Microsoft 365 組織的常見安全策略
組織對於為組織部署Microsoft 365 時,有許多顧慮。 本文所參考的條件式存取、應用程式保護和裝置合規性原則是以Microsoft的建議和 零信任 的三個指導原則為基礎:
- 明確驗證
- 使用最低權限
- 假設缺口
組織可以依目前方式採用這些原則,或加以自定義以符合其需求。 可能的話,請先在非生產環境中測試您的原則,再向生產使用者推出。 測試對於識別並傳達任何可能的影響對您用戶至關重要。
我們會根據您在部署旅程中的位置,將這些原則分組為三個保護層級:
- 起點 - 引進多重要素驗證、安全密碼變更和應用程式保護原則的基本控件。
- 企業 - 引進裝置合規性的增強控件。
- 特製化安全性 - 每次針對特定數據集或使用者要求多重要素驗證的原則。
下圖顯示每個原則適用的保護層級,以及原則適用於計算機或手機和平板計算機,或這兩種裝置類別。
您可以將此圖表下載為 PDF 檔案。
提示
在 Intune 中註冊裝置之前,建議使用多重要素驗證 (MFA),以確保裝置擁有預期的使用者。 您必須先在 Intune 中註冊裝置,才能強制執行裝置合規性政策。
必要條件
權限
- 將管理條件式存取原則的用戶必須能夠至少以條件式存取管理員身分登入 Azure 入口網站。
- 將管理應用程式保護和裝置合規性原則的用戶必須能夠以至少 Intune 系統管理員的身分登入 Intune。
- 只需要檢視設定的使用者,可以指派安全性讀取者或全域讀取者角色。
如需角色和許可權的詳細資訊,請參閱Microsoft Entra 內建角色一文。
用戶註冊
在要求使用多重要素之前,請確定您的使用者先註冊多重要素驗證。 如果您有包含 Microsoft Entra ID P2 的授權,您可以使用 Microsoft Entra ID Protection 內的 MFA 註冊原則來要求該用戶註冊。 我們提供通訊範本,您可以下載和自定義,以升級註冊。
群組
作為這些建議一部分的所有Microsoft Entra 群組,都必須建立為 Microsoft 365 群組 ,而不是安全組。 在稍後保護 Microsoft Teams 和 SharePoint 中的檔時,此需求對於部署敏感度標籤很重要。 如需詳細資訊,請參閱瞭解 Microsoft Entra 標識碼中的群組和訪問許可權一文
指派原則
條件式存取原則可能會指派給使用者、群組和系統管理員角色。 Intune 應用程式保護和裝置合規性原則只能指派給 群組。 設定原則之前,您應該先識別應包含和排除的人員。 一般而言,起點保護層級原則會套用至組織中的每個人。
以下是在使用者完成 用戶註冊之後,需要 MFA 的群組指派和排除專案範例。
| Microsoft Entra 條件式存取原則 | 包括 | 排除 | |
|---|---|---|---|
| 起點 | 需要多重要素驗證以取得中或高登入風險 | 所有使用者 |
|
| 企業 | 需要低、中或高登入風險的多重要素驗證 | 主管人員群組 |
|
| 特製化安全性 | 一律需要多重要素驗證 | 最高機密專案巴克耶群組 |
|
將較高層級的保護套用至群組和使用者時,請小心。 安全性的目標是不會在用戶體驗中增加不必要的摩擦 。 例如,每次登入時,都必須使用 MFA 的 Top Secret Project Buckeye 群組成員,即使它們未處理其專案的特製化安全性內容也一樣。 過度的安全性摩擦可能會導致疲勞。
您可以考慮啟用無密碼驗證方法,例如 Windows Hello 企業版 或 FIDO2 安全性密鑰,以減少某些安全性控制所建立的一些摩擦。
緊急存取帳戶
所有組織都應該至少有一個緊急存取帳戶受到監視,以供使用並排除在原則之外。 只有在所有其他系統管理員帳戶和驗證方法遭到鎖定或無法使用時,才會使用這些帳戶。 如需詳細資訊,請參閱在 Microsoft Entra ID 中管理緊急存取帳戶 (部分機器翻譯) 一文。
排除項目
建議的做法是為條件式存取排除專案建立Microsoft Entra 群組。 此群組可讓您在針對存取問題進行疑難解答時,提供使用者存取權的方法。
警告
建議使用此群組,僅作為暫存解決方案。 持續監視和稽核此群組是否有變更,並確定排除群組僅供預期使用。
若要將此排除群組新增至任何現有的原則:
- 至少以條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心。
- 瀏覽至 [保護]>[條件式存取]。
- 選取現有的原則。
- 在 [指派] 底下,選取 [使用者] 或 [工作負載識別]。
- 在 [排除] 下,選取 [使用者和群組],然後選擇您組織的緊急存取或中斷帳戶和條件式存取排除群組。
部署
建議您依照下表所列的順序來實 作起點 原則。 不過,您可以隨時實作適用於 企業 和 特殊化保護層級 的 MFA 原則。
起點
| 原則 | 其他相關資訊 | 授權 |
|---|---|---|
| 登入風險為 中 或 高時需要 MFA | 只有在偵測到風險時,才使用來自 Microsoft Entra ID Protection 的風險數據來要求 MFA | 使用 E5 安全性附加元件Microsoft 365 E5 或 Microsoft 365 E3 |
| 封鎖不支援新式驗證的用戶端 | 不使用新式驗證的用戶端可以略過條件式存取原則,因此請務必加以封鎖。 | Microsoft 365 E3 或 E5 |
| 高風險的用戶必須變更密碼 | 如果偵測到帳戶的高風險活動,強制使用者在登入時變更其密碼。 | 使用 E5 安全性附加元件Microsoft 365 E5 或 Microsoft 365 E3 |
| 套用資料保護的應用程式保護原則 | 每個平臺一個 Intune 應用程式保護原則(Windows、iOS/iPadOS、Android)。 | Microsoft 365 E3 或 E5 |
| 需要核准的應用程式和應用程式保護原則 | 使用 iOS、iPadOS 或 Android 為手機和平板電腦強制執行行動應用程式保護原則。 | Microsoft 365 E3 或 E5 |
Enterprise
| 原則 | 其他相關資訊 | 授權 |
|---|---|---|
| 登入風險低、中或高時需要 MFA | 只有在偵測到風險時,才使用來自 Microsoft Entra ID Protection 的風險數據來要求 MFA | 使用 E5 安全性附加元件Microsoft 365 E5 或 Microsoft 365 E3 |
| 定義裝置合規性原則 | 設定最低設定需求。 每個平臺都有一個原則。 | Microsoft 365 E3 或 E5 |
| 需要符合規範的計算機和行動裝置 | 強制執行存取您組織的裝置的設定需求 | Microsoft 365 E3 或 E5 |
特殊化安全性
| 原則 | 其他相關資訊 | 授權 |
|---|---|---|
| 一律 需要 MFA | 每當使用者登入您的組織服務時,都必須執行 MFA | Microsoft 365 E3 或 E5 |
應用程式防護 原則
應用程式防護 原則會定義允許哪些應用程式,以及這些應用程式可以針對貴組織的數據採取的動作。 有許多選項可供使用,而且可能會讓某些選項感到困惑。 下列基準是Microsoft建議的設定,這些設定可能會根據您的需求量身打造。 我們提供三個要遵循的範本,但認為大多數組織都會選擇層級 2 和 3。
層級 2 對應至我們考慮 的 起點或 企業 層級安全性,層級 3 對應至 特殊 安全性。
層級 1 企業基本數據保護 – Microsoft 建議此設定作為企業裝置的最低數據保護組態。
層級 2 企業增強數據保護 – Microsoft 針對使用者存取敏感性或機密資訊的裝置建議此設定。 這個設定適用於存取公司或學校資料的大部分行動使用者。 某些控制件可能會影響用戶體驗。
層級 3 企業高數據保護 – Microsoft 針對具有較大或更複雜安全性小組的組織所執行的裝置,或針對具有獨特高風險的特定使用者或群組,建議此設定(在未經授權洩漏時處理高度機密數據的使用者會造成組織相當重大的物質損失)。 一個可能以資金良好且複雜的對手為目標的組織應該渴望這種設定。
建立應用程式保護原則
使用資料保護架構設定,在 Microsoft Intune 內為每個平臺 (iOS 和 Android) 建立新的應用程式保護原則:
- 依照如何使用 Microsoft Intune 建立及部署應用程式保護原則中的步驟,手動建立原則。
- 使用 Intune 的 PowerShell 腳本匯入範例 Intune 應用程式保護原則組態架構 JSON 範本。
裝置相容性原則
Intune 裝置合規性政策會定義裝置必須符合才能判斷為符合規範的需求。
您必須為每個電腦、手機或平板電腦平臺建立原則。 本文將涵蓋下列平台的建議:
建立裝置合規性原則
若要建立裝置合規性政策,請登入 Microsoft Intune 系統管理中心,然後流覽至 [裝置>合規性原則>原則]。 選取 [建立原則]。
如需在 Intune 中建立合規性原則的逐步指引,請參閱 在 Microsoft Intune 中建立合規性政策。
iOS/iPadOS 的註冊和合規性設定
iOS/iPadOS 支援數個註冊案例,其中兩個案例涵蓋在此架構中:
- 個人擁有裝置的裝置 註冊 – 這些裝置是個人擁有,並用於工作和個人用途。
- 公司擁有裝置的自動化裝置 註冊 – 這些裝置為公司擁有、與單一使用者相關聯,並專門用於工作而非個人用途。
使用 零信任 身分識別和裝置存取設定中所述的原則:
個人註冊裝置的合規性設定
- 個人基本安全性 (層級 1) – Microsoft 建議此設定作為使用者存取公司或學校數據的個人裝置的最低安全性設定。 此設定是藉由強制執行密碼原則、裝置鎖定特性,以及停用某些裝置功能來完成,例如不受信任的憑證。
- 個人增強式安全性 (層級 2) – Microsoft 針對使用者存取敏感性或機密資訊的裝置建議此設定。 此設定會制定數據共用控制件。 此設定適用於存取裝置上公司或學校數據的大部分行動使用者。
- 個人高安全性 (層級 3) – Microsoft 針對特定使用者或群組所使用的裝置建議此設定,這些裝置具有獨特的高風險(在未經授權洩漏的情況下處理高度敏感數據的使用者會導致組織相當重大的物質損失)。 此設定會制定更強大的密碼原則、停用特定裝置功能,並強制執行額外的數據傳輸限制。
自動化裝置註冊的合規性設定
- 受監督的基本安全性 (層級 1) – Microsoft 建議此設定作為使用者存取公司或學校數據之受監督裝置的最低安全性設定。 此設定是藉由強制執行密碼原則、裝置鎖定特性,以及停用某些裝置功能來完成,例如不受信任的憑證。
- 受監督的增強式安全性 (層級 2) – Microsoft建議使用者存取敏感性或機密資訊的裝置使用此設定。 此設定會制定數據共用控件,並封鎖對USB裝置的存取。 此設定適用於存取裝置上公司或學校數據的大部分行動使用者。
- 受監督的高安全性 (層級 3) – Microsoft 針對特定使用者或群組所使用的裝置建議此設定,這些裝置具有獨特的高風險(在未經授權洩漏的情況下處理高度敏感數據的使用者會導致組織大量重大損失)。 此設定會制定更強大的密碼原則、停用特定裝置功能、強制執行額外的數據傳輸限制,並要求應用程式透過Apple的大量採購方案安裝。
Android 的註冊和合規性設定
Android Enterprise 支持數個註冊案例,其中兩個案例涵蓋在此架構中:
- Android Enterprise 工作配置檔 – 此註冊模型通常用於個人擁有的裝置,IT 想要在工作與個人資料之間提供明確的分隔界限。 IT 所控制的原則可確保工作數據無法傳輸至個人配置檔。
- Android Enterprise 完全受控裝置 – 這些裝置是公司擁有的、與單一使用者相關聯的,並專門用於工作,而不是個人用途。
Android Enterprise 安全性設定架構會組織成數個不同的組態案例,提供工作配置檔和完全受控案例的指引。
使用 零信任 身分識別和裝置存取設定中所述的原則:
Android Enterprise 工作配置檔裝置的合規性設定
- 由於個人擁有工作配置檔裝置可用的設定,因此沒有基本安全性 (層級 1) 供應專案。 可用的設定無法證明層級 1 與層級 2 之間的差異。
- 工作配置文件增強安全性 (層級 2)– Microsoft建議此設定作為使用者存取公司或學校數據的個人裝置的最低安全性設定。 此設定引進密碼需求、分隔工作和個人資料,以及驗證 Android 裝置證明。
- 工作配置檔高安全性 (層級 3) – Microsoft 針對特定使用者或群組所使用的裝置建議此設定,這些裝置具有獨特的高風險(在未經授權洩漏的情況下處理高度敏感數據的使用者會導致組織遭受大量重大損失)。 此設定引進行動威脅防禦或 適用於端點的 Microsoft Defender、設定最低 Android 版本、制定更強大的密碼原則,以及進一步限制工作和個人隔離。
Android Enterprise 完全受控裝置的合規性設定
- 完全受控的基本安全性 (層級 1) – Microsoft 建議此設定作為企業裝置的最低安全性設定。 這個設定適用於存取公司或學校資料的大部分行動使用者。 此設定引進密碼需求、設定最低 Android 版本,並制定特定裝置限制。
- 完全受控增強式安全性 (層級 2) – Microsoft 針對使用者存取敏感性或機密資訊的裝置建議此設定。 此設定會制定更強大的密碼原則,並停用使用者/帳戶功能。
- 完全受控的高安全性 (層級 3) - Microsoft 建議特定使用者或群組特別高風險的裝置使用此設定。 這些使用者可能會處理高度敏感的數據,其中未經授權的洩漏可能會對組織造成相當大的重大損失。 此設定會增加最低 Android 版本、引進行動威脅防禦或 適用於端點的 Microsoft Defender,並強制執行額外的裝置限制。
Windows 10 和更新版本的建議合規性設定
在步驟 2:合規性設定中,設定了 Windows 10 和更新版本裝置的合規性政策建立程式。 這些設定符合 零信任 身分識別和裝置存取設定中所述的原則。
如需 裝置健康情況 > Windows 健康情況證明服務評估規則,請參閱下表。
| 屬性 | 值 |
|---|---|
| 需要 BitLocker | 必要 |
| 需要在裝置上啟用安全開機 | 必要 |
| 需要程式代碼完整性 | 必要 |
針對 [ 裝置屬性],根據您的IT和安全策略,為作業系統版本指定適當的值。
針對 Configuration Manager 合規性,如果您是使用 Configuration Manager 共同管理的環境,請選取 [需要],否則請選取 [未設定]。
如需 系統安全性,請參閱下表。
| 屬性 | 值 |
|---|---|
| 需要密碼來解除鎖定行動裝置 | 必要 |
| 簡單密碼 | 封鎖 |
| 密碼類型 | 裝置預設值 |
| 密碼長度下限 | 6 |
| 需要密碼之前閑置的分鐘數上限 | 15 分鐘 |
| 密碼到期 (天) | 41 |
| 防止重複使用的先前密碼數目 | 5 |
| 當裝置從閒置狀態傳回時需要密碼 (行動裝置和全像攝影版) | 必要 |
| 需要裝置上的數據記憶體加密 | 必要 |
| 防火牆 | 必要 |
| 防毒 | 必要 |
| Antispyware | 必要 |
| Microsoft Defender Antimalware | 必要 |
| Microsoft Defender Antimalware 最低版本 | Microsoft建議從最新版本落後 5 個以上的版本。 |
| Microsoft Defender 反惡意代碼簽章最新 | 必要 |
| 即時保護 | 必要 |
針對 適用於端點的 Microsoft Defender
| 屬性 | 值 |
|---|---|
| 要求裝置處於計算機風險分數或低於計算機風險分數 | 中 |
條件式存取原則
在 Intune 中建立應用程式保護和裝置合規性原則之後,您可以使用條件式存取原則來啟用強制執行。
需要以登入風險為基礎的 MFA
請遵循一般條件式存取原則:登入風險型多重要素驗證一文中的指引,建立原則,以根據登入風險要求多重要素驗證。
設定原則時,請使用下列風險層級。
| 保護層級 | 所需的風險層級值 | 動作 |
|---|---|---|
| 起點 | 高、中 | 檢查兩者。 |
| Enterprise | 高、中、低 | 檢查這三個。 |
封鎖不支援多重要素驗證的用戶端
請遵循一般條件式存取原則:封鎖舊版驗證以封鎖舊版驗證一文中的指引。
高風險的用戶必須變更密碼
請遵循一般條件式存取原則:用戶風險型密碼變更一文中的指引,要求具有遭入侵認證的使用者變更其密碼。
使用此原則以及 Microsoft Entra 密碼保護,除了貴組織特定的字詞之外,還偵測並封鎖已知的弱式密碼及其變體。 使用 Microsoft Entra 密碼保護可確保變更的密碼更強。
需要核准的應用程式和應用程式保護原則
您必須建立條件式存取原則 ,以強制執行在 Intune 中建立的應用程式保護原則。 強制執行應用程式保護原則需要條件式存取原則 和 對應的應用程式保護原則。
若要建立需要已核准應用程式和應用程式保護的條件式存取原則,請遵循使用行動裝置要求核准的用戶端應用程式或應用程式保護原則中的步驟。 此原則只允許受應用程式保護原則保護的行動應用程式內的帳戶存取Microsoft 365 個端點。
封鎖 iOS 和 Android 裝置上其他用戶端應用程式的舊版驗證,可確保這些客戶端無法略過條件式存取原則。 如果您遵循本文中的指引,您已設定 封鎖不支援新式驗證的用戶端。
需要符合規範的計算機和行動裝置
下列步驟將協助建立條件式存取原則,以要求存取資源的裝置必須標記為符合您組織的 Intune 合規性政策規範。
警告
啟用此原則之前,請確定您的裝置符合規範。 否則,您可以在用戶帳戶新增至條件式存取排除群組之前,遭到鎖定且無法變更此原則。
- 登入 Azure 入口網站。
- 瀏覽至 [Microsoft Entra ID]>[安全性]>[條件式存取]。
- 選取 [新增原則]。
- 為您的原則命名。 建議組織針對其原則的名稱建立有意義的標準。
- 在 [指派] 底下,選取 [使用者] 或 [工作負載識別]。
- 在 [包含] 下,選取 [所有使用者]。
- 在 [排除] 下,選取 [使用者和群組],然後選擇您組織的緊急存取或急用帳戶。
- 在 [雲端應用程式或動作]>[包含] 下,選取 [所有雲端應用程式]。
- 如果您必須從原則中排除特定應用程式,您可以從 [排除] 索引標籤的 [選取排除的雲端應用程式] 下,選擇這些應用程式,然後選擇 [選取]。
- 在 [存取控制]>[授與] 底下。
- 選取 [要求裝置標示為兼容]。
- 選取選取。
- 確認您的設定,並將 [啟用原則] 設定為 [開啟]。
- 選取 [建立] 以建立並啟用您的原則。
注意
即使您選取 [要求裝置標示為符合原則中的所有使用者] 和 [所有雲端應用程式],您仍可將新裝置註冊至 Intune。 要求裝置標示為相容控件不會封鎖 Intune 註冊,以及存取 Microsoft Intune Web 公司入口網站 應用程式。
訂用帳戶啟用
使用 訂用帳戶啟用 功能讓使用者從一個 Windows 版本「逐步啟動」的組織,可能會想要從裝置合規性原則排除通用市集服務 API 和 Web 應用程式、AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f。
一律需要 MFA
請遵循一般條件式存取原則:要求所有使用者使用 MFA,以要求您的特製化安全性層級使用者一律執行多重要素驗證一文中的指引。
警告
設定原則時,請選取需要特殊安全性的群組,並使用該 群組,而不是選取 [所有使用者]。
下一步
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應