小型企業 零信任 指導方針

  • 發行項

本文說明 零信任 部署指引和資源,供客戶和合作夥伴使用 Microsoft 365 商務進階版 和其他中小型商務客戶常用的技術。 這些資源可協助您瞭解 零信任 的原則:

明確驗證 使用最低權限存取權 假設缺口
一律使用身分識別和裝置存取原則進行驗證和授權。 只為使用者提供所需的存取權,以及執行其工作所需的時間。 執行您可以預防攻擊、防範威脅,然後準備好響應的內容。

本文也包含 Microsoft 合作夥伴的資訊和資源。

Microsoft 365 商務進階版 的設定指引

Microsoft 365 商務進階版 是專為中小型企業設計的全方位雲端生產力和安全性解決方案。 本指南會使用 Microsoft 365 商務進階版 中提供的功能,在端對端設定程式中套用 零信任 原則。

網路安全劇本 描述
小型企業網路安全劇本的螢幕快照 在這裡連結庫中:
  • 可下載的海報會引導您完成設定 零信任 Microsoft 365 商務進階版 的程式。
  • 對於不是安全性專家且需要一些協助的中小企業的指引。
  • 保護 Unmanaged (攜帶您自己的裝置或 BYOD) 和受控裝置的步驟。
  • 所有員工的 建議 和最佳做法,包括租用戶系統管理員和安全性作業。

請參閱下列資源:

零信任 原則 符合者
明確驗證 多重要素驗證 (MFA) 是使用安全性預設值 (或搭配條件式存取) 開啟。 此設定需要用戶註冊 MFA。 它也會停用透過舊版驗證的存取權(不支援新式驗證的裝置),並要求系統管理員在每次登入時進行驗證。
使用最低權限存取 提供保護系統管理帳戶,而不使用這些帳戶來執行使用者工作的指引。
假設缺口 使用預設安全策略來增加防範惡意代碼和其他網路安全威脅。 提供指引來訓練您的小組,以設定非受控裝置(自備裝置或 BYOD)裝置、安全地使用電子郵件,以及更安全地共同作業和共用。 提供其他指引來保護受控裝置(貴組織所擁有的裝置)。

其他威脅防護

Microsoft 365 商務進階版 包含 適用於企業的 Microsoft Defender,可為具有簡化設定體驗的裝置提供完整的安全性。 針對中小型企業優化,功能包括威脅與 弱點管理、新一代保護(防毒和防火牆)、自動化調查和補救等等。

Microsoft 365 商務進階版 也包含具有 適用於 Office 365 的 Microsoft Defender 方案 1 之電子郵件內容和 Office 檔案的進階防網路釣魚、反垃圾郵件和反惡意代碼防護。保管庫 連結和 保管庫 附件。 透過這些功能,您的電子郵件和共同作業內容更安全且受到更好的保護。

請參閱下列資源:

零信任 原則 符合者
明確驗證 存取公司數據的裝置必須符合安全性需求。
使用最低權限存取 提供使用角色來指派許可權和安全性策略以防止未經授權的存取的指引。
假設缺口 為裝置、電子郵件和共同作業內容提供進階保護。 偵測到威脅時,會採取補救動作。

合作夥伴指引和工具

如果您是 Microsoft 合作夥伴,有數個資源可協助您管理商務客戶的安全性。 這些資源包括學習路徑、指引和整合。

解決方案安全性合作夥伴指定可讓客戶將您識別為合作夥伴,他們可以信任整合式安全性、合規性和身分識別解決方案。 請參閱 安全性學習路徑解決方案合作夥伴 (Microsoft 合作夥伴中心)

指引可協助客戶檢閱授與給合作夥伴的許可權和系統管理存取權。 您也可以取得指引,協助 Microsoft 受控安全性服務提供者 (MSSP) 與其商務客戶的租使用者整合。 請參閱以下文章:

資源可協助您以 Microsoft 合作夥伴身分管理客戶的安全性設定,以及協助保護其裝置和數據。 Microsoft 365 Lighthouse 與 Microsoft 365 商務進階版適用於企業的 Microsoft Defender適用於端點的 Microsoft Defender 整合。

適用於端點的 Defender API 可用來整合裝置安全性功能,Microsoft 365 商務進階版 與遠端監視和管理 (RMM) 工具和專業服務自動化 (PSA) 軟體。 請參閱以下文章:

零信任 原則 符合者
明確驗證 合作夥伴資源可用來協助 Microsoft 合作夥伴設定及管理其客戶的身分識別和存取方法和原則。
使用最低權限存取 合作夥伴可以設定與客戶租使用者的整合。 客戶可以檢閱授與給合作夥伴的許可權和系統管理存取權。
假設缺口 Microsoft 365 Lighthouse 與適用於中小型企業的 Microsoft 威脅防護功能整合。

保護您或您的客戶使用的其他 SaaS 應用程式

您或您的小型企業客戶可能會使用其他軟體即服務 (SaaS) 應用程式,例如 Salesforce、Adobe Creative Cloud 和 DocuSign。 您可以將這些應用程式與 Microsoft Entra ID 整合,並將其包含在 MFA 和條件式存取原則中。

Microsoft Entra 應用連結庫是軟體即服務 (SaaS) 應用程式的集合,這些應用程式已預先與 Entra ID 整合。 您只需要在資源庫中尋找應用程式,並將其新增至您的環境。 然後,應用程式將可供您納入 MFA 和條件式存取規則的範圍。 請參閱 Microsoft Entra 應用連結庫的概觀

將 SaaS 應用程式新增至您的環境之後,這些應用程式會自動受到 Microsoft Entra MFA 的保護,以及安全性預設值所提供的其他保護。 如果您使用條件式存取原則而非安全性預設值,您必須將這些應用程式新增至條件式存取和相關原則的範圍。 請參閱在 Microsoft 365 商務進階版 中開啟 MFA。

Microsoft Entra ID 會根據位置、裝置、角色和工作等因素,判斷何時會提示使用者輸入 MFA。 這項功能可保護所有已向 Microsoft Entra ID 註冊的應用程式,包括 SaaS 應用程式。 請參閱 需要使用者執行 MFA。

零信任 原則 符合者
明確驗證 您新增的所有 SaaS 應用程式都需要 MFA 才能存取。
使用最低權限存取 用戶必須符合驗證需求,才能使用存取公司數據的應用程式。
假設缺口 用戶通過驗證時,會考慮位置、裝置、角色和工作等因素。 必要時會使用 MFA。

其他 零信任 檔

根據檔集或組織中的角色,使用其他 零信任 內容。

檔集

請遵循下表,以取得您需求的最佳 零信任 檔集。

檔集 協助您... 角色
主要商務解決方案和成果階段和步驟指引的採用架構 將 C 套件 零信任 保護套用至 IT 實作。 安全性架構師、IT 小組和項目經理
技術領域一般部署指引的概念和部署目標 套用與技術領域一致的 零信任 保護。 IT 小組和安全性人員
零信任 快速現代化計劃 (RaMP) 用於專案管理指引和檢查清單,以輕鬆取勝 快速實作 零信任 保護的關鍵層。 安全性架構設計人員和IT實作者
使用 Microsoft 365 零信任 部署計劃,以取得逐步且詳細的設計和部署指引 將 零信任 保護套用至您的 Microsoft 365 租使用者。 IT 小組和安全性人員
適用於 Microsoft Copilots 的 零信任,以取得階梯狀和詳細的設計和部署指引 將 零信任 保護套用至 Microsoft Copilots。 IT 小組和安全性人員
適用於 Azure 服務的 零信任,以取得階梯狀和詳細的設計和部署指引 將 零信任 保護套用至 Azure 工作負載和服務。 IT 小組和安全性人員
合作夥伴與 零信任整合,以取得技術領域和特製化的設計指引 將 零信任 保護套用至合作夥伴 Microsoft 雲端解決方案。 合作夥伴開發人員、IT 小組和安全性人員
針對應用程式開發設計指導方針和最佳做法,使用 零信任 原則進行開發 將 零信任 保護套用至您的應用程式。 應用程式開發人員

您的角色

請遵循下表,取得組織中您角色的最佳檔集。

角色 檔集 協助您...
安全性架構師

IT 項目經理

IT 實作者		 主要商務解決方案和成果階段和步驟指引的採用架構 將 C 套件 零信任 保護套用至 IT 實作。
IT 或安全性小組的成員 技術領域一般部署指引的概念和部署目標 套用與技術領域一致的 零信任 保護。
安全性架構師

IT 實作者		 零信任 快速現代化計劃 (RaMP) 用於專案管理指引和檢查清單,以輕鬆取勝 快速實作 零信任 保護的關鍵層級。
適用於 Microsoft 365 的 IT 或安全性小組成員 零信任 Microsoft 365 部署計劃,以取得 Microsoft 365 的逐步設計和部署指引 將 零信任 保護套用至您的 Microsoft 365 租使用者。
Microsoft Copilots IT 或安全性小組的成員 適用於 Microsoft Copilots 的 零信任,以取得階梯狀和詳細的設計和部署指引 將 零信任 保護套用至 Microsoft Copilots。
適用於 Azure 服務的 IT 或安全性小組成員 適用於階梯狀和詳細設計和部署指引的 Azure 服務 零信任 將 零信任 保護套用至 Azure 工作負載和服務。
IT 或安全性小組的合作夥伴開發人員或成員 合作夥伴與 零信任整合,以取得技術領域和特製化的設計指導方針 將 零信任 保護套用至合作夥伴 Microsoft 雲端解決方案。
應用程式開發人員 使用 零信任 原則開發應用程式開發設計指導方針和最佳做法 將 零信任 保護套用至您的應用程式。