Share via

實作 零信任 身分識別和裝置存取原則的必要條件

  • 發行項

本文說明系統管理員必須符合的必要條件,才能使用建議的 零信任 身分識別和裝置存取原則,以及使用條件式存取。 它也會討論為客戶端平臺設定最佳單一登錄 (SSO) 體驗的建議預設值。

必要條件

使用建議的 零信任 身分識別和裝置存取原則之前,您的組織必須符合必要條件。 列出的各種身分識別和驗證模型的需求不同:

  • 僅雲端
  • 混合式與密碼哈希同步處理 (PHS) 驗證
  • 混合式與傳遞驗證 (PTA)
  • 同盟

下表詳細說明適用於所有身分識別模型的必要條件功能和其設定,但未指出。

組態 例外狀況 授權
設定 PHS。 此功能必須啟用,才能偵測外洩的認證,並針對風險型條件式存取採取行動。請注意,無論您的組織是否使用同盟驗證,都需要此功能。 僅雲端 Microsoft 365 E3 或 E5
啟用無縫單一登錄 ,讓使用者在連線到組織網路的組織裝置上時自動登入。 僅限雲端和同盟 Microsoft 365 E3 或 E5
設定具名位置。 Microsoft Entra ID Protection 會收集並分析所有可用的會話數據,以產生風險分數。 建議您在 Microsoft Entra ID 命名位置組態中,為您的網路指定組織的公用 IP 範圍。 來自這些範圍的流量會降低風險分數,而來自組織環境外部的流量則會獲得較高的風險分數。 Microsoft 365 E3 或 E5
註冊所有用戶以進行自助式密碼重設 (SSPR) 和多重要素驗證 (MFA)。 建議您事先註冊 Microsoft Entra 多重要素驗證的使用者。 Microsoft Entra ID Protection 會使用 Microsoft Entra 多重要素驗證來執行額外的安全性驗證。 此外,為了獲得最佳登入體驗,我們建議使用者在裝置上安裝 Microsoft Authenticator 應用程式和 Microsoft 公司入口網站 應用程式。 您可以從每個平臺的應用程式市集安裝這些專案。 Microsoft 365 E3 或 E5
規劃您的 Microsoft Entra 混合式聯結實作。 條件式存取可確保連線到應用程式的裝置已加入網域或符合規範。 若要在 Windows 電腦上支援此功能,裝置必須向 Microsoft Entra ID 註冊。 本文討論如何設定自動裝置註冊。 僅雲端 Microsoft 365 E3 或 E5
準備您的支援小組。 針對無法完成 MFA 的使用者,請備妥計劃。 這可能會將它們新增至原則排除群組,或為其註冊新的 MFA 資訊。 在進行這些安全性敏感性變更之前,您必須確定實際使用者正在提出要求。 要求用戶的經理協助核准是一個有效的步驟。 Microsoft 365 E3 或 E5
設定密碼回寫至內部部署AD。 密碼回寫可讓 Microsoft Entra ID 要求使用者在偵測到高風險帳戶入侵時變更其內部部署密碼。 您可以使用下列兩種方式之一使用 Microsoft Entra 連線 啟用此功能:在 Microsoft Entra 連線 安裝程式的選用功能畫面中啟用密碼回寫,或透過 Windows PowerShell 加以啟用。 僅雲端 Microsoft 365 E3 或 E5
設定 Microsoft Entra 密碼保護。 Microsoft Entra 密碼保護會偵測並封鎖已知的弱式密碼及其變化,也可以封鎖您的組織專屬的其他弱式字詞。 預設的全域禁用密碼清單會自動套用至 Microsoft Entra 租使用者中的所有使用者。 您可以在自訂禁用密碼清單中定義其他專案。 當使用者變更或重設其密碼時,會檢查這些禁用密碼清單,以強制執行強密碼的使用。 Microsoft 365 E3 或 E5
啟用 Microsoft Entra ID Protection。 Microsoft Entra ID Protection 可讓您偵測影響組織身分識別的潛在弱點,並將自動化補救原則設定為低、中、高登入風險和用戶風險。 具有 E5 安全性附加元件的 Microsoft 365 E5 或 Microsoft 365 E3
啟用 Exchange Online 和 商務用 Skype Online 的新式驗證。 新式驗證是使用 MFA 的必要條件。 Office 2016 和 2019 用戶端、SharePoint 和 商務用 OneDrive 預設會啟用新式驗證。 Microsoft 365 E3 或 E5
啟用 Microsoft Entra ID 的持續存取評估 。 持續存取評估會主動終止作用中的用戶會話,並近乎即時地強制執行租用戶原則變更。 Microsoft 365 E3 或 E5

本節說明我們建議為使用者提供最佳 SSO 體驗的預設平臺用戶端設定,以及條件式存取的技術必要條件。

Windows 裝置

我們建議使用 Windows 11 或 Windows 10(版本 2004 或更新版本),因為 Azure 的設計目的是為內部部署和 Microsoft Entra ID 提供最順暢的 SSO 體驗。 公司或學校發行的裝置應設定為直接加入 Microsoft Entra 識別碼,或如果組織使用內部部署 AD 網域加入,則 應該將這些裝置設定為自動且以無訊息方式向 Microsoft Entra ID 註冊。

針對 BYOD Windows 裝置,使用者可以使用 新增公司或學校帳戶。 請注意,Windows 11 或 Windows 10 裝置上的 Google Chrome 瀏覽器用戶必須 安裝擴充 功能,才能取得與 Microsoft Edge 使用者相同的順暢登入體驗。 此外,如果您的組織已加入網域的 Windows 8 或 8.1 裝置,您可以為非 Windows 10 電腦安裝 Microsoft Workplace Join。 下載套件以向 Microsoft Entra 識別符註冊 裝置。

iOS 裝置

建議您 先在用戶裝置上安裝 Microsoft Authenticator 應用程式 ,再部署條件式存取或 MFA 原則。 在要求使用者新增公司或學校帳戶,或安裝 Intune 公司入口網站應用程式以註冊裝置以管理裝置時,至少應該安裝應用程式。 這取決於已設定的條件式存取原則。

Android 裝置

我們建議使用者在部署條件式存取原則之前,或在進行特定驗證嘗試時,先安裝 Intune 公司入口網站 應用程式和Microsoft Authenticator 應用程式。 安裝應用程式之後,系統可能會要求使用者向 Microsoft Entra ID 註冊,或向 Intune 註冊其裝置。 這取決於已設定的條件式存取原則。

我們也建議您在支援 Android for Work 或 Samsung Knox 的 OEM 和版本上標準化組織擁有的裝置,以允許郵件帳戶、受 Intune MDM 原則管理及保護。

下列電子郵件用戶端支援新式驗證和條件式存取。

平台 用戶端 版本/附注
Windows Outlook 2019、2016

必要的更新
iOS iOS 版 Outlook Latest
Android Android 版 Outlook Latest
macOS Outlook 2019 和 2016
Linux 不支援

套用安全文件原則時,建議使用下列用戶端。

平台 Word/Excel/PowerPoint OneNote OneDrive 應用程式 SharePoint 應用程式 OneDrive 同步處理用戶端
Windows 11 或 Windows 10 支援 支援 N/A N/A 支援
Windows 8.1 支援 支援 N/A N/A 支援
Android 支援 支援 支援 支援 N/A
iOS 支援 支援 支援 支援 N/A
macOS 支援 支援 N/A N/A 不支援
Linux 不支援 不支援 不支援 不支援 不支援

Microsoft 365 用戶端支援

如需 Microsoft 365 中用戶端支援的詳細資訊,請參閱下列文章:

保護系統管理員帳戶

針對 Microsoft 365 E3 或 E5 或具有個別的 Microsoft Entra ID P1 或 P2 授權,您可以使用手動建立的條件式存取原則來要求系統管理員帳戶使用 MFA。 如需詳細資訊,請參閱 條件式存取:需要系統管理員 的 MFA。

對於不支持條件式存取的 Microsoft 365 或 Office 365 版本,您可以啟用 安全性預設值 ,要求所有帳戶使用 MFA。

以下是一些其他建議:

後續步驟

步驟 2:設定常見的 零信任 身分識別和存取條件式存取原則。

設定常見的 零信任 身分識別和裝置存取原則