零信任身分識別與裝置存取設定
現今的員工需要存取存在於傳統公司網路界限之外的應用程式和資源。 依賴網路防火牆和虛擬專用網 (VPN 的安全性架構) 隔離和限制對資源的存取已不再足夠。
為了解決這個新的運算世界,Microsoft 強烈建議 零信任 安全性模型,這是根據下列指導原則:
- 明確驗證:一律根據所有可用的數據點進行驗證和授權。 此驗證是 零信任 身分識別和裝置存取原則對於登入和進行中驗證至關重要的地方。
- 使用最低許可權存取:使用 Just-In-Time 和 Just-Enough-Access (JIT/JEA) 、風險型調適型原則和數據保護來限制使用者存取。
- 假設缺口:將攻擊半徑和區段存取降至最低。 驗證端對端加密並使用分析來取得能見度、推動威脅偵測,並改善防禦能力。
以下是 零信任 的整體架構:
零信任 身分識別和裝置存取原則會解決下列專案的驗證明確指導原則:
- 身分識別:當身分識別嘗試存取資源時,請驗證具有強身份驗證的身分識別,並確保要求的存取符合規範且一般。
- 裝置 (也稱為端點) :監視並強制執行安全存取的裝置健康情況和合規性需求。
- 應用程式:將控制項和技術套用至:
- 確定適當的應用程式內許可權。
- 根據即時分析控制存取。
- 監視異常行為
- 控制使用者動作。
- 驗證安全組態選項。
這一系列的文章說明一組使用 Microsoft Entra ID、條件式存取、Microsoft Intune 和其他功能的身分識別和裝置存取設定和原則。 這些設定和原則可讓 零信任 存取 Microsoft 365 的企業雲端應用程式和服務、其他 SaaS 服務,以及使用 Microsoft Entra 應用程式 Proxy 發佈的內部部署應用程式。
零信任 識別和裝置存取設定和原則建議使用三個層級:
- 起點。
- 企業。
- 具有高度管制或分類數據之環境的特殊安全性。
這些層級及其對應的組態可為您的數據、身分識別和裝置提供一致的 零信任 保護層級。 這些功能及其建議:
- Microsoft 365 E3和 Microsoft 365 E5支援。
- 與 microsoft 安全分數和 Microsoft Entra ID 中的身分識別分數一致。 遵循建議將會為您的組織增加這些分數。
- 協助您實作這 五個步驟來保護身分識別基礎結構。
如果您的組織有獨特的需求或複雜性,請使用這些建議作為起點。 不過,大部分的組織都可以依照規定實作這些建議。
觀看這段影片,以快速概觀 Microsoft 365 企業版的身分識別和裝置存取設定。
注意事項
Microsoft 也會銷售 Office 365 訂閱 Enterprise Mobility + Security (EMS) 授權。 EMS E3 和 EMS E5 功能等同於 Microsoft 365 E3 和 Microsoft 365 E5 中的功能。 如需詳細資訊,請參閱 EMS方案。
預定物件
這些建議適用於熟悉 Microsoft 365 雲端生產力和安全性服務的企業架構設計師和 IT 專業人員。 這些服務包括 Microsoft Entra ID (身分識別) 、Microsoft Intune (裝置管理) ,以及 Microsoft Purview 資訊保護 (數據保護) 。
客戶環境
建議的原則適用於完全在 Microsoft 雲端內運作的企業組織,以及具有混合式身分識別基礎結構的客戶。 混合式身分識別結構是與 Microsoft Entra ID 同步處理的 內部部署的 Active Directory 樹系。
我們的許多建議都依賴僅適用於下列授權的服務:
- Microsoft 365 E5。
- Microsoft 365 E3 E5 安全性附加元件。
- EMS E5。
- Microsoft Entra ID P2 授權。
對於沒有這些授權的組織,建議您至少實作所有 Microsoft 365 方案隨附 的安全性預設值。
警告
您的組織可能受限於法規或其他合規性需求,包括要求您套用與這些建議設定不同之原則的特定建議。 這些組態建議過去未提供的使用方式控制件。 我們建議使用這些控件,因為我們相信它們代表安全性和生產力之間的平衡。
我們已盡了最大努力來考慮各種組織保護需求,但無法考慮所有可能的需求或組織的所有獨特層面。
三種保護層級
大部分組織都有安全性和資料保護的相關特定需求。 根據產業部門和組織內的職責,這些需求會不同。 例如,您的法務部門和系統管理員可能需要額外的安全性和資訊保護控制,以控制其他業務單位不需要的電子郵件通訊。
每個產業也都有自己的一組特殊法規。 我們不會嘗試提供所有可能的安全性選項清單,或每個產業區段或作業功能的建議。 相反地,我們會提供三種安全性和保護層級的建議,可根據您的需求粒度來套用。
- 起點:建議所有客戶建立並使用最低標準來保護數據,以及存取您數據的身分識別和裝置。 您可以遵循這些建議,為所有組織提供強式默認保護作為起點。
- 企業:有些客戶有一部分數據必須受到較高層級的保護,或是所有數據都必須受到較高層級的保護。 您可以對 Microsoft 365 環境中的所有或特定數據集套用更高的保護。 建議保護以可比較的安全性層級存取敏感性資料的身分識別和裝置。
- 特製化安全性:如有需要,少數客戶有少量高度分類、構成商業秘密或受管制的數據。 Microsoft 提供功能來協助這些客戶符合這些需求,包括新增身分識別和裝置的保護。
本指引說明如何針對每個這些保護層級實作身分識別和裝置的 零信任 保護。 請為您的組織最低限度使用本指引,並調整原則以符合貴組織的特定需求。
請務必在身分識別、裝置和數據之間使用一致的保護層級。 例如,對於具有優先帳戶的使用者,例如主管、領導者、經理和其他人員的保護,應該包含其身分識別、其裝置及其存取數據的相同保護層級。
此外,請參閱 部署數據隱私權法規的資訊保護 解決方案,以保護儲存在 Microsoft 365 中的資訊。
安全性與生產力的取捨
實作任何安全性策略都需要安全性和生產力之間的取捨。 評估每個決策如何影響安全性、功能和易用性的平衡很有説明。
提供的建議是以下列原則為基礎:
- 瞭解您的使用者,並彈性地滿足其安全性和功能需求。
- 及時套用安全策略,並確保其有意義。
零信任 身分識別和裝置存取保護的服務和概念
Microsoft 365 企業版是專為大型組織所設計,讓每個人都能夠發揮創意並安全地共同作業。
本節提供 Microsoft 365 服務和功能的概觀,這些服務和功能對於 零信任 身分識別和裝置存取而言很重要。
Microsoft Entra ID
Microsoft Entra ID 提供一套完整的身分識別管理功能。 我們建議使用這些功能來保護存取。
| 功能 | 描述 | 授權 |
|---|---|---|
| MFA) (多重要素驗證 | MFA 要求使用者提供兩種形式的驗證,例如使用者密碼加上 Microsoft Authenticator 應用程式的通知或電話。 MFA 大大降低了遭竊認證被用於存取您環境的風險。 Microsoft 365 會針對 MFA 型登入使用 Microsoft Entra 多重要素驗證服務。 | Microsoft 365 E3 或 E5 |
| 條件式存取 | Microsoft Entra ID 會評估使用者登入的條件,並使用條件式存取原則來判斷允許的存取。 例如,在本指導中,我們將向您展示如何建立條件式存取原則,以要求裝置符合敏感性資料的存取要求。 這大大降低了駭客使用其自己的裝置和遭竊認證存取您敏感性資料的風險。 它還保護裝置上的敏感性資料,因為裝置必須滿足特定的健康情況和安全性要求。 | Microsoft 365 E3 或 E5 |
| Microsoft Entra 群組 | 條件式存取原則、具有 Intune 的裝置管理,甚至是組織中檔案和網站的許可權,都依賴指派給用戶帳戶或 Microsoft Entra 群組。 建議您建立 Microsoft Entra 群組,以對應至您所實作的保護層級。 例如,您的行政員工可能是駭客的高價值目標。 因此,將這些員工的用戶帳戶新增至 Microsoft Entra 群組,並將此群組指派給條件式存取原則和其他原則,以強制執行更高層級的存取保護,是合理的。 | Microsoft 365 E3 或 E5 |
| 裝置註冊 | 您可以將裝置註冊到 Microsoft Entra ID,以建立裝置的身分識別。 此身分識別可用來在使用者登入時驗證裝置,以及套用需要已加入網域或相容計算機的條件式存取原則。 針對本指引,我們會使用裝置註冊來自動註冊已加入網域的 Windows 計算機。 裝置註冊是使用 Intune 管理裝置的必要條件。 | Microsoft 365 E3 或 E5 |
| Microsoft Entra ID Protection | 可讓您偵測會影響組織身分識別的潛在弱點,並對低、中、高登入風險和使用者風險設定自動化補救原則。 本指引依賴此風險評估來套用多重要素驗證的條件式存取原則。 本指導還包含條件式存取原則,它要求使用者在偵測到其帳戶存在高風險活動時變更密碼。 | Microsoft 365 E5、Microsoft 365 E3 E5 安全性附加元件、EMS E5 或 Microsoft Entra ID P2 授權 |
| 自助式密碼重設 (SSPR) | 透過提供系統管理員可控制的多種驗證方法,允許使用者安全地重設密碼,而無需服務台介入。 | Microsoft 365 E3 或 E5 |
| Microsoft Entra 密碼保護 | 偵測並封鎖已知的弱式密碼及其變體,以及貴組織特有的額外弱式詞彙。 默認全域禁用密碼清單會自動套用至 Microsoft Entra 租使用者中的所有使用者。 您可以在自訂禁用密碼清單中定義其他條目。 使用者變更或重設密碼時,系統會檢查這些禁用密碼清單,以強制使用強式密碼。 | Microsoft 365 E3 或 E5 |
以下是 零信任 身分識別和裝置存取的元件,包括 Intune 和 Microsoft Entra 對象、設定和子服務。
Microsoft Intune
Intune 是 Microsoft 的雲端式行動裝置管理服務。 本指南建議使用 Intune 管理 Windows 計算機的裝置,並建議裝置合規性政策設定。 Intune 會判斷裝置是否符合規範,並將此數據傳送至套用條件式存取原則時要使用的 Microsoft Entra ID。
Intune 應用程式保護
Intune 應用程式保護原則可用於保護您組織在行動應用程式中的數據,無論是否註冊裝置以進行管理。 Intune 有助於保護資訊、確保您的員工仍可提高生產力,並防止數據遺失。 藉由實作應用層級原則,您可以限制對公司資源的存取,並將數據保留在 IT 部門的控制範圍內。
本指引說明如何建立建議的原則,以強制使用已核准的應用程式,以及判斷這些應用程式如何搭配您的商務數據使用。
Microsoft 365
本指引說明如何實作一組原則來保護對 Microsoft 365 雲端服務的存取,包括 Microsoft Teams、Exchange、SharePoint 和 OneDrive。 除了實作這些原則之外,建議您也使用下列資源提高租用戶的保護層級:
Microsoft 365 Apps 企業版 Windows 11 或 Windows 10
Windows 11 或 Windows 10 Microsoft 365 Apps 企業版 是計算機的建議客戶端環境。 我們建議 Windows 11 或 Windows 10,因為 Microsoft Entra 是設計來為內部部署和 Microsoft Entra ID 提供最順暢的體驗。 Windows 11 或 Windows 10 也包含可透過 Intune 管理的進階安全性功能。 Microsoft 365 Apps 企業版 包含最新版的 Office 應用程式。 這些會使用新式驗證,這是更安全且條件式存取的需求。 這些應用程式也包含增強的合規性和安全性工具。
在三種保護層級中套用這些功能
下表摘要說明我們在三個保護層級中使用這些功能的建議。
| 保護機制 | 起點 | 大型企業 | 特製化安全性 |
|---|---|---|---|
| 強制執行 MFA | 在中或以上的登入風險上 | 在低或以上的登入風險上 | 在所有新的工作階段上 |
| 強制變更密碼 | 針對高風險使用者 | 針對高風險使用者 | 針對高風險使用者 |
| 強制執行 Intune 應用程式保護 | 是 | 是 | 是 |
| 針對組織擁有的裝置強制執行 Intune 註冊 | 需要符合規範或已加入網域的計算機,但允許自備裝置 (BYOD) 手機和平板電腦 | 需要符合規範或已加入網域的裝置 | 需要符合規範或已加入網域的裝置 |
裝置擁有權
上表反映許多組織支援混合組織擁有的裝置,以及個人或 BYOD,以在員工之間實現行動生產力的趨勢。 Intune 應用程式保護原則可確保電子郵件在組織擁有的裝置和 BYOD 上都受到保護,不會從 Outlook 行動應用程式和其他 Office 行動應用程式外洩。
我們建議組織擁有的裝置由 Intune 或加入網域所管理,以套用額外的保護和控制。 根據數據敏感度,您的組織可能會選擇不允許特定使用者母體或特定應用程式的 BYOD。
部署和您的應用程式
在為 Microsoft Entra 整合式應用程式設定並推出 零信任 身分識別和裝置存取設定之前,您必須:
決定您要保護組織中使用的應用程式。
分析此應用程式清單,以判斷提供適當保護層級的原則集合。
您不應該為應用程式建立個別的原則集,因為它們的管理可能會變得很麻煩。 Microsoft 建議您將相同使用者具有相同保護需求的應用程式分組。
例如,有一組原則,其中包含所有使用者的所有 Microsoft 365 應用程式,以進行起點保護。 為所有敏感性應用程式提供第二組原則,例如人力資源或財務部門所使用的應用程式,並將它們套用至這些群組。
一旦您決定要保護之應用程式的原則集合之後,請以累加方式將原則推出給使用者,以解決過程中的問題。 例如:
- 設定您想要用於所有 Microsoft 365 應用程式的原則。
- 只新增 Exchange 及其必要變更、將原則推出給使用者,以及解決任何問題。
- 新增 Teams 及其必要變更、將原則推出給使用者,以及解決任何問題。
- 新增 SharePoint 及其必要變更、將原則推出給使用者,以及解決任何問題。
- 繼續新增其餘的應用程式,直到您可以安心地設定這些起始點原則以包含所有 Microsoft 365 應用程式為止。
同樣地,針對敏感性應用程式,請建立一組原則,並一次新增一個應用程式。 處理任何問題,直到問題全部包含在敏感性應用程式原則集中為止。
Microsoft 建議您不要建立套用至所有應用程式的原則集合,因為這可能會導致一些非預期的設定。 例如,封鎖所有應用程式的原則可能會將您的系統管理員鎖定在 Microsoft Entra 系統管理中心 之外,而且無法針對重要端點設定排除專案,例如 Microsoft Graph。
設定 零信任 身分識別和裝置存取的步驟
- 設定必要條件身分識別功能及其設定。
- 設定一般身分識別和存取條件式存取原則。
- 設定來賓和外部用戶的條件式存取原則。
- 設定 Microsoft 365 雲端應用程式的條件式存取原則,例如 Microsoft Teams、Exchange 和 SharePoint,以及 Microsoft Defender for Cloud Apps 原則。
設定 零信任 身分識別和裝置存取之後,請參閱 Microsoft Entra 功能部署指南,以取得要考慮並 Microsoft Entra ID 控管 保護、監視和稽核存取的其他功能的分階段檢查清單。
下一步
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應