零信任 身分識別和裝置存取設定
現今的員工需要存取超越傳統公司網路界限的應用程式和資源。 依賴網路防火牆和虛擬專用網來隔離和限制資源存取的安全性架構已不再足夠。
為了解決這個全新境界的運算,Microsoft 強烈建議使用零信任安全性模型,其指導方針基礎如下:
- 明確驗證:一律根據所有可用的數據點進行驗證和授權。 此驗證是 零信任 身分識別和裝置存取原則對於登入和進行中驗證至關重要的地方。
- 使用最低許可權存取:使用 Just-In-Time 和 Just-Enough-Access 限制使用者存取權(JIT/JEA)、風險型調適型原則和數據保護。
- 假設缺口:將爆炸半徑和區段存取降至最低。 確認端對端加密,運用分析來提升資訊透明度與威脅偵測,並改善防禦。
以下是 零信任 的整體架構:
零信任 身分識別和裝置存取原則位址確認下列項目的明確指導原則:
- 身分識別:當身分識別嘗試存取資源時,請確認具有強身份驗證的身分識別,並確保要求的存取符合規範且一般。
- 裝置(也稱為端點):監視並強制執行安全存取的裝置健康情況和合規性需求。
- 應用程式:將控制項和技術套用至:
- 請確定適當的應用程式內許可權。
- 根據即時分析來控制存取權。
- 監視異常行為
- 控制用戶動作。
- 驗證安全組態選項。
這一系列文章說明一組使用 Microsoft Entra ID、條件式存取、Microsoft Intune 和其他功能來識別和裝置存取設定和原則。 這些設定和原則提供 microsoft 365 企業雲端應用程式和服務、其他 SaaS 服務和使用 Microsoft Entra 應用程式 Proxy 發佈的內部部署應用程式的 零信任 存取權。
零信任 三層中建議使用身分識別和裝置存取設定和原則:
- 起點。
- 企業。
- 具有高度管制或分類數據之環境的特殊安全性。
這些層級及其對應的組態可提供您數據、身分識別和裝置之間一致的 零信任 保護層級。 這些功能及其建議:
- Microsoft 365 E3 和 Microsoft 365 E5 支援。
- 與 Microsoft Entra 識別碼中的 Microsoft 安全分數和身分識別分數一致。 遵循建議將會為您的組織增加這些分數。
- 協助您實作這 五個步驟來保護身分識別基礎結構。
如果您的組織有獨特的需求或複雜性,請使用這些建議作為起點。 不過,大部分的組織都可以依照規定實作這些建議。
觀看這段影片以取得 Microsoft 365 企業版身分識別和裝置存取設定的快速概觀。
注意
Microsoft 也會銷售 Office 365 訂閱的 Enterprise Mobility + Security (EMS) 授權。 EMS E3 和 EMS E5 功能相當於 Microsoft 365 E3 和 Microsoft 365 E5 中的功能。 如需詳細資訊,請參閱 EMS方案。
目標對象
這些建議適用於熟悉 Microsoft 365 雲端生產力和安全性服務的企業架構設計人員和 IT 專業人員。 這些服務包括 Microsoft Entra ID(身分識別)、Microsoft Intune(裝置管理),以及 Microsoft Purview 資訊保護(數據保護)。
客戶環境
建議的原則適用於完全在 Microsoft 雲端內運作的企業組織,以及適用於具有混合式身分識別基礎結構的客戶。 混合式身分識別結構是與 Microsoft Entra ID 同步處理的 內部部署的 Active Directory 樹系。
我們的許多建議都依賴只有下列授權可用的服務:
- Microsoft 365 E5。
- Microsoft 365 E3 與 E5 安全性附加元件。
- EMS E5.
- Microsoft Entra ID P2 授權。
對於沒有這些授權的組織,我們建議您至少實 作所有 Microsoft 365 方案隨附的安全性預設值。
警示
貴組織可能受限於法規或其他合規性需求,包括需要您套用原則與這些建議組態不同的特定建議。 這些組態建議使用過去尚未提供的使用控件。 我們建議這些控件,因為我們相信它們代表安全性和生產力之間的平衡。
我們已盡最大努力考慮各種組織保護需求,但我們無法考慮所有可能的需求或組織的所有獨特層面。
三種保護層級
大部分的組織都有關於安全性和數據保護的特定需求。 這些需求會因產業區段和組織內的作業功能而有所不同。 例如,您的法律部門和系統管理員可能需要其他業務單位不需要電子郵件信件的額外安全性和資訊保護控件。
每個行業也有自己的一套專門法規。 我們不會嘗試提供所有可能的安全性選項清單,或每個產業區段或工作功能的建議。 相反地,我們會針對三個層級的安全性和保護提供建議,這些層級可以根據您需求的數據粒度來套用。
- 起點:我們建議所有客戶建立並使用最低標準來保護數據,以及存取數據的身分識別和裝置。 您可以遵循這些建議,為所有組織提供強式默認保護作為起點。
- 企業:某些客戶的數據子集必須在較高層級受到保護,或所有數據都必須在較高層級受到保護。 您可以將增強的保護套用至 Microsoft 365 環境中的所有或特定數據集。 建議您保護可存取具有可比較安全性層級之敏感數據的身分識別和裝置。
- 特製化安全性:視需要,少數客戶擁有少量數據,這些數據高度機密、構成商業機密或受到監管。 Microsoft 提供的功能可協助這些客戶符合這些需求,包括為身分識別和裝置新增保護。
本指南說明如何針對每個層級的保護實作身分識別和裝置的 零信任 保護。 請至少使用本指南作為組織,並調整原則以符合貴組織的特定需求。
請務必在身分識別、裝置和數據之間使用一致的保護層級。 例如,對於具有優先帳戶的用戶的保護,例如主管、領導者、經理和其他人員,應包含其身分識別、裝置及其存取數據的相同層級保護。
此外,請參閱 部署數據隱私權法規 的資訊保護解決方案,以保護儲存在 Microsoft 365 中的資訊。
安全性和生產力取捨
實作任何安全性策略需要安全性和生產力之間的取捨。 評估每個決策如何影響安全性、功能和易於使用的平衡,很有説明。
所提供的建議是以下列原則為基礎:
- 瞭解您的使用者,並彈性地符合其安全性和功能需求。
- 及時套用安全策略,並確保其有意義。
零信任 身分識別和裝置存取保護的服務與概念
Microsoft 365 企業版專為大型組織設計,可讓每個人都能有創意且安全地合作。
本節提供 Microsoft 365 服務和功能的概觀,這些服務和功能對於 零信任 身分識別和裝置存取很重要。
Microsoft Entra ID
Microsoft Entra ID 提供完整的身分識別管理功能。 我們建議使用這些功能來保護存取。
| 功能或功能 | 描述 | 授權 |
|---|---|---|
| 多重要素驗證 (MFA) | MFA 要求使用者提供兩種形式的驗證,例如用戶密碼加上來自 Microsoft Authenticator 應用程式或來電的通知。 MFA 可大幅降低遭竊認證可用來存取環境的風險。 Microsoft 365 會針對 MFA 型登入使用 Microsoft Entra 多重要素驗證服務。 | Microsoft 365 E3 或 E5 |
| 條件式存取 | Microsoft Entra ID 會評估使用者登入的條件,並使用條件式存取原則來判斷允許的存取權。 例如,在本指南中,我們會示範如何建立條件式存取原則,以要求裝置合規性才能存取敏感數據。 這可大幅降低駭客使用自己的裝置和遭竊認證存取敏感數據的風險。 它也會保護裝置上的敏感數據,因為裝置必須符合健康情況和安全性的特定需求。 | Microsoft 365 E3 或 E5 |
| Microsoft Entra 群組 | 條件式存取原則、使用 Intune 的裝置管理,甚至是貴組織中檔案和網站的許可權,都依賴指派給用戶帳戶或 Microsoft Entra 群組。 建議您建立對應至所實作保護層級的 Microsoft Entra 群組。 例如,您的主管人員對駭客來說可能較高的價值目標。 因此,將這些員工的用戶帳戶新增至 Microsoft Entra 群組,並將此群組指派給條件式存取原則和其他原則,以強制執行較高層級的存取保護。 | Microsoft 365 E3 或 E5 |
| 裝置註冊 | 您會將裝置註冊到 Microsoft Entra ID,以建立裝置的身分識別。 當使用者登入並套用需要已加入網域或相容計算機的條件式存取原則時,此身分識別可用來驗證裝置。 針對本指南,我們會使用裝置註冊來自動註冊已加入網域的 Windows 計算機。 裝置註冊是使用 Intune 管理裝置的必要條件。 | Microsoft 365 E3 或 E5 |
| Microsoft Entra ID Protection | 可讓您偵測影響組織身分識別的潛在弱點,並將自動化補救原則設定為低、中、高登入風險和用戶風險。 本指南依賴此風險評估來套用多重要素驗證的條件式存取原則。 本指南也包含條件式存取原則,要求使用者在帳戶偵測到高風險活動時變更其密碼。 | Microsoft 365 E5、Microsoft 365 E3 與 E5 安全性附加元件、EMS E5 或 Microsoft Entra ID P2 授權 |
| 自助式密碼重設 (SSPR) | 藉由提供系統管理員可控制的多個驗證方法的驗證,讓使用者安全地重設其密碼,而不需要技術支持人員介入。 | Microsoft 365 E3 或 E5 |
| Microsoft Entra 密碼保護 | 偵測並封鎖已知的弱式密碼及其變體,以及貴組織特有的其他弱式字詞。 預設的全域禁用密碼清單會自動套用至 Microsoft Entra 租使用者中的所有使用者。 您可以在自訂禁用密碼清單中定義其他專案。 當使用者變更或重設其密碼時,會檢查這些禁用密碼清單,以強制執行強密碼的使用。 | Microsoft 365 E3 或 E5 |
以下是 零信任 身分識別和裝置存取的元件,包括 Intune 和 Microsoft Entra 對象、設定和子服務。
Microsoft Intune
Intune 是 Microsoft 的雲端式行動裝置管理服務。 本指南建議使用 Intune 管理 Windows 計算機,並建議裝置合規性政策設定。 Intune 會判斷裝置是否符合規範,並將此數據傳送至 Microsoft Entra 識別符,以在套用條件式存取原則時使用。
Intune 應用程式保護
Intune 應用程式保護 原則可用來保護貴組織在行動應用程式中的數據,且不需要註冊裝置以管理。 Intune 可協助保護資訊、確保員工仍能提高生產力,以及防止資料遺失。 藉由實作應用層級原則,您可以限制公司資源的存取,並將數據保留在 IT 部門的控制範圍內。
本指南說明如何建立建議的原則,以強制使用已核准的應用程式,以及判斷這些應用程式如何與商務數據搭配使用。
Microsoft 365
本指南說明如何實作一組原則來保護對 Microsoft 365 雲端服務的存取,包括 Microsoft Teams、Exchange、SharePoint 和 OneDrive。 除了實作這些原則之外,建議您也使用這些資源提高租用戶的保護層級:
具有 Microsoft 365 Apps 企業版 的 Windows 11 或 Windows 10
具有 Microsoft 365 Apps 企業版 的 Windows 11 或 Windows 10 是電腦的建議客戶端環境。 我們建議使用 Windows 11 或 Windows 10,因為 Microsoft Entra 的設計目的是為內部部署和 Microsoft Entra 識別碼提供最順暢的體驗。 Windows 11 或 Windows 10 也包含可透過 Intune 管理的進階安全性功能。 Microsoft 365 Apps 企業版 包含最新版本的 Office 應用程式 lications。 這些會使用較安全的新式驗證,以及條件式存取的需求。 這些應用程式也包含增強的合規性和安全性工具。
將這些功能套用至三個保護層級
下表摘要說明在三種保護層級中使用這些功能的建議。
| 保護機制 | 起點 | 企業 | 特殊化安全性 |
|---|---|---|---|
| 強制執行 MFA | 在中型或更高層級的登入風險 | 登入風險較低或高於 | 在所有新的工作階段上 |
| 強制執行密碼變更 | 針對高風險使用者 | 針對高風險使用者 | 針對高風險使用者 |
| 強制執行 Intune 應用程式保護 | Yes | .是 | Yes |
| 為組織擁有的裝置強制執行 Intune 註冊 | 需要符合規範或已加入網域的計算機,但允許攜帶您自己的裝置 (BYOD) 手機和平板電腦 | 需要符合規範或已加入網域的裝置 | 需要符合規範或已加入網域的裝置 |
裝置擁有權
上表反映了許多組織支援混合組織擁有的裝置,以及個人或 BYOD 以在整個員工中啟用行動生產力的趨勢。 Intune 應用程式保護原則可確保電子郵件受到保護,以免在組織擁有的裝置和 BYOD 上外洩 Outlook 行動應用程式和其他 Office 行動應用程式。
我們建議由 Intune 管理組織擁有的裝置或已加入網域,以套用額外的保護和控制。 根據數據敏感度,您的組織可能會選擇不允許特定使用者母體或特定應用程式的 BYOD。
部署和您的應用程式
在設定和推出 Microsoft Entra 整合式應用程式的 零信任 身分識別和裝置存取設定之前,您必須:
決定您要保護的組織中所使用的應用程式。
分析此應用程式清單,以判斷提供適當保護層級的原則集合。
您不應該為每個應用程式建立個別的原則集,因為這些原則的管理可能會變得繁瑣。 Microsoft 建議您將具有相同用戶保護需求的應用程式分組。
例如,有一組原則,其中包含所有使用者的所有 Microsoft 365 應用程式以進行起始點保護。 針對所有敏感性應用程式有第二組原則,例如人力資源或財務部門所使用的原則,並將其套用至這些群組。
一旦您決定想要保護之應用程式的一組原則后,請以累加方式將原則推出給使用者,並一路上解決問題。 例如:
- 設定您想要用於所有 Microsoft 365 應用程式的原則。
- 只要新增 Exchange,其必要變更、將原則推出給使用者,並解決任何問題。
- 新增具有其必要變更的Teams、向使用者推出原則,以及解決任何問題。
- 新增 SharePoint 及其必要變更、將原則推出給使用者,並解決任何問題。
- 繼續新增其餘的應用程式,直到您可以自信地設定這些起點原則,以包含所有 Microsoft 365 應用程式。
同樣地,針對您的敏感性應用程式,請建立一組原則,並一次新增一個應用程式。 請完成任何問題,直到它們全部包含在敏感性應用程式原則集中為止。
Microsoft 建議您不要建立套用至所有應用程式的原則集,因為它可能會導致某些非預期的設定。 例如,封鎖所有應用程式的原則可能會將系統管理員從 Microsoft Entra 系統管理中心鎖定,而且無法針對 Microsoft Graph 等重要端點設定排除專案。
設定 零信任 身分識別和裝置存取的步驟
- 設定必要條件身分識別功能及其設定。
- 設定一般身分識別和存取條件式存取原則。
- 設定來賓和外部用戶的條件式存取原則。
- 設定 Microsoft 365 雲端應用程式的條件式存取原則,例如 Microsoft Teams、Exchange 和 SharePoint,以及 適用於雲端的 Microsoft Defender 應用程式原則。
設定 零信任 身分識別和裝置存取之後,請參閱 Microsoft Entra 功能部署指南,以取得要考慮並 Microsoft Entra ID 控管 來保護、監視和稽核存取的其他功能階段檢查清單。
後續步驟
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應