通过

Microsoft 365 组织的常见安全策略

  • 项目

组织在为其部门部署 Microsoft 365 时有很多需要担心的问题。 本文中引用的条件访问、应用保护和设备合规性策略基于 Microsoft 的建议和零信任的三个指导原则:

  • 显式验证
  • 使用最小特权
  • 假定数据泄露

组织可以按原样采用这些策略,也可以对其进行自定义以满足自身需求。 如果可能,请在非生产环境中测试策略,然后再向生产用户推出。 测试对于确定任何可能的影响并将其传达给用户至关重要。

我们根据你在部署历程中的位置将这些策略分为三个保护级别:

  • 起点 - 用于引入多重身份验证、安全密码更改和应用保护策略的基本控件。
  • 企业 - 用于引入设备合规性的增强控件。
  • 专用安全 - 每次都要求对特定数据集或用户进行多重身份验证的策略。

下图显示了每个策略适用的保护级别,以及这些策略是适用于电脑或者手机和平板电脑,或者同时适用于这两类设备。

显示支持零信任原则的常见标识和设备策略的关系图。

可以将此关系图下载为 PDF 文件。

提示

在 Intune 中注册设备之前,建议要求使用多重身份验证 (MFA),以确保设备归预期用户所有。 必须先在 Intune 中注册设备,然后才能强制实施设备合规性策略。

先决条件

权限

  • 负责管理条件访问策略的用户必须至少能够以条件访问管理员的身份登录到 Azure 门户。
  • 负责管理应用保护和设备合规性策略的用户必须至少能够以 Intune 管理员的身份登录到 Intune。
  • 可以为只需要查看配置的用户分配安全读取者全局读取者角色。

有关角色和权限的详细信息,请参阅 Microsoft Entra 内置角色一文。

用户注册

在要求用户使用多重身份验证之前,请确保其进行了注册。 如果你拥有包含 Microsoft Entra ID P2 的许可证,则可以使用 Microsoft Entra ID 保护中的 MFA 注册策略来要求用户注册。 我们提供了通信模板,你可以下载和自定义,以方便注册。

Groups

作为这些建议的一部分使用的所有 Microsoft Entra 组都必须创建为 Microsoft 365 组,而不是安全组。 在以后保护 Microsoft Teams 和 SharePoint 中的文档时,此要求对于部署敏感度标签非常重要。 有关详细信息,请参阅了解 Microsoft Entra ID 中的组和访问权限一文

分配策略

条件访问策略可以分配给用户、组和管理员角色。 Intune 应用保护和设备合规性策略只能分配给组。 在配置策略之前,应该确定应包括和排除的人员。 通常,起点保护级别策略适用于组织中的每个人。

以下是用户完成用户注册后要求执行 MFA 的组分配和排除示例。

  Microsoft Entra 条件访问策略 包括 排除
起点 对于中等或高登录风险,要求进行多重身份验证 所有用户
  • 紧急访问帐户
  • 条件访问排除组
企业 对于低、中等或高登录风险,要求进行多重身份验证 执行人员组
  • 紧急访问帐户
  • 条件访问排除组
专用安全性 始终要求多重身份验证 绝密项目 Buckeye 组
  • 紧急访问帐户
  • 条件访问排除组

向组和用户应用更高级别的保护时请小心。 安全性的目标不是给用户体验增加不必要的摩擦。 例如,绝密项目 Buckeye 组的成员每次登录时都需要使用 MFA,即使他们不处理项目的专用安全内容也是如此。 过度的安全摩擦可能导致疲劳。

可以考虑启用无密码身份验证方法,例如 Windows Hello 企业版或 FIDO2 安全密钥,以减少某些安全控件所产生的摩擦。

紧急访问帐户

所有组织都应至少有一个紧急访问帐户,该帐户受监控使用,并且已从策略中排除。 仅当所有其他管理员帐户和身份验证方法都被锁定或不可用时,才能使用这些帐户。 有关详细信息,请参阅文章在 Microsoft Entra ID 中管理紧急访问帐户

排除项

建议的做法是为条件访问排除项创建 Microsoft Entra 组。 此组为你提供了一种在排查访问问题时向用户提供访问权限的方法。

警告

建议仅将此组用作临时解决方案。 持续监视和审核此组的更改,并确保仅按预期使用排除组。

若要将此排除组添加到任何现有策略,请执行以下操作:

  1. 最低以条件访问管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到“保护”>“条件访问”。
  3. 选择现有策略。
  4. 在“分配”下,选择“用户或工作负载标识” 。
    1. 在“排除”下,选择“用户和组”,并选择组织的紧急访问或不受限帐户以及条件访问排除组。

部署

建议按照下表中列出的顺序实施起点策略。 但是,可以随时实施企业专用安全保护级别的 MFA 策略。

起点

策略 详细信息 许可
登录风险为时需要 MFA 仅当检测到风险时,才使用 Microsoft Entra ID 保护中的风险数据来要求执行 MFA 具有 E5 安全加载项的 Microsoft 365 E5 或 Microsoft 365 E3
阻止不支持新式验证的客户端 不使用新式身份验证的客户端可以绕过条件访问策略,因此请务必阻止它们。 Microsoft 365 E3 或 E5
高风险用户必须更改密码 如果检测到用户帐户存在高风险活动,则强制用户在登录时更改密码。 具有 E5 安全加载项的 Microsoft 365 E5 或 Microsoft 365 E3
应用应用程序保护策略进行数据保护 每个平台一个 Intune 应用保护策略(Windows、iOS/iPadOS、Android)。 Microsoft 365 E3 或 E5
需要批准的应用和应用保护策略 为使用 iOS、iPadOS 或 Android 的手机和平板电脑强制实施移动应用保护策略。 Microsoft 365 E3 或 E5

企业

策略 详细信息 许可
当登录风险为低、中或高时,要求进行 MFA 仅当检测到风险时,才使用 Microsoft Entra ID 保护中的风险数据来要求执行 MFA 具有 E5 安全加载项的 Microsoft 365 E5 或 Microsoft 365 E3
定义设备合规性策略 设置最低配置要求。 每个平台一个策略。 Microsoft 365 E3 或 E5
需要合规的电脑和移动设备 对访问组织的设备强制实施配置要求 Microsoft 365 E3 或 E5

专用安全性

策略 详细信息 许可
始终需要 MFA 用户每次登录到组织服务时都必须执行 MFA Microsoft 365 E3 或 E5

应用保护策略

应用保护策略定义允许使用的应用,以及它们可以对组织数据执行的操作。 有许多选择可用,这可能会令人困惑。 以下基线是 Microsoft 建议的配置,可以根据你的需求进行定制。 我们提供了三个模板,但认为大多数组织会选择级别 2 和 3。

级别 2 对应于所谓的起点企业级别安全性,而级别 3 则对应于专用安全

  • 级别 1 企业基本数据保护 – Microsoft 建议将此配置作为企业设备的最低数据保护配置。

  • 级别 2 企业增强型数据保护 – Microsoft 建议为用户从中访问敏感或机密信息的设备使用此配置。 此配置适用于访问工作或学校数据的大多数移动用户。 某些控件可能会影响用户体验。

  • 级别 3 企业高级数据保护 – Microsoft 建议将此配置用于具有更大或更复杂安全团队的组织运行的设备,或者针对风险极高的特定用户或组(负责处理高度敏感数据的用户,其中未经授权的泄露会导致组织遭受重大财产损失)使用该配置。 对于可能成为资金充足且老练的攻击者的攻击目标的组织,应该渴望使用此配置。

创建应用保护策略

使用数据保护框架设置在 Microsoft Intune 中为每个平台(iOS 和 Android)创建新的应用保护策略:

设备合规性策略

Intune 设备合规性策略定义设备为认定为合规而必须满足的要求。

必须为每个电脑、手机或平板电脑平台创建策略。 本文将介绍针对以下平台的建议:

创建设备合规性策略

若要创建设备合规性策略,请登录到 Microsoft Intune 管理中心,并导航到“设备”>“合规性策略”>“策略”。 选择“创建策略”。

有关在 Intune 中创建合规性策略的分步指南,请参阅在 Microsoft Intune 中创建合规性策略

iOS/iPadOS 的注册和合规性设置

iOS/iPadOS 支持多种注册方案,其中两种方案将作为此框架的一部分进行介绍:

使用零信任标识和设备访问权限配置中概述的原则:

  • 起点企业保护级别与级别 2 增强型安全设置密切对应。
  • 专用安全保护级别与级别 3 高安全设置密切对应。
个人注册设备的合规性设置
  • 个人基本安全(级别 1)– Microsoft 建议将此配置作为用户从中访问工作或学校数据的个人设备的最低安全配置。 此配置是通过强制实施密码策略、设备锁定特征和禁用某些设备功能(例如不受信任的证书)来完成的。
  • 个人增强型安全性(级别 2)– Microsoft 建议为用户从中访问敏感信息或机密信息的设备使用此配置。 此配置执行数据共享控制。 此配置适用于大多数在设备上访问工作或学校数据的移动用户。
  • 个人高安全性(级别 3)– Microsoft 建议为特定用户或组使用的设备使用此配置,这些用户或组具有极高的风险(负责处理高度敏感数据的用户,其中未经授权的泄露会导致组织遭受重大财产损失)。 此配置执行更强大的密码策略,禁用某些设备功能,并强制实施额外的数据传输限制。
自动设备注册的合规性设置
  • 受监督的基本安全(级别 1)– Microsoft 建议将此配置作为用户从中访问工作或学校数据的受监督设备的最低安全配置。 此配置是通过强制实施密码策略、设备锁定特征和禁用某些设备功能(例如不受信任的证书)来完成的。
  • 受监督的增强型安全性(级别 2)– Microsoft 建议为用户从中访问敏感信息或机密信息的设备使用此配置。 此配置执行数据共享控制并阻止访问 USB 设备。 此配置适用于大多数在设备上访问工作或学校数据的移动用户。
  • 受监督的高安全性(级别 3)– Microsoft 建议为特定用户或组使用的设备使用此配置,这些用户或组具有极高的风险(负责处理高度敏感数据的用户,其中未经授权的泄露会导致组织遭受重大财产损失)。 此配置执行更强大的密码策略,禁用某些设备功能,强制实施额外的数据传输限制,并要求通过 Apple 的批量购买计划安装应用。

Android 的注册和合规性设置

Android Enterprise 支持多种注册方案,其中两种方案将作为此框架的一部分进行介绍:

  • Android Enterprise 工作配置文件 – 此注册模式通常用于个人拥有的设备,其中 IT 部门希望在此设备上提供工作和个人数据之间的清晰分隔边界。 由 IT 控制的策略可确保无法将工作数据传输到个人配置文件中。
  • Android Enterprise 完全托管设备 - 这些设备是与单个用户关联的企业自有设备,它们专门用于工作而非个人用途。

Android Enterprise 安全配置框架分为多个不同的配置方案,旨在为工作配置文件和完全托管方案提供指导。

使用零信任标识和设备访问权限配置中概述的原则:

  • 起点企业保护级别与级别 2 增强型安全设置密切对应。
  • 专用安全保护级别与级别 3 高安全设置密切对应。
Android Enterprise 工作配置文件设备的合规性设置
  • 由于个人拥有的工作配置文件设备有可用的设置,因此没有提供基本安全性(级别 1)。 可用设置并不能证明级别 1 和级别 2 之间存在差异。
  • 工作配置文件增强型安全性(级别 2)– Microsoft 建议将此配置作为用户从中访问工作或学校数据的个人设备的最低安全配置。 此配置会引入密码要求,将工作数据和个人数据分隔,并验证 Android 设备证明。
  • 工作配置文件高安全性(级别 3)– Microsoft 建议为特定用户或组使用的设备使用此配置,这些用户或组具有极高的风险(负责处理高度敏感数据的用户,其中未经授权的泄露会导致组织遭受重大财产损失)。 此配置会引入移动威胁防御或 Microsoft Defender for Endpoint,设置最低 Android 版本,执行更强大的密码策略,并进一步限制工作和个人分隔。
Android Enterprise 完全托管设备的合规性设置
  • 完全托管的基本安全(级别 1)– Microsoft 建议将此配置作为企业设备的最低安全配置。 此配置适用于访问工作或学校数据的大多数移动用户。 此配置会引入密码要求、设置最低 Android 版本并执行某些设备限制。
  • 完全托管的增强型安全性(级别 2)– Microsoft 建议为用户从中访问敏感信息或机密信息的设备使用此配置。 此配置执行更强大的密码策略并禁用用户/帐户功能。
  • 完全托管的高安全性(级别 3) - Microsoft 建议将此配置用于具有极高风险的特定用户或组使用的设备。 这些用户可能会处理高度敏感的数据,其中未经授权的泄露会导致组织遭受重大财产损失。 此配置会增加最低 Android 版本,引入移动威胁防御或 Microsoft Defender for Endpoint,并强制实施额外的设备限制。

Windows 10 及更高版本设备的合规性策略创建流程的“步骤 2:合规性设置”中配置了以下设置。 这些设置符合零信任标识和设备访问权限配置中概述的原则。

有关设备运行状况> Windows 运行状况证明服务评估规则,请参阅下表。

属性 Value
需要 BitLocker 必需
需要在设备上启用安全启动 必需
需要代码完整性 必需

对于设备属性,请根据 IT 和安全策略为操作系统版本指定适当的值。

对于“Configuration Manager 合规性”,如果处于使用 Configuration Manager 的共同管理环境中,请选择“需要”,否则请选择“未配置”。

有关系统安全性,请参阅下表。

属性 Value
需要密码以解锁移动设备 必需
简单密码 阻止
密码类型 设备默认值
最短密码长度 6
需要提供密码之前处于非活动状态的最大分钟数 15 分钟
密码过期(天) 41
防止重复使用的旧密码数 5
当设备从空闲状态返回时需要提供密码(移动和全息) 必需
要求对设备上的数据存储进行加密 必需
防火墙 必需
防病毒 必需
反间谍软件 必需
Microsoft Defender 反恶意软件 必需
Microsoft Defender 反恶意软件最低版本 Microsoft 建议至少使用最新版本之前的 5 个版本之一。
最新的 Microsoft Defender 反恶意软件签名 必需
实时保护 必需

对于 Microsoft Defender for Endpoint

属性 Value
要求设备不高于计算机风险评分

条件访问策略

在 Intune 中创建应用保护和设备合规性策略后,可以使用条件访问策略启用强制实施。

需要根据登录风险执行 MFA

按照“常用条件访问策略:基于登录风险的多重身份验证”一文中的指导,创建一个要求根据登录风险执行多重身份验证的策略。

配置策略时,请使用以下风险级别。

保护级别 所需的风险级别值 操作
起点 高、中 二者都选中。
企业 高、中、低 选中所有三项。

阻止不支持多重身份验证的客户端

按照“常用条件访问策略:阻止旧式身份验证”一文中的指导,阻止旧式身份验证。

高风险用户必须更改密码

按照“常用条件访问策略:基于用户风险的密码更改”一文中的指导,要求凭据泄露的用户更改其密码。

将此策略与 Microsoft Entra 密码保护一起使用,后者可以检测和阻止已知的弱密码及其变体,以及特定于组织的字词。 使用 Microsoft Entra 密码保护可确保更改后的密码更强。

需要批准的应用和应用保护策略

必须创建条件访问策略才能强制实施在 Intune 中创建的应用保护策略。 强制实施应用保护策略需要条件访问策略相应的应用保护策略。

若要创建需要批准的应用和应用保护的条件访问策略,请按照移动设备需要使用经批准的客户端应用或应用保护策略中的步骤进行操作。 此策略仅允许受应用保护策略保护的移动应用中的帐户访问 Microsoft 365 终结点。

阻止 iOS 和 Android 设备上的其他客户端应用的旧式身份验证可确保这些客户端无法绕过条件访问策略。 如果遵循本文中的指导,则你已配置“阻止不支持新式身份验证的客户端”。

需要合规的电脑和移动设备

以下步骤有助于创建一个条件访问策略,以要求将访问资源的设备标记为符合组织的 Intune 合规性策略。

注意

在启用此策略之前,请确保设备符合要求。 否则,在用户帐户添加到条件访问排除组之前,你可能会被锁定并且无法更改此策略。

  1. 登录 Azure 门户
  2. 浏览到“Microsoft Entra ID”>“安全性”>“条件访问”。
  3. 选择“新策略” 。
  4. 为策略指定名称。 建议组织为其策略的名称创建有意义的标准。
  5. 在“分配”下,选择“用户或工作负载标识” 。
    1. 在“包括”下,选择“所有用户”。
    2. 在“排除”下选择“用户和组”,然后选择组织的紧急访问帐户或不受限帐户。
  6. 在“云应用或操作” > “包括”下,选择“所有云应用”。
    1. 如果必须将特定应用程序排除在策略之外,可以在“选择排除的云应用”下的“排除”选项卡中选择它们,然后选择“选择”。
  7. 在“访问控制”>“授予”下。
    1. 选择“需要将设备标记为兼容” 。
    2. 选择“选择” 。
  8. 确认设置,然后将“启用策略”设置为“打开”。
  9. 选择“创建” ,以便创建启用策略所需的项目。

注意

即使你在策略中为“所有用户”和“所有云应用”选择“要求将设备标记为合规”,也可以将新设备注册到 Intune。 “要求将设备标记为合规”控件不会阻止 Intune 注册和对 Microsoft Intune Web 公司门户应用程序的访问。

订阅激活

使用订阅激活功能使用户能够从一个 Windows 版本“升级”到另一个版本的组织可能希望排除 Universal Store Service API 和 Web 应用程序,AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f 来自其设备合规性策略。

始终需要 MFA

按照“常用条件访问策略:要求所有用户执行 MFA”一文中的指导,要求专用安全级别用户始终执行多重身份验证。

警告

配置策略时,请选择需要专用安全的组,并使用该组,而不是选择所有用户

后续步骤

步骤 3:来宾和外部用户的策略。

了解针对来宾和外部用户的策略建议