分享方式:


實作 零信任 身分識別和裝置存取原則的必要條件

本文說明系統管理員必須符合的必要條件,才能使用建議的 零信任 身分識別和裝置存取原則,以及使用條件式存取。 它也會討論為客戶端平臺設定最佳單一登錄 (SSO) 體驗的建議預設值。

必要條件

使用建議的 零信任 身分識別和裝置存取原則之前,您的組織必須符合必要條件。 列出的各種身分識別和驗證模型的需求不同:

  • 僅雲端
  • 混合式與密碼哈希同步處理 (PHS) 驗證
  • 混合式與傳遞驗證 (PTA)
  • 同盟

下表詳細說明適用於所有身分識別模型的必要條件功能和其設定,但未指出。

組態 例外狀況 授權
設定 PHS。 此功能必須啟用,才能偵測外洩的認證,並針對風險型條件式存取採取行動。請注意,無論您的組織是否使用同盟驗證,都需要此功能。 僅雲端 Microsoft 365 E3 或 E5
啟用無縫單一登錄 ,讓使用者在連線到組織網路的組織裝置上時自動登入。 僅限雲端和同盟 Microsoft 365 E3 或 E5
設定具名位置。 Microsoft Entra ID Protection 會收集並分析所有可用的會話數據,以產生風險分數。 建議您在名為locations組態的 Microsoft Entra ID 中,為您的網路指定組織的公用IP範圍。 來自這些範圍的流量會降低風險分數,而來自組織環境外部的流量則會獲得較高的風險分數。 Microsoft 365 E3 或 E5
註冊所有用戶以進行自助式密碼重設 (SSPR) 和多重要素驗證 (MFA)。 建議您事先註冊使用者Microsoft Entra 多重要素驗證。 Microsoft Entra ID Protection 會利用Microsoft Entra 多重要素驗證來執行額外的安全性驗證。 此外,為了獲得最佳登入體驗,我們建議使用者在裝置上安裝Microsoft Authenticator 應用程式和Microsoft 公司入口網站應用程式。 您可以從每個平臺的應用程式市集安裝這些專案。 Microsoft 365 E3 或 E5
規劃您的Microsoft Entra 混合式聯結實作。 條件式存取可確保連線到應用程式的裝置已加入網域或符合規範。 若要在 Windows 電腦上支援此功能,裝置必須向 Microsoft Entra 識別元註冊。 本文討論如何設定自動裝置註冊。 僅雲端 Microsoft 365 E3 或 E5
準備您的支援小組。 針對無法完成 MFA 的使用者,請備妥計劃。 這可能會將它們新增至原則排除群組,或為其註冊新的 MFA 資訊。 在進行這些安全性敏感性變更之前,您必須確定實際使用者正在提出要求。 要求用戶的經理協助核准是一個有效的步驟。 Microsoft 365 E3 或 E5
設定密碼回寫至內部部署AD。 密碼回寫可讓Microsoft Entra ID 要求使用者在偵測到高風險帳戶入侵時變更其內部部署密碼。 您可以使用 Microsoft Entra Connect 啟用此功能,方法是透過下列兩種方式之一:在Microsoft Entra Connect 設定的選用功能畫面中啟用 密碼回 寫,或透過 Windows PowerShell 加以啟用。 僅雲端 Microsoft 365 E3 或 E5
設定 Microsoft Entra 密碼保護。 Microsoft Entra 密碼保護會偵測並封鎖已知的弱式密碼及其變化,也可以封鎖您的組織專屬的其他弱式字詞。 預設的全域禁用密碼清單會自動套用至 Microsoft Entra 租使用者中的所有使用者。 您可以在自訂禁用密碼清單中定義其他專案。 當使用者變更或重設其密碼時,系統會檢查這些禁用密碼清單,並強制使用增強式密碼。 Microsoft 365 E3 或 E5
啟用 Microsoft Entra ID Protection。 Microsoft Entra ID Protection 可讓您偵測可能影響組織身分識別的潛在弱點,並將自動化補救原則設定為低、中、高登入風險和用戶風險。 使用 E5 安全性附加元件Microsoft 365 E5 或 Microsoft 365 E3
啟用 Exchange Online 和 商務用 Skype Online 的新式驗證。 新式驗證是使用 MFA 的必要條件。 Office 2016 和 2019 用戶端、SharePoint 和 商務用 OneDrive 預設會啟用新式驗證。 Microsoft 365 E3 或 E5
啟用Microsoft Entra ID 的持續存取評估 。 持續存取評估會主動終止作用中的用戶會話,並近乎即時地強制執行租用戶原則變更。 Microsoft 365 E3 或 E5

本節說明我們建議為使用者提供最佳 SSO 體驗的預設平臺用戶端設定,以及條件式存取的技術必要條件。

Windows 裝置

我們建議使用 Windows 11 或 Windows 10(版本 2004 或更新版本),因為 Azure 的設計目的是為內部部署和Microsoft Entra ID 提供最順暢的 SSO 體驗。 公司或學校發行的裝置應設定為直接加入 Microsoft Entra ID,或者如果組織使用內部部署 AD 網域加入,則應該將這些裝置 設定為自動且以無訊息方式向 Microsoft Entra ID 註冊。

針對 BYOD Windows 裝置,使用者可以使用 新增公司或學校帳戶。 請注意,Windows 11 或 Windows 10 裝置上 Google Chrome 瀏覽器的使用者必須 安裝擴充 功能,才能取得與 Microsoft Edge 使用者相同的順暢登入體驗。 此外,如果您的組織已加入網域的 Windows 8 或 8.1 裝置,您可以為非 Windows 10 電腦安裝 Microsoft Workplace Join。 下載套件,以Microsoft Entra標識符註冊 裝置。

iOS 裝置

建議您 先在用戶裝置上安裝 Microsoft Authenticator 應用程式 ,再部署條件式存取或 MFA 原則。 在要求使用者透過新增公司或學校帳戶,或安裝Intune公司入口網站應用程式以註冊裝置以管理裝置時,至少應該安裝應用程式, Microsoft Entra 標識符。 這取決於已設定的條件式存取原則。

Android 裝置

我們建議使用者在部署條件式存取原則之前,先安裝 Intune 公司入口網站 應用程式和Microsoft Authenticator 應用程式,或在特定驗證嘗試期間需要時安裝。 安裝應用程式之後,系統可能會要求使用者向 Microsoft Entra ID 註冊,或向 Intune 註冊其裝置。 這取決於已設定的條件式存取原則。

我們也建議您在支援 Android for Work 或 Samsung Knox 的 OEM 和版本上標準化組織擁有的裝置,以允許郵件帳戶、受 Intune MDM 原則管理及保護。

下列電子郵件用戶端支援新式驗證和條件式存取。

平台 用戶端 版本/附注
Windows Outlook 2019、2016

必要的更新

iOS iOS 版 Outlook Latest
Android Android 版 Outlook Latest
macOS Outlook 2019 和 2016
Linux 不支援

套用安全文件原則時,建議使用下列用戶端。

平台 Word/Excel/PowerPoint OneNote OneDrive 應用程式 SharePoint 應用程式 OneDrive 同步處理用戶端
Windows 11 或 Windows 10 支援 支援 N/A N/A 支援
Windows 8.1 支援 支援 N/A N/A 支援
Android 支援 支援 支援 支援 N/A
iOS 支援 支援 支援 支援 N/A
macOS 支援 支援 N/A N/A 不支援
Linux 不支援 不支援 不支援 不支援 不支援

Microsoft 365 用戶端支援

如需 Microsoft 365 中用戶端支援的詳細資訊,請參閱下列文章:

保護系統管理員帳戶

針對 Microsoft 365 E3 或 E5,或具有個別的 Microsoft Entra ID P1 或 P2 授權,您可以使用手動建立的條件式存取原則來要求系統管理員帳戶使用 MFA。 如需詳細資訊,請參閱 條件式存取:需要系統管理員 的 MFA。

針對不支持條件式存取的 Microsoft 365 或 Office 365 版本,您可以啟用 安全性預設值 來要求所有帳戶的 MFA。

以下是一些其他建議:

後續步驟

步驟 2:設定常見的 零信任 身分識別和存取條件式存取原則。

設定常見的 零信任 身分識別和裝置存取原則