Sdílet prostřednictvím


konfigurace identit a zařízení nulová důvěra (Zero Trust)

Dnešní pracovníci vyžadují přístup k aplikacím a prostředkům, které existují nad rámec tradičních hranic podnikové sítě. Architektury zabezpečení, které spoléhají na síťové brány firewall a virtuální privátní sítě (VPN) k izolaci a omezení přístupu k prostředkům, už nestačí.

Microsoft důrazně doporučuje model zabezpečení nulová důvěra (Zero Trust), který je založený na těchto hlavních principech:

  • Explicitně ověřte: Vždy ověřte a autorizujete na základě všech dostupných datových bodů. Toto ověření spočívá v tom, že nulová důvěra (Zero Trust) zásady přístupu k identitám a zařízením jsou pro přihlášení a průběžné ověřování zásadní.
  • Používejte přístup s nejnižšími oprávněními: Omezte přístup uživatelů pomocí technologie Just-In-Time a Just-Enough-Access (JIT/JEA), adaptivních zásad založených na rizikech a ochrany dat.
  • Předpokládejme porušení zabezpečení: Minimalizujte poloměr výbuchu a přístup k segmentům. Ověřte komplexní šifrování a využijte analýzy k získání viditelnosti, zjišťování hrozeb a zlepšení ochrany.

Tady je celková architektura nulová důvěra (Zero Trust):

Diagram znázorňující architekturu Microsoft nulová důvěra (Zero Trust)

nulová důvěra (Zero Trust) zásady přístupu k identitě a zařízení řeší Ověřte explicitně hlavní princip pro:

  • Identity: Když se identita pokusí o přístup k prostředku, ověřte, že identita se silným ověřováním a zajistí, že požadovaný přístup vyhovuje a je typický.
  • Zařízení (označovaná také jako koncové body):Monitorujte a vynucujte požadavky na stav zařízení a dodržování předpisů pro zabezpečený přístup.
  • Aplikace: Použití ovládacích prvků a technologií na:
    • Ujistěte se, že jsou příslušná oprávnění v aplikaci.
    • Řízení přístupu na základě analýz v reálném čase
    • Monitorování neobvyklého chování
    • Řízení uživatelských akcí
    • Ověřte možnosti zabezpečené konfigurace.

Tato série článků popisuje sadu konfigurací a zásad přístupu k identitám a zařízením pomocí Microsoft Entra ID, podmíněného přístupu, Microsoft Intune a dalších funkcí. Tyto konfigurace a zásady poskytují nulová důvěra (Zero Trust) přístup k Microsoftu 365 pro podnikové cloudové aplikace a služby, další služby SaaS a místní aplikace publikované pomocí proxy aplikací Microsoft Entra.

nulová důvěra (Zero Trust) nastavení identit a přístupu zařízení a zásad se doporučují ve třech úrovních:

  • Výchozí bod.
  • Podnik.
  • Specializované zabezpečení pro prostředí s vysoce regulovanými nebo klasifikovanými daty

Tyto úrovně a jejich odpovídající konfigurace poskytují konzistentní úrovně ochrany nulová důvěra (Zero Trust) napříč vašimi daty, identitami a zařízeními. Tyto možnosti a jejich doporučení:

Pokud má vaše organizace jedinečné požadavky nebo složitost, použijte tato doporučení jako výchozí bod. Většina organizací však může tato doporučení implementovat podle předpisu.

Podívejte se na toto video s rychlým přehledem konfigurací identit a přístupu k zařízením pro Microsoft 365 pro velké organizace.

Poznámka:

Microsoft také prodává licence Enterprise Mobility + Security (EMS) pro předplatná Office 365. Funkce EMS E3 a EMS E5 jsou ekvivalentní funkcím v Microsoftu 365 E3 a Microsoftu 365 E5. Další informace najdete v tématu Plány EMS.

Zamýšlená cílová skupina

Tato doporučení jsou určená pro podnikové architekty a IT specialisty, kteří znají produktivitu a zabezpečení cloudu Microsoft 365. Mezi tyto služby patří Microsoft Entra ID (identita), Microsoft Intune (správa zařízení) a Microsoft Purview Information Protection (ochrana dat).

Prostředí zákazníka

Doporučené zásady se vztahují na podnikové organizace provozující v cloudu Microsoftu i pro zákazníky s infrastrukturou hybridní identity. Hybridní struktura identit je místní Active Directory doménová struktura, která je synchronizovaná s ID Microsoft Entra.

Řada našich doporučení spoléhá na služby, které jsou k dispozici pouze s následujícími licencemi:

  • Microsoft 365 E5.
  • Microsoft 365 E3 s doplňkem E5 Security
  • EMS E5.
  • Licence Microsoft Entra ID P2

Pro organizace, které tyto licence nemají, doporučujeme implementovat aspoň výchozí nastavení zabezpečení, které jsou součástí všech plánů Microsoftu 365.

Upozornění

Vaše organizace může podléhat zákonným nebo jiným požadavkům na dodržování předpisů, včetně konkrétních doporučení, která vyžadují, abyste použili zásady, které se od těchto doporučených konfigurací liší. Tyto konfigurace doporučují ovládací prvky použití, které nebyly historicky dostupné. Tyto kontroly doporučujeme, protože věříme, že představují rovnováhu mezi zabezpečením a produktivitou.

Naším nejlepším řešením je zohlednit širokou škálu požadavků na ochranu organizace, ale nemůžeme počítat se všemi možnými požadavky nebo pro všechny jedinečné aspekty vaší organizace.

Tři úrovně ochrany

Většina organizací má specifické požadavky týkající se zabezpečení a ochrany dat. Tyto požadavky se liší podle oborových segmentů a podle funkcí pracovních míst v organizacích. Například vaše právní oddělení a správci můžou vyžadovat další kontroly ochrany informací a zabezpečení v e-mailové korespondenci, které nejsou potřeba pro jiné organizační jednotky.

Každý průmysl má také vlastní sadu specializovaných předpisů. Nepokoušíme se poskytnout seznam všech možných možností zabezpečení nebo doporučení pro jednotlivé oborové segmenty nebo funkci úlohy. Místo toho poskytujeme doporučení pro tři úrovně zabezpečení a ochrany, které je možné použít na základě členitosti vašich potřeb.

  • Výchozí bod: Doporučujeme všem zákazníkům stanovit a používat minimální standard pro ochranu dat a také identity a zařízení, která k vašim datům přistupuje. Podle těchto doporučení můžete poskytovat silnou výchozí ochranu jako výchozí bod pro všechny organizace.
  • Organizace: Někteří zákazníci mají podmnožinu dat, která musí být chráněna na vyšších úrovních nebo všechna data musí být chráněna na vyšší úrovni. Zvýšenou ochranu můžete použít u všech nebo konkrétních datových sad v prostředí Microsoftu 365. Doporučujeme chránit identity a zařízení, která přistupuje k citlivým datům se srovnatelnými úrovněmi zabezpečení.
  • Specializované zabezpečení: Podle potřeby má několik zákazníků malé množství dat, která jsou vysoce klasifikovaná, představují obchodní tajemství nebo jsou regulovaná. Microsoft poskytuje možnosti, které těmto zákazníkům pomůžou splňovat tyto požadavky, včetně přidané ochrany identit a zařízení.

Snímek obrazovky s kuželem zabezpečení zobrazující rozsah zákazníků

V těchto doprovodných materiálech se dozvíte, jak implementovat nulová důvěra (Zero Trust) ochranu identit a zařízení pro každou z těchto úrovní ochrany. Tyto pokyny použijte minimálně pro vaši organizaci a upravte zásady tak, aby splňovaly konkrétní požadavky vaší organizace.

Je důležité používat konzistentní úrovně ochrany napříč identitami, zařízeními a daty. Například ochrana uživatelů s prioritními účty, jako jsou vedoucí pracovníci, vedoucí pracovníci, manažeři a další, by měla zahrnovat stejnou úroveň ochrany pro své identity, jejich zařízení a data, ke kterým přistupují.

Kromě toho se podívejte na řešení Nasazení ochrany informací pro ochranu osobních údajů pro ochranu osobních údajů, které chrání informace uložené v Microsoftu 365.

Kompromisy mezi zabezpečením a produktivitou

Implementace jakékoli strategie zabezpečení vyžaduje kompromisy mezi zabezpečením a produktivitou. Je užitečné vyhodnotit, jak každé rozhodnutí ovlivňuje rovnováhu zabezpečení, funkčnosti a snadného používání.

Zabezpečení, funkce a snadné používání triadového vyrovnávání zabezpečení

Uvedená doporučení jsou založená na následujících principech:

  • Znáte uživatele a buďte flexibilní pro jejich požadavky na zabezpečení a funkčnost.
  • Použijte zásady zabezpečení včas a zajistěte, aby byly smysluplné.

Služby a koncepty pro nulová důvěra (Zero Trust) identitu a ochranu přístupu k zařízením

Microsoft 365 pro velké organizace je navržený pro velké organizace, aby všichni byli kreativní a mohli bezpečně spolupracovat.

Tato část obsahuje přehled služeb a možností Microsoftu 365, které jsou důležité pro nulová důvěra (Zero Trust) identita a přístup k zařízením.

Microsoft Entra ID

Microsoft Entra ID poskytuje úplnou sadu možností správy identit. Tyto funkce doporučujeme použít k zabezpečení přístupu.

Funkce nebo funkce Popis Licencování
Vícefaktorové ověřování (MFA) Vícefaktorové ověřování vyžaduje, aby uživatelé zadali dvě formy ověření, například heslo uživatele a oznámení z aplikace Microsoft Authenticator nebo telefonní hovor. Vícefaktorové ověřování výrazně snižuje riziko, že se k odcizené přihlašovací údaje dají použít pro přístup k vašemu prostředí. Microsoft 365 používá vícefaktorovou ověřovací službu Microsoft Entra pro přihlašování na základě vícefaktorového ověřování. Microsoft 365 E3 nebo E5
Podmíněný přístup Microsoft Entra ID vyhodnocuje podmínky přihlášení uživatele a používá zásady podmíněného přístupu k určení povoleného přístupu. V těchto doprovodných materiálech vám například ukážeme, jak vytvořit zásadu podmíněného přístupu, která vyžaduje dodržování předpisů zařízením pro přístup k citlivým datům. To výrazně snižuje riziko, že hacker s vlastním zařízením a odcizenými přihlašovacími údaji má přístup k citlivým datům. Chrání také citlivá data na zařízeních, protože zařízení musí splňovat konkrétní požadavky na stav a zabezpečení. Microsoft 365 E3 nebo E5
Skupiny Microsoft Entra Zásady podmíněného přístupu, správa zařízení pomocí Intune a dokonce i oprávnění k souborům a webům ve vaší organizaci spoléhají na přiřazení uživatelským účtům nebo skupinám Microsoft Entra. Doporučujeme vytvořit skupiny Microsoft Entra, které odpovídají úrovním ochrany, kterou implementujete. Například vedoucí pracovníci pravděpodobně mají vyšší hodnotu cílů pro hackery. Proto je vhodné přidat uživatelské účty těchto zaměstnanců do skupiny Microsoft Entra a přiřadit tuto skupinu zásadám podmíněného přístupu a dalším zásadám, které vynucují vyšší úroveň ochrany přístupu. Microsoft 365 E3 nebo E5
Registrace zařízení Zaregistrujete zařízení do Microsoft Entra ID a vytvoříte identitu zařízení. Tato identita se používá k ověření zařízení, když se uživatel přihlásí a použije zásady podmíněného přístupu, které vyžadují počítače připojené k doméně nebo kompatibilní s předpisy. V tomto návodu používáme registraci zařízení k automatické registraci počítačů s Windows připojených k doméně. Registrace zařízení je předpokladem pro správu zařízení pomocí Intune. Microsoft 365 E3 nebo E5
Microsoft Entra ID Protection Umožňuje detekovat potenciální ohrožení zabezpečení ovlivňující identity vaší organizace a nakonfigurovat zásady automatizované nápravy na nízké, střední a vysoké riziko přihlašování a rizika uživatelů. Tyto doprovodné materiály spoléhají na toto vyhodnocení rizik a použijí zásady podmíněného přístupu pro vícefaktorové ověřování. Tyto pokyny zahrnují také zásady podmíněného přístupu, které vyžadují, aby uživatelé změnili heslo, pokud se u svého účtu zjistí vysoká rizikovost. Microsoft 365 E5, Microsoft 365 E3 s doplňkem E5 Security, EMS E5 nebo licencemi Microsoft Entra ID P2
Samoobslužné resetování hesla (SSPR) Umožňuje uživatelům bezpečně resetovat hesla a bez zásahu help-desku tím, že zajistí ověření více metod ověřování, které může správce řídit. Microsoft 365 E3 nebo E5
Ochrana heslem Microsoft Entra Rozpoznávejte a blokujte známá slabá hesla a jejich varianty a další slabé termíny, které jsou specifické pro vaši organizaci. Výchozí globální seznamy zakázaných hesel se automaticky použijí pro všechny uživatele v tenantovi Microsoft Entra. Můžete definovat další položky ve vlastním seznamu zakázaných hesel. Když uživatelé změní nebo resetují svá hesla, zkontrolují se tyto seznamy zakázaných hesel, aby bylo možné vynutit použití silných hesel. Microsoft 365 E3 nebo E5

Tady jsou komponenty nulová důvěra (Zero Trust) přístupu k identitě a zařízení, včetně objektů Intune a Microsoft Entra, nastavení a podslužeb.

Komponenty přístupu k identitě nulová důvěra (Zero Trust) a zařízení

Microsoft Intune

Intune je cloudová služba pro správu mobilních zařízení microsoftu. Tyto pokyny doporučují správu počítačů s Windows pomocí Intune a doporučují konfigurace zásad dodržování předpisů zařízením. Intune určuje, jestli zařízení dodržují předpisy a odesílají tato data do MICROSOFT Entra ID, které se použije při použití zásad podmíněného přístupu.

Ochrana aplikací Intune

Zásady ochrany aplikací Intune se dají použít k ochraně dat vaší organizace v mobilních aplikacích s registrací zařízení do správy nebo bez registrace zařízení. Intune pomáhá chránit informace, zajistit, aby vaši zaměstnanci byli produktivní a zabránili ztrátě dat. Implementací zásad na úrovni aplikace můžete omezit přístup k prostředkům společnosti a zachovat data v rámci kontroly nad it oddělením.

V těchto doprovodných materiálech se dozvíte, jak vytvořit doporučené zásady pro vynucování používání schválených aplikací a jak se tyto aplikace dají používat s obchodními daty.

Microsoft 365

V těchto doprovodných materiálech se dozvíte, jak implementovat sadu zásad pro ochranu přístupu ke cloudovým službám Microsoftu 365, včetně Microsoft Teams, Exchange, SharePointu a OneDrivu. Kromě implementace těchto zásad doporučujeme zvýšit úroveň ochrany vašeho tenanta také pomocí těchto prostředků:

Windows 11 nebo Windows 10 s Microsoft 365 Apps pro velké organizace

Windows 11 nebo Windows 10 s Microsoft 365 Apps pro velké organizace je doporučené klientské prostředí pro počítače. Doporučujeme Windows 11 nebo Windows 10, protože Microsoft Entra je navržený tak, aby poskytoval nejhladší možnosti pro místní i Microsoft Entra ID. Windows 11 nebo Windows 10 také obsahuje pokročilé možnosti zabezpečení, které je možné spravovat přes Intune. Microsoft 365 Apps pro velké organizace zahrnuje nejnovější verze aplikace Office lications. Používají moderní ověřování, což je bezpečnější a požadavek na podmíněný přístup. Mezi tyto aplikace patří také vylepšené nástroje pro dodržování předpisů a zabezpečení.

Použití těchto funkcí napříč třemi úrovněmi ochrany

Následující tabulka shrnuje naše doporučení pro používání těchto funkcí napříč třemi úrovněmi ochrany.

Mechanismus ochrany Výchozí bod Enterprise Specializované zabezpečení
Vynucení vícefaktorového ověřování Na střední nebo nad riziku přihlášení Při nízkém nebo vyšším riziku přihlášení Na všech nových relacích
Vynucení změny hesla Pro vysoce rizikové uživatele Pro vysoce rizikové uživatele Pro vysoce rizikové uživatele
Vynucení ochrany aplikací Intune Ano Ano Yes
Vynucení registrace Intune pro zařízení vlastněné organizací Vyžadovat kompatibilní počítač nebo počítač připojený k doméně, ale povolit vlastní zařízení (BYOD) telefony a tablety Vyžadování kompatibilního zařízení nebo zařízení připojeného k doméně Vyžadování kompatibilního zařízení nebo zařízení připojeného k doméně

Vlastnictví zařízení

Výše uvedená tabulka odráží trend mnoha organizací, které podporují kombinaci zařízení vlastněných organizací a osobních nebo BYOD, které umožňují mobilní produktivitu napříč pracovníky. Zásady ochrany aplikací Intune zajišťují, aby e-maily byly chráněny před exfiltrací z mobilní aplikace Outlook a dalších mobilních aplikací Office na zařízeních vlastněných organizacím i na vlastních zařízeních.

Pokud chcete použít další ochranu a kontrolu, doporučujeme, aby zařízení vlastněná organizací byla spravovaná službou Intune nebo připojenými k doméně. V závislosti na citlivosti dat se vaše organizace může rozhodnout nepovolit BYOD pro konkrétní skupiny uživatelů nebo konkrétní aplikace.

Nasazení a vaše aplikace

Před konfigurací a zavedením konfigurace identit a přístupu k zařízením pro integrované aplikace Microsoft Entra a jeho zavádění nulová důvěra (Zero Trust) musíte:

  • Rozhodněte se, které aplikace ve vaší organizaci chcete chránit.

  • Analyzujte tento seznam aplikací a určete sady zásad, které poskytují odpovídající úrovně ochrany.

    Pro aplikaci byste neměli vytvářet samostatné sady zásad, protože jejich správa může být těžkopádná. Microsoft doporučuje seskupovat aplikace, které mají stejné požadavky na ochranu pro stejné uživatele.

    Máte například jednu sadu zásad, které zahrnují všechny aplikace Microsoftu 365 pro všechny uživatele pro ochranu výchozích bodů. Máte druhou sadu zásad pro všechny citlivé aplikace, jako jsou ty, které používají personální oddělení nebo finanční oddělení, a použijte je u těchto skupin.

Jakmile určíte sadu zásad pro aplikace, které chcete zabezpečit, postupně zaváděte zásady pro uživatele a vyřešte problémy. Příklad:

  1. Nakonfigurujte zásady, které chcete použít pro všechny aplikace Microsoftu 365.
  2. Přidejte jenom Exchange s požadovanými změnami, zaváděním zásad pro uživatele a projděte si případné problémy.
  3. Přidejte Teams s požadovanými změnami, zaváděte zásady pro uživatele a projděte si případné problémy.
  4. Přidejte SharePoint s požadovanými změnami, zaváděte zásady pro uživatele a projděte si případné problémy.
  5. Pokračujte v přidávání zbývajících aplikací, dokud nebudete moct tyto zásady výchozího bodu nakonfigurovat tak, aby zahrnovaly všechny aplikace Microsoftu 365.

Podobně pro citlivé aplikace vytvořte sadu zásad a postupně přidejte jednu aplikaci. Projděte si všechny problémy, dokud nebudou všechny zahrnuty do sady citlivých zásad aplikace.

Microsoft doporučuje nevytvořovat sady zásad, které se vztahují na všechny aplikace, protože to může vést k nějakým nezamýšleným konfiguracím. Například zásady, které blokují všechny aplikace, můžou vaše správce uzamknout z Centra pro správu Microsoft Entra a vyloučení se nedají nakonfigurovat pro důležité koncové body, jako je Microsoft Graph.

Postup konfigurace nulová důvěra (Zero Trust) identity a přístupu k zařízení

Postup konfigurace identity nulová důvěra (Zero Trust) a přístupu k zařízení

  1. Nakonfigurujte funkce požadované identity a jejich nastavení.
  2. Nakonfigurujte běžné zásady podmíněného přístupu a identity.
  3. Nakonfigurujte zásady podmíněného přístupu pro hosta a externí uživatele.
  4. Nakonfigurujte zásady podmíněného přístupu pro cloudové aplikace Microsoft 365, jako jsou Microsoft Teams, Exchange a SharePoint, a zásady Microsoft Defenderu for Cloud Apps.

Po nakonfigurování přístupu k identitě a zařízení nulová důvěra (Zero Trust) najdete v průvodci nasazením funkcí Microsoft Entra postupné kontrolní seznam dalších funkcí, které je potřeba zvážit a zásady správného řízení ID Microsoft Entra pro ochranu, monitorování a audit přístupu.

Další krok

Požadavky na implementaci zásad identit nulová důvěra (Zero Trust) a přístupu zařízení