Microsoft 365 組織的常見安全策略
在為組織部署 Microsoft 365 時,組織會十分擔心。 本文所參考的條件式存取、應用程式保護和裝置合規性原則是以 Microsoft 的建議和三個 零信任 指導原則為基礎:
- 明確驗證
- 使用最低許可權
- 假設有安全性缺口
組織可以依原樣採用這些原則,或自定義這些原則以符合其需求。 可能的話,請先在非生產環境中測試您的原則,再向生產使用者推出。 測試對於識別任何可能的影響,並將其傳達給用戶至關重要。
我們會根據您在部署旅程中的位置,將這些原則分成三個保護層級:
- 起點 - 引進多重要素驗證、保護密碼變更和應用程式保護原則的基本控件。
- 企業 - 引進裝置合規性的增強控件。
- 特殊化安全 性 - 每次針對特定數據集或使用者都需要多重要素驗證的原則。
下圖顯示每個原則適用的保護層級,以及原則是否適用於計算機、手機和平板計算機,或兩種裝置類別。
您可以將此圖表下載為 PDF 檔案。
提示
建議您先使用多重要素驗證 (MFA) ,再在 Intune 中註冊裝置,以確保裝置擁有預定的使用者。 您必須先在 Intune 註冊裝置,才能強制執行裝置合規性政策。
必要條件
權限
- 將管理條件式存取原則的用戶必須能夠以條件式存取系統管理員、安全性系統管理員或全域管理員身分登入 Azure 入口網站。
- 將管理應用程式保護和裝置合規性原則的用戶必須能夠以 Intune 系統管理員或全域管理員身分登入 Intune。
- 只需要檢視設定的使用者可以獲指派 安全性讀取者 或 全域讀取者 角色。
如需角色和許可權的詳細資訊,請參閱 Microsoft Entra 內建角色一文。
使用者註冊
請確定您的使用者在要求使用多重要素驗證之前,先註冊多重要素驗證。 如果您有包含 Microsoft Entra ID P2 的授權,您可以使用 Microsoft Entra ID Protection 內的 MFA 註冊原則來要求用戶註冊。 我們提供 通訊範本,您可以下載並自定義以升級註冊。
群組
所有作為這些建議一部分的 Microsoft Entra 群組都必須建立為 Microsoft 365 群組,而不是安全組。 在稍後保護 Microsoft Teams 和 SharePoint 中的檔時,此需求對於敏感度標籤的部署很重要。 如需詳細資訊,請參閱瞭解 Microsoft Entra ID 中的群組和訪問許可權一文
指派原則
條件式存取原則可以指派給使用者、群組和系統管理員角色。 Intune 應用程式保護和裝置合規性原則只能指派給群組。 設定原則之前,您應該先識別應該包含和排除的人員。 一般而言,起始點保護層級原則適用於組織中的每個人。
以下是在使用者完成 用戶註冊之後,要求 MFA 的群組指派和排除範例。
| Microsoft Entra 條件式存取原則 | Include | 排除 | |
|---|---|---|---|
| 起點 | 需要多重要素驗證以進行中型或高登入風險 | 所有使用者 |
|
| 企業 | 需要多重要素驗證,以降低、中度或高登入風險 | 主管人員群組 |
|
| 特製化安全性 | 一律需要多重要素驗證 | Top Secret Project 的Eyeye 群組 |
|
將較高層級的保護套用至群組和使用者時,請小心。 安全性的目標不是為用戶體驗增加不必要的摩擦 。 例如,每當登入時,必須要有 「最高密碼專案][函數] 群組 的成員使用 MFA,即使他們並未處理其專案的特製化安全性內容也一樣。 過度的安全性摩擦可能會導致疲勞。
您可以考慮啟用無密碼驗證方法,例如 Windows Hello 企業版 或 FIDO2 安全性密鑰,以減少某些安全性控制措施所造成的一些摩擦。
緊急存取帳戶
所有組織都應該至少有一個緊急存取帳戶受到監視以供使用,並從原則中排除。 只有在所有其他系統管理員帳戶和驗證方法遭到鎖定或無法使用時,才會使用這些帳戶。 如需詳細資訊,請參閱管理 Microsoft Entra ID 中的緊急存取帳戶一文。
排除項目
建議的做法是針對條件式存取排除專案建立 Microsoft Entra 群組。 此群組可讓您在針對存取問題進行疑難解答時,提供存取權給使用者的方法。
警告
建議使用此群組作為暫時解決方案。 持續監視和稽核此群組的變更,並確定排除群組只會如預期般使用。
若要將此排除群組新增至任何現有原則:
- 以條件式存取系統管理員、安全性系統管理員或全域管理員身分登入 Azure 入口網站。
- 流覽至 [Microsoft Entra ID>安全>性條件式存取]。
- 選取現有的原則。
- 在 [ 指派] 底下,選取 [使用者或工作負載身分識別]。
- 在 [ 排除] 下,選取 [使用者和群組 ],然後選擇組織的緊急存取或急用帳戶和條件式存取排除群組。
部署
建議您依照下表所列的順序來實作 起始點原則 。 不過, 企業 版的 MFA 原則和 特殊安全性層 級的保護可以隨時實作。
起點
| 原則 | 其他相關資訊 | 授權 |
|---|---|---|
| 登入風險中或高時需要 MFA | 使用來自 Microsoft Entra ID Protection 的風險數據,僅在偵測到風險時才需要 MFA | 使用 E5 安全性附加元件 Microsoft 365 E5 或 Microsoft 365 E3 |
| 封鎖不支援新式驗證的用戶端 | 未使用新式驗證的用戶端可以略過條件式存取原則,因此請務必加以封鎖。 | Microsoft 365 E3 或 E5 |
| 高風險使用者必須變更密碼 | 如果針對其帳戶偵測到高風險活動,則強制使用者在登入時變更其密碼。 | 使用 E5 安全性附加元件 Microsoft 365 E5 或 Microsoft 365 E3 |
| 套用資料保護的應用程式保護原則 | 每個平臺 Intune 一個應用程式保護原則, (Windows、iOS/iPadOS、Android) 。 | Microsoft 365 E3 或 E5 |
| 需要核准的應用程式和應用程式保護原則 | 使用 iOS、iPadOS 或 Android 強制執行手機和平板電腦的行動應用程式保護原則。 | Microsoft 365 E3 或 E5 |
大型企業
| 原則 | 其他相關資訊 | 授權 |
|---|---|---|
| 登入風險低、中或高時需要 MFA | 使用來自 Microsoft Entra ID Protection 的風險數據,僅在偵測到風險時才需要 MFA | 使用 E5 安全性附加元件 Microsoft 365 E5 或 Microsoft 365 E3 |
| 定義裝置合規性原則 | 設定最低設定需求。 每個平臺一個原則。 | Microsoft 365 E3 或 E5 |
| 需要符合規範的計算機和行動裝置 | 針對存取您組織的裝置強制執行設定需求 | Microsoft 365 E3 或 E5 |
特製化安全性
| 原則 | 其他相關資訊 | 授權 |
|---|---|---|
| 一律 需要 MFA | 用戶必須在登入組織服務時執行 MFA | Microsoft 365 E3 或 E5 |
應用程式防護原則
應用程式防護 原則會定義允許哪些應用程式,以及可對組織數據採取的動作。 有許多選項可供使用,而且可能會讓一些選項混淆。 下列基準是 Microsoft 建議的設定,可根據您的需求量身訂做。 我們提供三個要遵循的範本,但認為大部分的組織都會選擇層級 2 和 3。
層級 2 會對應至我們考慮 的起點 或 企業 層級安全性,層級 3 會對應至 特殊 安全性。
層級 1 企業基本數據保護 – Microsoft 建議將此設定作為企業裝置的最低數據保護設定。
層級 2 企業增強型數據保護 – Microsoft 建議針對使用者存取敏感或機密資訊的裝置使用此設定。 此設定適用於大部分存取公司或學校數據的行動使用者。 某些控制件可能會影響用戶體驗。
層級 3 企業高數據保護 – Microsoft 建議針對組織所執行且具有較大或更複雜安全性小組的裝置,或是針對具有唯一高風險的特定使用者或群組, (處理未經授權洩漏會對組織) 造成大量數據遺失之高敏感數據的用戶進行這項設定。 可能以資金高且複雜的敵人為目標的組織應該想要進行此設定。
建立應用程式防護原則
Create 使用數據保護架構設定,針對 Microsoft Intune 內每個平臺 (iOS 和 Android) 的新應用程式保護原則:
- 遵循如何使用 Microsoft Intune 建立和部署應用程式保護原則中的步驟,手動建立原則。
- 使用 Intune 的 PowerShell 腳本,匯入範例 Intune 應用程式保護原則設定架構 JSON 範本。
裝置合規性原則
Intune 裝置合規性原則會定義裝置必須符合才能判斷為符合規範的需求。
您必須為每個電腦、手機或平板電腦平臺建立原則。 本文將涵蓋下列平台的建議:
Create 裝置合規性政策
若要建立裝置合規性原則,請登入 Microsoft Intune 系統管理中心,然後流覽至 [裝置>合規性原則>]。 選取 [建立原則]。
如需在 Intune 中建立合規性原則的逐步指引,請參閱在 Microsoft Intune 中 Create 合規性政策。
iOS/iPadOS 的註冊和合規性設定
iOS/iPadOS 支援數個註冊案例,其中兩個會在此架構中涵蓋:
- 個人擁有裝置的裝置註冊 – 這些裝置為個人擁有,並用於工作和個人用途。
- 公司擁有裝置的自動裝置註冊 – 這些裝置為公司擁有、與單一使用者相關聯,且專門用於工作而非個人用途。
使用 零信任 身分識別和裝置存取設定中所述的原則:
個人註冊裝置的相容性設定
- 個人基本安全性 (層級 1) – Microsoft 建議將此設定作為使用者存取公司或學校數據的個人裝置的最低安全性設定。 此設定是藉由強制執行密碼原則、裝置鎖定特性,以及停用某些裝置功能來完成,例如不受信任的憑證。
- 個人增強安全性 (層級 2) – Microsoft 建議針對使用者存取機密或機密資訊的裝置使用此設定。 此設定會制定數據共用控制件。 此設定適用於大部分在裝置上存取公司或學校數據的行動使用者。
- 個人高安全性 (層級 3) – Microsoft 建議針對特定使用者或群組所使用的裝置進行這項設定,這些裝置是特別高風險的使用者, (處理高度敏感數據的使用者,因為未經授權的洩漏會對組織) 造成相當大的重大損失。 此設定會制定更強的密碼原則、停用特定裝置功能,並強制執行額外的數據傳輸限制。
自動化裝置註冊的相容性設定
- 受監督的基本安全性 (層級 1) – Microsoft 建議將此設定作為使用者存取公司或學校數據之受監督裝置的最低安全性設定。 此設定是藉由強制執行密碼原則、裝置鎖定特性,以及停用某些裝置功能來完成,例如不受信任的憑證。
- 受監督增強的安全性 (層級 2) – Microsoft 建議針對使用者存取敏感或機密資訊的裝置使用此設定。 此設定會制定數據共用控件,並封鎖對USB裝置的存取。 此設定適用於大部分在裝置上存取公司或學校數據的行動使用者。
- 受監督的高安全性 (層級 3) – Microsoft 建議針對特定使用者或群組所使用的裝置使用此設定,這些裝置或群組具有唯一高風險 (處理高度敏感數據的使用者,因為未經授權的洩漏會對組織) 造成相當大的重大損失。 此設定會制定更強的密碼原則、停用特定裝置功能、強制執行額外的數據傳輸限制,並要求透過Apple的大量採購方案安裝應用程式。
Android 的註冊和合規性設定
Android Enterprise 支持數個註冊案例,其中兩個會在此架構中涵蓋:
- Android Enterprise 工作配置檔 – 此註冊模型通常用於個人擁有的裝置,IT 想要在工作和個人資料之間提供清楚的分隔界限。 由 IT 控制的原則可確保工作資料無法傳輸到個人配置檔。
- Android Enterprise 完全受控裝置 – 這些裝置為公司擁有、與單一使用者相關聯,且專門用於工作而非個人用途。
Android Enterprise 安全性設定架構會組織成數個不同的組態案例,提供工作配置檔和完全受控案例的指引。
使用 零信任 身分識別和裝置存取設定中所述的原則:
Android Enterprise 工作配置檔裝置的相容性設定
- 由於個人擁有的工作配置檔裝置有可用的設定,因此沒有基本的安全性 (層級 1) 供應專案。 可用的設定無法證明層級 1 與層級 2 之間的差異。
- 工作配置文件增強安全性 (層級 2) – Microsoft 建議將此設定作為使用者存取公司或學校數據的個人裝置的最低安全性設定。 此設定會引進密碼需求、分隔工作和個人資料,以及驗證 Android 裝置證明。
- 工作配置檔高安全性 (層級 3) – Microsoft 建議針對特定使用者或群組所使用的裝置進行此設定,這些裝置是特別高風險的 (處理高度敏感數據的使用者,因為未經授權的洩漏會對組織) 造成相當大的重大損失。 此設定會引進行動威脅防護或 適用於端點的 Microsoft Defender、設定最低 Android 版本、制定更強的密碼原則,以及進一步限制工作和個人隔離。
Android Enterprise 完全受控裝置的相容性設定
- 完全受控的基本安全性 (層級 1) – Microsoft 建議將此設定作為企業裝置的最低安全性設定。 此設定適用於大部分存取公司或學校數據的行動使用者。 此設定會引進密碼需求、設定最低 Android 版本,並制定特定裝置限制。
- 完全受控增強的安全性 (層級 2) – Microsoft 建議針對使用者存取機密或機密資訊的裝置使用此設定。 此設定會制定更強的密碼原則,並停用使用者/帳戶功能。
- 完全受控的高安全性 (層級 3) - Microsoft 建議針對具有唯一高風險的特定使用者或群組所使用的裝置使用此設定。 這些使用者可能會處理高度敏感的數據,因為未經授權的洩漏可能會對組織造成相當大的數據損失。 此設定會增加最低 Android 版本、引進行動威脅防禦或 適用於端點的 Microsoft Defender,並強制執行額外的裝置限制。
Windows 10 及更新版本的建議合規性設定
下列設定是在步驟 2:合規性設定中設定,適用於 Windows 10 和更新版本裝置的合規性原則建立程式。 這些設定符合 零信任 身分識別和裝置存取設定中所述的原則。
如需 裝置健康情況 > Windows 健康情況證明服務評估規則,請參閱下表。
| 屬性 | 值 |
|---|---|
| 需要 BitLocker | 需要 |
| 需要在裝置上啟用安全開機 | 需要 |
| 需要程式代碼完整性 | 需要 |
針對 [裝置屬性],根據您的IT和安全策略為操作系統版本指定適當的值。
針對 [Configuration Manager 合規性],如果您在共同管理的環境中 Configuration Manager 選取 [需要],否則選取 [未設定]。
如 需系統安全性,請參閱下表。
| 屬性 | 值 |
|---|---|
| 需要密碼才能解除鎖定行動裝置 | 需要 |
| 簡單密碼 | 封鎖 |
| 密碼類型 | 裝置預設值 |
| 密碼最小長度 | 6 |
| 在需要密碼之前,閑置時間上限為分鐘數 | 15 分鐘 |
| 密碼到期 (天) | 41 |
| 防止重複使用的先前密碼數目 | 5 |
| 裝置從閑置狀態返回時需要密碼 (行動裝置版和全像攝影) | 需要 |
| 需要加密裝置上的數據記憶體 | 需要 |
| 防火牆 | 需要 |
| 防毒軟體 | 需要 |
| Antispyware | 需要 |
| Microsoft Defender 反惡意代碼軟體 | 需要 |
| Microsoft Defender 反惡意代碼最低版本 | Microsoft 建議的版本不得超過最新版本的五個後置版本。 |
| Microsoft Defender 反惡意代碼簽章 | 需要 |
| 即時保護 | 需要 |
針對 適用於端點的 Microsoft Defender
| 屬性 | 值 |
|---|---|
| 要求裝置處於或低於計算機風險分數 | 中 |
條件式存取原則
在 Intune 中建立您的應用程式保護和裝置合規性原則之後,您可以使用條件式存取原則來啟用強制執行。
根據登入風險要求 MFA
請遵循 一般條件式存取原則:登入風險型多重要素驗證 一文中的指引,建立原則以根據登入風險要求多重要素驗證。
設定原則時,請使用下列風險層級。
| 保護層級 | 所需的風險層級值 | 動作 |
|---|---|---|
| 起點 | 高、中 | 同時檢查兩者。 |
| 大型企業 | 高、中、低 | 檢查全部三個。 |
封鎖不支援多重要素驗證的用戶端
請遵循 一般條件式存取原則:封鎖舊版驗證 以封鎖舊版驗證一文中的指引。
高風險使用者必須變更密碼
請遵循 一般條件式存取原則:用戶風險型密碼變更 一文中的指引,要求認證遭入侵的使用者變更其密碼。
使用此原則以及 Microsoft Entra 密碼保護,除了組織專屬的詞彙之外,還會偵測並封鎖已知的弱式密碼及其變體。 使用 Microsoft Entra 密碼保護可確保變更的密碼更強大。
需要核准的應用程式和應用程式保護原則
您必須建立條件式存取原則,以強制執行在 Intune 中建立的應用程式保護原則。 強制執行應用程式保護原則需要條件式存取原則 和對 應的應用程式保護原則。
若要建立需要已核准應用程式和應用程式保護的條件式存取原則,請遵循 使用行動裝置要求核准的用戶端應用程式或應用程式保護原則中的步驟。 此原則只允許受應用程式保護原則保護的行動應用程式內的帳戶存取 Microsoft 365 端點。
封鎖 iOS 和 Android 裝置上其他用戶端應用程式的舊版驗證,可確保這些客戶端無法略過條件式存取原則。 如果您遵循本文中的指引,您已設定 不支援新式驗證的封鎖用戶端。
需要符合規範的計算機和行動裝置
下列步驟將協助建立條件式存取原則,要求存取資源的裝置標示為符合貴組織的 Intune 合規性原則。
注意
啟用此原則之前,請確定您的裝置符合規範。 否則,在您的使用者帳戶新增至條件式存取排除群組之前,您可能會遭到鎖定,而且無法變更此原則。
- 登入 Azure 入口網站。
- 流覽至 [Microsoft Entra ID>安全>性條件式存取]。
- 選 取 [新增原則]。
- 為您的原則命名。 我們建議組織為其原則名稱建立有意義的標準。
- 在 [ 指派] 底下,選取 [使用者或工作負載身分識別]。
- 在 [包括]下,選取[所有使用者]。
- 在 [ 排除] 下,選取 [使用者和群組 ],然後選擇組織的緊急存取或急用帳戶。
- 在 [ 雲端應用程式或動作>包含] 底下,選取 [ 所有雲端應用程式]。
- 如果您必須從原則中排除特定應用程式,您可以從 [選取排除的雲端應用程式] 底下的 [排除] 索引卷標中選擇它們,然後選擇 [選取]。
- 在 [訪問控制授與]> 底下。
- 選 取 [需要將裝置標示為符合規範]。
- 選 取 [選取]。
- 確認您的設定,將 [啟用原則]設為[開啟]。
- 選取要建立的 Create,以啟用您的原則。
注意事項
即使您選取 [需要將裝置標示為符合原則中的所有使用者和所有雲端應用程式] ,您也可以註冊新裝置以 Intune。 要求將裝置標示為符合規範的控件不會封鎖 Intune 註冊和存取 Microsoft Intune Web 公司入口網站 應用程式。
訂用帳戶啟用
使用 訂閱啟用 功能讓使用者從某個版本的 Windows「逐步執行」到另一個版本的組織,可能想要從其裝置合規性政策中排除通用市集服務 API 和 Web 應用程式 AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f。
永遠需要 MFA
請遵循 一般條件式存取原則:要求所有使用者使用 MFA 一文中的指引,要求您的特殊安全性層級使用者一律執行多重要素驗證。
警告
設定原則時,請選取需要特殊安全性的群組,並使用該群組 ,而不是選取 [所有使用者]。
後續步驟
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應