新式企業具有存取數據之端點的驚人多樣性。 並非所有端點都是由組織管理,甚至由組織擁有,導致不同的裝置組態和軟體修補程式層級。 這會建立大規模的受攻擊面,如果尚未解決,則從不受信任的端點存取工作數據很容易成為零信任安全性策略中最弱的連結。 (下載零信任成熟度模型: Zero_Trust_Vision_Paper_Final 10.28.pdf。
零信任堅持“永不信任,永遠驗證”的原則。就端點而言,這表示一律驗證 所有 端點。 不僅包括約聘人員、合作夥伴和來賓裝置,也包括員工用於存取工作資料的應用程式和裝置,無論裝置擁有權為何。
在零信任架構中,不論裝置是由公司擁有或個人擁有的(如BYOD),都會套用相同的安全策略;不管裝置是完全由IT管理,或僅對應用程式和資料進行保護。 這些原則適用於所有端點,無論是電腦、Mac、智慧型手機、平板電腦、穿戴式裝置或 IoT 裝置,無論這些裝置連線至何處,可能是安全的公司網路、家用寬頻網路或公用網際網路。 最重要的是,在這些端點上執行之應用程式的健全狀況和可信度會影響您的安全性狀態。 您必須防止公司數據意外或透過惡意意圖外洩至不受信任或未知的應用程式或服務。
在零信任模型中保護裝置和端點有一些重要規則: 零信任安全策略會透過雲端集中強制執行,並涵蓋端點安全性、裝置設定、應用程式保護、裝置合規性和風險狀態。
- 平臺和在裝置上執行的應用程式會安全地布建、正確設定及保持最新狀態。
- 有自動化和提示的回應,以包含應用程式內公司數據的存取權,以防安全性遭到入侵。
- 訪問控制系統可確保存取數據之前,所有原則控制項都會生效。
保護端點的零信任部署目標
在大部分組織開始零信任旅程之前,其端點安全性會設定如下:
- 端點會加入網域,並使用組策略物件或 Configuration Manager 等解決方案進行管理。 這些是絕佳的選項,但它們不會利用新式 Windows 設定服務提供者 (CSP)或要求個別的雲端管理閘道設備來服務雲端式裝置。
- 端點必須位於公司網路上才能存取數據。 這可能表示裝置必須實際在站臺上存取公司網路,或需要 VPN 存取,這會增加遭入侵裝置可能存取敏感性公司資源的風險。
實作端對端零信任架構來保護端點時,建議您先將焦點放在三個初始部署目標上。 完成之後,請將焦點放在第四個目標上:
端點會向雲端識別提供者註冊。 若要監視任何一個人使用之多個端點的安全性和風險,您需要 能夠檢視 所有可能具有資源存取權的裝置和存取點。 在已註冊的裝置上,您可以強制執行安全性基準,同時為使用者提供生物特徵辨識或 PIN 型方法進行驗證,以協助消除對密碼的依賴。
存取權只會授與雲端管理且相容的端點和應用程式。 設定合規性規則,確保裝置在授與存取權之前符合最低安全性需求。 此外,請為不符合規範的裝置建立補救規則和通知,讓使用者知道如何解決合規性問題。
數據外洩防護 (DLP) 原則會針對公司裝置和 BYOD 強制執行。 控制使用者取得存取權之後,可以對資料執行哪些動作。 例如,將檔案儲存限制為不受信任的位置(例如本機磁碟),或限制與取用者通訊應用程式或聊天應用程式的複製和貼上共用,以保護數據。
端點威脅偵測可用來監視裝置風險。 針對統一管理介面的解決方案,以一致的方式管理所有端點。 使用安全性資訊和事件管理 (SIEM) 解決方案來路由端點記錄和交易,讓您獲得較少但可採取動作的警示。
作為最後一項工作,檢查 IoT和作業技術網路的零信任原則。
端點 零信任 部署指南
本指南會逐步引導您完成遵循零信任安全性架構原則來保護裝置所需的步驟。
1.向雲端識別提供者註冊端點
為了協助限制風險暴露,請監視端點以確保每個端點都有受信任的身分識別、已套用核心安全性需求,以及已測量、補救或視為可接受的惡意代碼或數據外泄等專案的風險層級。
裝置註冊之後,使用者可以使用其公司使用者名稱和密碼來存取貴組織的受限制資源來登入。 可用時,透過使用 Windows Hello 企業版等功能提高安全性。
使用 Microsoft Entra 識別元註冊公司裝置
讓用來存取組織數據的 Windows 裝置,透過下列其中一個路徑,使用 Microsoft Entra ID 加入並註冊:
Windows 現成體驗 – 使用現成體驗 (OOBE) 將 Windows 裝置加入 Microsoft Entra ID 可簡化設定,確保裝置已準備好立即安全地存取組織資源。 如需指引,請參閱 Microsoft Entra 加入新的 Windows 裝置。
先前布建的 Windows 裝置 – 使用先前布建 Windows 工作裝置的使用者可以使用其公司或學校帳戶,註冊至 Microsoft Entra ID。 請參閱 將公司或學校帳戶新增至 Windows 裝置。
註冊個人裝置 - 使用者可以使用 Microsoft Entra 識別元註冊其個人 Windows 裝置。 請參閱 在公司或學校網路上註冊您的個人裝置。
針對公司擁有的裝置,您可以使用下列平臺特定方法來布建新的作系統,並使用 Microsoft Entra 識別元註冊裝置:
Windows – Windows Autopilot 是一組技術,可用來設定和預先配置新裝置,讓其準備好投入生產使用。 請參閱 Windows Autopilot 概觀。
iOS/iPadOS - 透過 Apple Business Manager 或 Apple School Manager 購買的企業擁有的設備,能透過自動化設備註冊加入 Intune。 請參閱 設定自動裝置註冊。
使用 Windows Hello 企業版增強驗證安全性
若要允許使用者使用替代的登入方法,將密碼的使用取代為裝置上的強式雙因素驗證,並強制執行使用 PIN 的規則、登入的安全性密鑰等等,請在 使用者的 Windows 裝置上啟用 Windows Hello 企業版。
Microsoft Intune 支持兩種免費方法來套用及強制執行 Windows Hello 企業版設定:
在使用全租戶範圍原則進行裝置註冊時 – 使用此方法在裝置向 Intune 註冊時,將預設的 Windows Hello for Business 原則套用至每個 Windows 裝置。 此原則可協助確保加入組織的每個新 Windows 裝置都會保留為 PIN 需求、雙因素驗證等相同的初始設定標準。
如需詳細資訊和設定指引,請參閱 Intune 檔中的 Windows Hello 裝置註冊 。
使用帳戶保護配置檔進行註冊之後 – 帳戶保護配置檔可讓您在向 Intune 註冊之後,將特定的 Windows Hello 企業版設定套用至組織內的不同群組。 如果帳戶保護配置檔與整個租戶配置檔之間發生衝突,帳戶保護配置檔具有優先權。 這可讓根據不同群組的需求進行調整。
Intune 帳戶保護 配置檔 是帳戶保護 原則 類型的一種配置檔,反過來又是一種類型的 Intune 端點安全策略。 如需設定此配置檔的指引,請參閱 建立端點安全策略,然後選擇帳戶保護 原則 類型,後面接著帳戶保護 配置檔 類型。
2.限制對雲端受控且相容端點和應用程式的存取
已為加入您組織的端點建立了身分識別及增強驗證需求,請確保這些端點在存取貴組織的數據和資源之前,符合組織的安全性預期。
若要閘道存取,請使用 Intune 裝置合規性原則,其可與 Microsoft Entra 條件式存取搭配運作,以確保只有目前符合您安全性需求的裝置可供已驗證的使用者用來存取資源。 合規性政策的重要部分是 補救通知和規則 ,可協助使用者將不符合規範的裝置帶回合規性。
使用 Microsoft Intune 建立合規性政策
Microsoft Intune 合規性原則是您用來評估受控裝置設定的一組規則和條件。 這些原則可協助您從不符合這些設定需求的裝置保護組織數據和資源。 受控裝置必須滿足您在原則中設定的條件,Intune 才能視為符合規範。
Intune 的裝置合規性功能有兩個一起運作的部分:
合規政策設定 是適用於整個租戶的一組設定,提供每個裝置接收的內建合規政策。 合規性原則設定會建立合規性政策在您的環境中運作方式,包括如何處理未指派明確裝置合規性原則的裝置。
若要設定這些全租用戶設定,請參閱 合規性原則設定。
裝置合規性原則 是您部署至使用者或裝置群組的一組不同的平臺特定規則和設定。 裝置會評估原則中的規則,以報告其合規性狀態。 不符合規範的狀態可能會導致一或多個不符合規範的動作。 Microsoft Entra 條件式存取原則也可以使用該狀態來封鎖從該裝置存取組織資源。
若要使用裝置合規性原則設定群組,請參閱 在 Microsoft Intune 中建立合規性政策。 如需增加您可以使用之合規性設定層級的範例,請參閱 Intune 的合規性政策規劃。
建立針對不符合規範裝置的措施和對使用者的通知
每個 Intune 合規性政策都包含 不符合規範的動作。 當裝置未滿足配置的合規性政策設定時,將執行相應的操作。 Intune 和條件式存取都會讀取裝置的狀態,以協助判斷您可以設定或封鎖從該裝置存取組織資源的其他步驟,只要裝置仍然不符合規範。
您在建立的每個裝置合規性政策中,設定因不合規所採取的動作。
不符合規範的動作包括但不限於下列選項,不同平臺可用的不同選項:
- 將裝置標示為不符合規範
- 將預先設定的電子郵件傳送給裝置的使用者
- 遠端鎖定裝置
- 將預先設定的推播通知傳送給使用者
若要瞭解可用的動作、如何將它們新增至原則,以及如何預先設定電子郵件和通知,請參閱 在 Intune 中設定不符合規範的裝置的動作。
3.為公司裝置和 BYOD 部署強制執行數據外洩防護 (DLP) 的原則
授與數據存取權之後,您想要控制使用者如何處理數據及其儲存方式。 例如,如果使用者存取具有其公司身分識別的檔,您想要防止該檔案儲存在未受保護的取用者儲存位置,或與取用者通訊或聊天應用程式共用。
套用建議的安全性設定
安全性基準可協助建立廣泛且一致的安全設定基準,以協助保護使用者、裝置和數據。 Intune 的安全性基準是預先設定的 Windows 設定群組,可協助您套用相關安全性小組所建議的已知設定群組和預設值。 您可以使用這些基準搭配其預設組態,或加以編輯,以建立符合組織中不同群組不同需求的自定義實例。
請參閱 使用安全性基準來協助保護您使用 Intune Microsoft管理的 Windows 裝置。
自動將更新部署至端點
若要讓受管理裝置符合不斷演進的安全性威脅,請使用 Intune 原則來自動化更新部署:
商務用 Windows Update – 您可以使用商務用 Windows Update 的 Intune 原則,在您的裝置上自動安裝 Windows 更新。 政策可以自動化更新的安裝時間和更新類型,包括 Windows 版本、最新的安全更新,以及新的驅動程式。 若要開始使用,請參閱 在 Intune 中管理 Windows 10 和 Windows 11 軟體更新。
Android Enterprise 更新 – Intune 支援透過合作夥伴整合,自動對 Zebra Android 裝置的作系統和韌體 進行無線更新 。
iOS/iPadOS - Intune 原則可以透過 Apple 的其中一個自動裝置註冊 (ADE) 選項,自動在註冊為受監督裝置的 iOS/iPad 裝置上安裝更新。 若要設定 iOS 更新原則,請參閱 在 Intune 中管理 iOS/iPadOS 軟體更新原則。
加密裝置
使用下列平臺特定選項來加密裝置上的公司待用數據:
MacOS - 若要在 macOS 上設定完整磁碟加密, 請使用適用於 macOS 與 Intune 的 FileVault 磁碟加密。
Windows – 針對 Windows 裝置, 使用 Intune 管理 Windows 裝置的磁碟加密原則。 Intune 原則可以針對磁碟區和磁碟強制執行 BitLocker,以及提供與使用者認證連結的檔案型數據加密功能的個人數據加密。
使用應用程式保護原則保護應用層級的公司數據
若要在受管理的應用程式內保護您的公司數據,請使用 Intune 應用程式保護原則。 Intune 應用程式保護原則 可透過控制數據的存取和共用方式,協助保護您的組織數據。 例如,這些原則可能會封鎖使用者將公司數據複製到個人應用程式,或要求 PIN 才能存取公司電子郵件。
若要開始建立和使用這些原則,請參閱 如何建立和指派應用程式保護原則。 若要了解三種不同層級的安全性配置範例,請參閱 Intune 的應用程式保護原則中之 數據保護架構 。
4.使用端點威脅偵測監視裝置風險
完成前三個目標之後,請在裝置上設定端點安全性,並開始監視新興威脅,以便在它們成為較大的問題之前進行補救。
以下是您可以使用並結合的一些Microsoft解決方案:
Microsoft Defender 與 Microsoft Intune - 當您將 Microsoft Defender 適用於端點整合至 Intune 時,您可以使用 Intune 系統管理中心,在 Intune 管理的裝置上設定 Defender 適用於端點,檢視 Defender 所提供的威脅數據和建議,並採取措施來修正這些問題。 您也可以使用 適用於端點的 Defender 安全性設定管理 案例,允許使用 Intune 原則來管理未向 Intune 註冊之裝置上的 Defender 設定。
Microsoft Sentinel – Microsoft Sentinel 是雲端原生安全性資訊和事件管理 (SIEM) 解決方案,可協助您發現並快速回應複雜的威脅。
透過 Intune 資料倉儲,您可以將裝置和應用程式管理資料傳送至報告工具,以智慧篩選警示,以減少雜訊。 選項包括但不限於 使用 Power BI 連線到數據倉儲 ,以及透過 OData 自定義用戶端使用 SIEM 解決方案。
零信任和 OT 網路
Microsoft適用於IoT 的Defender是專為識別IoT和作業技術 (OT) 網路裝置、弱點和威脅而建置的統一安全性解決方案。 使用適用於IoT的Defender在整個IoT/OT環境中套用安全性,包括可能沒有內建安全性代理程式的現有裝置。
OT 網路通常與傳統 IT 基礎結構不同,而且需要零信任的特殊方法。 OT 系統使用獨特的技術和專屬通訊協定,且可能包括連接能力和電源有限的過時平臺,具有特定的安全需求,並在實體攻擊方面特別容易受到威脅。
適用於IoT的Defender可藉由解決OT特定的挑戰,支援零信任原則,例如:
- 協助您控制 OT 系統的遠端連線。
- 檢視並協助您減少依賴系統之間的連結。
- 在您的網路中尋找單一失敗點。
部署適用於IoT的Defender網路感測器來偵測裝置和流量,並監看OT特定弱點。 將您的感測器分成整個網路的月臺和區域,以監視區域之間的流量,並遵循適用於IoT的Defender風險型風險降低步驟,以降低OT環境的風險。 然後,適用於IoT的Defender會持續監視您的裝置是否有異常或未經授權的行為。
與 Microsoft 服務整合,例如Microsoft Sentinel 和其他合作夥伴服務,包括 SIEM 和票證系統,以在組織中共用適用於 IoT 的 Defender 數據。
如需詳細資訊,請參閱
本指南涵蓋的產品
Microsoft Azure
Microsoft 365
結論
零信任 方法可以大幅增強裝置和端點的安全性狀態。 如需實作的進一步資訊或協助,請連絡您的客戶成功小組,或繼續閱讀本指南中涵蓋所有 零信任 支柱的其他章節。
深入瞭解如何實作端對端零信任策略:
零信任 部署指南系列
