Microsoft 零信任工作坊

Microsoft 零信任工作坊為組織在安全旅程中提供指導工具。工作坊協助你根據零信任原則，在 IT 領域中，制定一個連貫且可執行的安全策略與部署計畫。

為什麼要使用工作坊？

基於零信任原則實施安全措施可能會讓人感到壓力山大。很難知道該從哪裡開始、先啟用什麼，或如何衡量現有狀態或進展。

工作坊協助你：

零信任工作坊包含多個組成部分

元件	詳細資料
評量工具	一個評估工具（PowerShell模組），你可以在環境中執行，用來評估並改善你的安全狀況與基準。它成為工作坊的技術支柱，確保工作坊的發現與成果基於真實數據與分析。評定 - 從你的租戶收集設定資料。 - 根據多項零信任最佳實務檢查您的環境設定。 - 為每個零信任支柱及Microsoft安全未來倡議（SFI）支柱製作分數、差距與建議。
工作坊工具	一款單頁應用程式，幫助你記錄零信任的進展，並制定可行的路線圖。
工作坊指導	工作坊文章為主持人及工作坊參與者提供書面指引。指引內容著重於零信任的核心支柱： - Identity，主要的零信任控制平面，保護使用者、管理員、服務帳號及工作負載身份。 - 裝置確保所有端點都能存取企業資源，且健康、合規且受監控。 - 資料，保護敏感資訊，包括文件、電子郵件、資料庫、結構化與非結構化資料。 - 網路，與基礎建設、保護網路流量、分段邊界及連接性相關。 - 基礎設施，保護多雲與混合資源，包括運算與儲存。 - SecOps，提供企業內的威脅防護、偵測與應變服務。 - 人工智慧，專注於人工智慧模型與資料集的安全。

工作坊可依以下方式運作：

通常工作坊會聚焦於四個階段，每個階段重複進行。

若以正式活動形式舉辦，工作坊內容如下：

階段	詳細資料	結果
第一階段 - 開球/迎新	初步範圍界定，介紹零信任原則與Microsoft 零信任架構，釐清範圍、背景與目標，並了解評估的後勤與前提。	工作坊的參與情況對所有利害關係者都很明確。後勤安排已就緒。
第二階段 - 評估（可選）	執行零信任評估工具，以擷取目前的基準狀態。逐一檢視評估結果。	研究結果被清楚理解，並識別缺口。
第三階段 - 路線圖	根據基線採用路線圖，定義一個客製化且具體的部署計畫。	客戶有一套針對零信任安全的量身打造導入藍圖。
第四階段清盤	收集回饋	找出其他技術支柱工作坊。

了解更多關於工作坊的進行資訊。

該工作坊旨在面向多元利害關係人。建議CISO及IT主管盡可能參加支柱工作坊。

零信任/資安策略負責人：負責組織安全策略的人員，如CISO、資安架構師及領導雲端與現代化計畫的IT經理。
支柱所有者：零信任聚焦於多個跨組織支柱。支柱負責人應參與，其中包括：
- 身份認證 - IAM 團隊、安全運營團隊、裝置/端點團隊、ID 治理團隊、企業應用程式開發者。
- 裝置 - 行動裝置管理架構師/管理員、安全架構師/運維、條件存取管理員、治理與風險團隊。
- 資料 - 資訊保護架構師、合規主管/管理員、專注於資料安全的平台管理員（Exchange、SharePoint 等）
- 基礎架構、應用程式 - 基礎架構安全團隊、安全運營團隊、端點安全團隊、合規/政策團隊、應用程式開發團隊、網路管理團隊。
- 網路 - IAM 團隊、網路運維團隊、安全運營團隊、裝置/端點團隊、應用程式/工作負載相關者。
- SecOps - 安全團隊決策者、安全團隊專家（安全架構師、分析師、工程師、SIEM 管理員等）
- DevOps：開發主管/工程師。
決策者/預算利害關係人：聚焦於路線圖策略——CTO、CIO、商業應用程式擁有者。
風險計畫負責人：企業風險管理者、治理與合規領導者、資料保護官、特定業務風險負責人。
跨部門員工：負責營運全公司系統的人——基礎設施/網路擁有者、雲端工程師、資安工程師、客服主管。

該工作坊由 Microsoft 在 GitHub 上維護並定期更新，作為社群式資源。此內容依現況提供，並盡力而為，且不提供 Microsoft 支援的正式支援。如對預覽版零信任 Assessment 工具有任何疑問，請在評估工具的 GitHub 頁面提出問題回報。

此頁面對您有幫助嗎？