至少是 条件访问管理员。
- 浏览到“保护”“条件访问”“策略”。
- 通过单击名称选择现有策略。
- 在分配下,选择用户或工作负载标识。
a。 在“ 排除”下,选择 “用户和组”,然后选择以下标识:
- 用户:紧急访问帐户。
- 组:条件访问排除组。 b. 选择 选择。
- 进行任何其他修改。
- 选择“保存”。
排除应用程序
我们建议创建面向所有用户和所有资源(没有任何应用程序排除项)的基线多重身份验证策略,如 “要求所有用户进行多重身份验证”中所述。 排除某些应用程序可能会导致意外的安全性和可用性后果,这些后果已在所有资源策略中具有应用排除时的条件访问行为中进行描述。 应用程序(如Microsoft 365和Microsoft Teams)依赖于在进行排除时行为不可预知的多个服务。
重要
强制更改于 2026 年 3 月至 6 月推出:对于仅请求 OIDC 作用域或有限目录范围的登录,将强制实施面向所有资源的条件访问策略,即使存在资源排除。 受影响租户的用户可能会面临条件访问挑战(如多因素身份验证或设备合规性),而在此之前,他们可以在没有这些强制措施的情况下获得访问权限。 查看包含资源排除和验证受影响的登录流 的所有资源 策略。 有关详细信息,请参阅涉及资源排除的所有资源策略条件访问行为的变化。
部署
建议按照下表中列出的顺序实施起点策略。 可随时为企业和专用安全级别的保护实施 MFA 策略。
起点:
| Policy | 详细信息 | 许可 |
|---|---|---|
| 登录风险为中或高时需要 MFA | 仅当Microsoft Entra ID 保护检测到风险时才需要 MFA。 |
|
| 阻止不支持新式验证的客户端 | 不使用新式身份验证的客户端可以绕过条件访问策略,因此请务必阻止它们。 | Microsoft 365 E3 或 E5 |
| 高风险用户必须更改密码 | 如果检测到其帐户的高风险活动,则强制用户在登录时更改其密码。 |
|
| 应用应用程序保护策略 (APP) 进行数据保护 | 每个移动设备平台一个 Intune APP(Windows、iOS/iPadOS 和 Android)。 | Microsoft 365 E3 或 E5 |
| 需要批准的应用和应用保护策略 | 使用 iOS、iPadOS 或 Android 为移动设备强制实施应用保护策略。 | Microsoft 365 E3 或 E5 |
企业:
| Policy | 详细信息 | 许可 |
|---|---|---|
| 登录风险为“低”、“中”或“高”时要求 MFA | 仅当Microsoft Entra ID 保护检测到风险时才需要 MFA。 |
|
| 定义设备合规性策略 | 设置最低配置要求。 每个平台一个策略。 | Microsoft 365 E3 或 E5 |
| 需要合规的电脑和移动设备 | 对访问组织的设备强制实施配置要求 | Microsoft 365 E3 或 E5 |
专用安全性:
| Policy | 详细信息 | 许可 |
|---|---|---|
| 始终需要 MFA | 每当用户登录到组织中的服务时,都需要执行 MFA。 | Microsoft 365 E3 或 E5 |
应用保护策略
应用保护策略指定允许的应用以及它们可以对组织数据执行的操作。 尽管有许多策略可供选择,但以下列表描述了建议的基线。
小贴士
虽然我们提供了三个模板,但大多数组织应选择级别 2(映射到 起点 或 企业级 安全性)和级别 3(映射到 专用 安全性)。
级别 1 企业基本数据保护:建议将此配置作为企业设备的最低数据保护。
级别 2 企业增强数据保护:对于访问敏感数据或机密信息的设备,我们建议使用此配置。 此配置适用于访问工作或学校数据的大部分移动用户。 某些控件可能会影响用户体验。
级别 3 企业高数据保护:建议在以下方案中使用此配置:
- 具有更大或更复杂的安全团队的组织。
- 特定用户或组使用的设备面临独特的高风险。 例如,处理高度敏感的数据的用户,其中未经授权的泄露会导致组织遭受重大损失
可能以资金良好且复杂的攻击者为目标的组织应该渴望这种配置。
使用以下任一方法,使用数据保护框架设置为Microsoft Intune(iOS/iPadOS 和 Android)中的每个设备平台创建新的应用保护策略:
- 请按照如何使用 Microsoft Intune 创建和部署应用保护策略中的步骤手动创建策略。
- 使用 Intune 的 PowerShell 脚本导入示例 Intune 应用保护策略配置框架 JSON 模板。
设备合规性策略
Intune 设备符合性策略定义设备符合性要求。 需要为每个电脑、手机或平板电脑平台创建策略。 以下部分介绍以下平台的建议:
- 安卓
- iOS/iPadOS
- Windows 10 及更高版本
创建设备符合性策略
按照以下步骤创建设备符合性策略:
- 以
Intune Administrator Microsoft Intune 管理中心>。 - 浏览到设备合规性创建策略。
有关分步指南,请参阅
iOS/iPadOS 的注册和合规性设置
iOS/iPadOS 支持多种注册方案,其中两种方案由此框架介绍:
- 个人拥有设备的设备注册:也用于工作的个人拥有设备(也称为自带设备或 BYOD)。
- 企业拥有设备的自动设备注册:与单个用户关联且专用于工作的企业拥有设备。
小贴士
如前所述,级别 2 映射到 起点 或 企业级 安全性,级别 3 映射到 专用 安全性。 有关详细信息,请参阅 零信任 标识和设备访问配置。
个人注册设备的合规性设置
- 个人基本安全性(级别 1):建议将此配置作为访问工作或学校数据的个人设备的最低安全性。 可以通过强制实施密码策略、设备锁定特征和禁用某些设备功能(例如,不受信任的证书)来实现此配置。
- 个人增强的安全性(级别 2):建议将此配置用于访问敏感数据或机密信息的设备。 此配置启用数据共享控件。 此配置适用于访问工作或学校数据的大部分移动用户。
- 个人高安全性(级别 3):对于处于独特高风险的特定用户或组使用的设备,我们建议使用此配置。 例如,处理高度敏感数据的用户,其中未经授权的泄露会导致组织遭受重大损失。 此配置支持更强的密码策略、禁用某些设备功能,并强制实施额外的数据传输限制。
自动设备注册的合规性设置
- 受监督的基本安全性(级别 1):建议将此配置作为访问工作或学校数据的企业设备的最低安全性。 可以通过强制实施密码策略、设备锁定特征和禁用某些设备功能(例如,不受信任的证书)来实现此配置。
- 受监督增强的安全性(级别 2):对于访问敏感数据或机密信息的设备,我们建议使用此配置。 此配置允许数据共享控件并阻止访问 USB 设备。 此配置适用于大多数在设备上访问工作或学校数据的移动用户。
- 受监督的高安全性(级别 3) :对于处于独特高风险的特定用户或组使用的设备,我们建议使用此配置。 例如,处理高度敏感数据的用户,其中未经授权的泄露会导致组织遭受重大损失。 此配置支持更强的密码策略、禁用某些设备功能、强制实施额外的数据传输限制,并要求通过 Apple 批量购买计划安装应用。
Android 的注册和合规性设置
Android Enterprise 支持多种注册方案,其中两种方案由此框架介绍:
- Android Enterprise 工作配置文件:个人拥有的设备(也称为自带设备或 BYOD)也用于工作。 IT 部门控制的策略可确保无法将工作数据传输到个人个人资料中。
- Android Enterprise 完全托管设备:这是由组织拥有并与单个用户关联的设备,仅用于工作。
Android Enterprise 安全配置框架被组织为多个不同的配置场景,而这些场景可为工作配置文件场景和完全托管场景提供指导。
小贴士
如前所述,级别 2 映射到 起点 或 企业级 安全性,级别 3 映射到 专用 安全性。 有关详细信息,请参阅 零信任 标识和设备访问配置。
Android Enterprise 工作配置文件设备的合规性设置
- 针对个人拥有的工作配置文件设备,不存在基本安全性(级别 1)产品/服务。 可用设置并不能证明级别 1 和级别 2 之间的差异。
- 工作配置文件增强的安全性(级别 2):建议将此配置作为访问工作或学校数据的个人设备的最低安全性。 此配置会引入密码要求,将工作数据和个人数据分隔,并验证 Android 设备证明。
- 工作配置文件高安全性(级别 3):对于处于独特高风险的特定用户或组使用的设备,我们建议使用此配置。 例如,处理高度敏感数据的用户,其中未经授权的泄露会导致组织遭受重大损失。 此配置引入了移动威胁防御或Microsoft Defender for Endpoint、设置最低 Android 版本、启用更强大的密码策略,并进一步分隔工作和个人数据。
Android Enterprise 完全托管设备的合规性设置
- 完全托管的基本安全性(级别 1):建议将此配置作为企业设备的最低安全性。 此配置会应用于访问工作或学校数据的大多数移动用户。 此配置引入了密码要求,设置最低 Android 版本,并启用特定的设备限制。
- 完全托管增强的安全性(级别 2):建议将此配置用于访问敏感数据或机密信息的设备。 此配置启用更强的密码策略并禁用用户/帐户功能。
- 完全托管的高安全性(级别 3):对于处于独特高风险的特定用户或组使用的设备,我们建议使用此配置。 例如,处理高度敏感数据的用户,其中未经授权的泄露会导致组织遭受重大损失。 此配置增加了最低 Android 版本,引入了移动威胁防御或Microsoft Defender for Endpoint,并强制实施额外的设备限制。
建议的符合性配置:适用于 Windows 10 及更高版本
根据 Intune 中《Windows 10/11 设备合规性设置》的说明,配置以下设置。 这些设置符合 零信任 标识和设备访问配置中所述的原则。
Device health>Windows Health 证明服务评估规则:
属性 价值 需要 BitLocker 必需 需要在设备上启用安全启动 必需 需要代码完整性 必需 设备属性作系统版本:根据 IT 和安全策略为作系统版本输入适当的值。
属性 价值 最低操作系统版本 最高 OS 版本 移动设备所需的最低 OS 移动设备所需的最高版本操作系统 有效的操作系统版本 Configuration Manager 合规性:
属性 价值 需要设备通过 Configuration Manager 的合规性审查 在与 Configuration Manager 共同管理的环境中,选择 Required。 否则,请选择“ 未配置”。 系统安全性:
属性 价值 密码 需要密码以解锁移动设备 必需 简单密码 阻止 密码类型 设备默认值 最短密码长度 6 要求输入密码前的最大不活动分钟数 15 分钟 密码过期(天) 41 防止重复使用的旧密码数 5 当设备从空闲状态返回时需要提供密码(移动和全息) 必需 加密 要求对设备上的数据存储进行加密 必需 火墙 防火墙 必需 防病毒 防病毒 必需 反间谍软件 反间谍软件 必需 防御者 Microsoft Defender反恶意软件 必需 Microsoft Defender反恶意软件最低版本 建议使用的值应不超过最新版本的 5 个版本。 Microsoft Defender最新的反恶意软件签名 必需 实时保护 必需 Microsoft Defender for Endpoint:
属性 价值 要求设备不高于计算机风险评分 中型
条件访问策略
在 Intune 中创建应用保护策略和设备符合性策略后,可以使用条件访问策略启用强制实施。
需要根据登录风险执行 MFA
按照以下指南进行作: 要求对提升的登录风险进行多重身份验证 ,以创建需要基于登录风险进行多重身份验证的策略。
配置策略时,请使用以下风险级别:
| 保护级别 | 风险级别 |
|---|---|
| 起点 | 中和高 |
| Enterprise | 低、中和高 |
阻止不支持多重身份验证的客户端
按照以下指南进行操作:使用条件访问阻止旧式身份验证。
高风险用户必须更改密码
请遵循以下指南:要求具有提升用户风险的用户进行安全密码更改,以确保具有泄露凭据的用户更改其密码。
将此策略与 Microsoft Entra 密码保护一起使用,该策略可检测和阻止已知弱密码、其变体以及组织中的特定术语。 使用Microsoft Entra密码保护可确保更改的密码更强。
要求使用已批准的应用或应用保护策略
需要创建条件访问策略,以强制实施在 Intune 中创建的应用保护策略。 强制实施应用保护策略需要条件访问策略和相应的应用保护策略。
若要创建需要已批准应用或应用保护的条件访问策略,请按照 要求批准的客户端应用或应用保护策略中的步骤进行操作。 此策略仅允许由应用保护策略保护的应用中的帐户访问Microsoft 365端点。
阻止 iOS/iPadOS 和 Android 设备上的其他应用的旧式身份验证可确保这些设备无法绕过条件访问策略。 按照本文中的指南作,你已经 阻止了不支持新式身份验证的客户端。
需要合规的电脑和移动设备
注意
在启用此策略之前,请验证自己的设备是否合规。 否则,可能会被锁定,需要使用 紧急访问帐户 来恢复访问权限。
仅在确定设备符合 Intune 符合性策略后,才允许访问资源。 有关详细信息,请参阅要求设备符合条件访问的要求。
即使在策略中为所有用户和所有云应用选择要求将设备标记为合规,也可将新设备注册到 Intune。 要求设备标记为合规不会阻止注册 Intune 或访问 Microsoft Intune Web 公司门户 应用。
订阅激活
如果你的组织使用 Windows 订阅激活使用户能够从一个版本的Windows“升级”到另一个版本,则应从设备符合性中排除通用应用商店服务 API 和 Web 应用程序(AppID: 45a330b1-b1ec-4cc1-9161-9f03992aa49f)。
始终需要 MFA
按照本文中的指导要求所有用户进行 MFA: 要求所有用户进行多重身份验证。
后续步骤
步骤 3:来宾和外部用户的策略。
了解来宾访问的策略建议