Požadavky na implementaci zásad identit nulová důvěra (Zero Trust) a přístupu zařízení
Tento článek popisuje požadavky, které musí správci splnit, aby mohli používat doporučené zásady nulová důvěra (Zero Trust) identit a přístupu zařízení a používat podmíněný přístup. Probírá také doporučené výchozí hodnoty pro konfiguraci klientských platforem pro nejlepší jednotné přihlašování (SSO).
Požadavky
Než začnete používat doporučené zásady přístupu k identitě a zařízení nulová důvěra (Zero Trust), musí vaše organizace splnit požadavky. Požadavky se liší pro různé uvedené modely identit a ověřování:
- Výhradně cloudový
- Hybridní s ověřováním PHS (Password Hash Sync)
- Hybridní s předávacím ověřováním (PTA)
- Federovaní
Následující tabulka obsahuje podrobnosti o požadovaných funkcích a jejich konfiguraci, které platí pro všechny modely identit, s výjimkou případů, kdy je uvedeno.
| Konfigurace | Výjimky | Licencování |
|---|---|---|
| Konfigurace synchronizace hodnot hash hesel (PHS). Tato funkce musí být povolená, aby detekovala uniklé přihlašovací údaje a aby na ně fungovala s podmíněným přístupem založeným na riziku. Tato konfigurace se vyžaduje bez ohledu na to, jestli vaše organizace používá federované ověřování. | Výhradně cloudový | Microsoft 365 E3 nebo E5 |
| Povolte bezproblémové jednotné přihlašování , aby se uživatelé automaticky přihlásili, když jsou na zařízeních organizace připojených k síti vaší organizace. | Pouze cloud a federovaný | Microsoft 365 E3 nebo E5 |
| Konfigurace síťových umístění. Microsoft Entra ID Protection shromažďuje a analyzuje všechna dostupná data relací za účelem vygenerování rizikového skóre. Doporučujeme zadat rozsahy veřejných IP adres vaší organizace pro vaši síť v konfiguraci pojmenovaných umístění Microsoft Entra ID. Provoz přicházející z těchto rozsahů má nižší skóre rizika a provoz mimo prostředí organizace má vyšší skóre rizika. | Microsoft 365 E3 nebo E5 | |
| Zaregistrujte všechny uživatele pro samoobslužné resetování hesla (SSPR) a vícefaktorové ověřování (MFA). Doporučujeme, abyste tento krok provedli předem. Microsoft Entra ID Protection používá vícefaktorové ověřování Microsoft Entra pro přidání ověření zabezpečení. Pro co nejlepší možnosti přihlašování doporučujeme používat aplikaci Microsoft Authenticator a aplikaci Portál společnosti Microsoft na zařízeních. Uživatelé si tyto aplikace můžou nainstalovat z App Storu pro svou platformu zařízení. | Microsoft 365 E3 nebo E5 | |
| Naplánujte implementaci hybridního připojení Microsoft Entra. Podmíněný přístup zajišťuje, že zařízení připojující se k aplikacím jsou připojená k doméně nebo dodržují předpisy. Aby bylo možné tento požadavek podporovat na počítačích s Windows, musí být zařízení zaregistrované v Microsoft Entra ID. Tento článek popisuje, jak nakonfigurovat automatickou registraci zařízení. | Výhradně cloudový | Microsoft 365 E3 nebo E5 |
| Připravte tým podpory. Máte plán pro uživatele, kteří nemůžou provádět vícefaktorové ověřování. Můžete je například přidat do skupiny vyloučení zásad nebo pro ně zaregistrovat nové informace o vícefaktorovém ověřování. Pokud provedete výjimky citlivé na zabezpečení, ověřte, že uživatel žádost skutečně provádí. Efektivním krokem je vyžadování správců, aby pomohli se schválením uživatelů. | Microsoft 365 E3 nebo E5 | |
| Konfigurace zpětného zápisu hesla do místní služby Active Directory. Zpětný zápis hesla umožňuje microsoftu Entra ID vyžadovat, aby uživatelé při zjištění ohrožení zabezpečení účtu s vysokým rizikem změnili svá místní hesla. Tuto funkci můžete povolit pomocí nástroje Microsoft Entra Connect jedním ze dvou způsobů: buď povolte zpětný zápis hesla na obrazovce volitelných funkcí instalace microsoft Entra Connect, nebo ji povolte přes Windows PowerShell. | Výhradně cloudový | Microsoft 365 E3 nebo E5 |
| Nakonfigurujte ochranu heslem Microsoft Entra. Microsoft Entra Password Protection detekuje a blokuje známá slabá hesla a jejich varianty a může také blokovat další slabé termíny, které jsou specifické pro vaši organizaci. Výchozí globální seznamy zakázaných hesel se automaticky použijí pro všechny uživatele v organizaci Microsoft Entra. V seznamu zakázaných hesel můžete definovat další položky. Když uživatelé změní nebo resetují svá hesla, zkontrolují se tyto seznamy zakázaných hesel, aby bylo možné vynutit použití silných hesel. | Microsoft 365 E3 nebo E5 | |
| Povolte microsoft Entra ID Protection. Microsoft Entra ID Protection umožňuje detekovat potenciální ohrožení zabezpečení ovlivňující identity vaší organizace a nakonfigurovat zásady automatizované nápravy na nízké, střední a vysoké riziko přihlašování a rizika uživatelů. | Microsoft 365 E5 nebo Microsoft 365 E3 s doplňkem E5 Security | |
| Povolte průběžné vyhodnocování přístupu pro Microsoft Entra ID. Průběžné vyhodnocování přístupu aktivně ukončí aktivní uživatelské relace a vynucuje změny zásad organizace téměř v reálném čase. | Microsoft 365 E3 nebo E5 |
Doporučené konfigurace klientů
Tato část popisuje doporučené výchozí konfigurace klienta platformy pro nejlepší prostředí jednotného přihlašování a technické požadavky na podmíněný přístup.
Zařízení Windows
Doporučujeme Windows 11 nebo Windows 10 (verze 2004 nebo novější), protože Azure je navržený tak, aby poskytoval co nejhladší možnosti jednotného přihlašování pro místní i Microsoft Entra ID. Zařízení vystavená organizacím by měla být nakonfigurovaná pomocí některé z následujících možností:
- Připojte se přímo k Microsoft Entra ID.
- Konfigurujte místní zařízení připojená k doméně služby Active Directory tak, aby se automaticky a bezobslužně registrovala s Microsoft Entra ID.
Pro osobní zařízení s Windows (přineste si vlastní zařízení nebo BYOD) můžou uživatelé používat Přidat pracovní nebo školní účet. Uživatelé Google Chrome na zařízeních s Windows 11 nebo Windows 10 musí nainstalovat rozšíření, aby se získalo stejné bezproblémové přihlašování jako uživatelé Microsoft Edge. Pokud má vaše organizace zařízení s Windows 8 nebo 8.1 připojená k doméně, můžete nainstalovat Microsoft Workplace Join pro počítače s jiným systémem než Windows 10. Stáhněte balíček a zaregistrujte zařízení pomocí Microsoft Entra ID.
Zařízení iOS
Před nasazením zásad podmíněného přístupu nebo vícefaktorového ověřování doporučujeme nainstalovat aplikaci Microsoft Authenticator na uživatelská zařízení. Pokud ji nemůžete, nainstalujte aplikaci v následujících scénářích:
- Když se uživatelům zobrazí výzva k registraci zařízení v Microsoft Entra ID přidáním pracovního nebo školního účtu.
- Když si uživatelé nainstalují aplikaci Portál společnosti Intune, aby svoje zařízení zaregistrovali do správy.
Požadavek závisí na nakonfigurovaných zásadách podmíněného přístupu.
Zařízení Android
Doporučujeme uživatelům nainstalovat aplikaci Portál společnosti Intune a aplikaci Microsoft Authenticator před nasazením zásad podmíněného přístupu nebo během konkrétních pokusů o ověření. Po instalaci aplikace se může uživatelům v závislosti na nakonfigurovaných zásadách podmíněného přístupu zobrazit výzva k registraci v Microsoft Entra ID nebo registraci zařízení v Intune.
Doporučujeme také, aby zařízení, která mají organizace, podporovala Android for Work nebo Samsung Knox, aby umožňovala správu a ochranu poštovních účtů pomocí zásad správy mobilních zařízení (MDM) Intune.
Doporučené e-mailové klienty
E-mailové klienty v následující tabulce podporují moderní ověřování a podmíněný přístup:
| Platforma | Klient | Verze/poznámky |
|---|---|---|
| Windows | Outlook | 2016 nebo novější Požadované aktualizace |
| iOS | Outlook pro iOS | Nejnovější |
| Android | Outlook pro Android | Nejnovější |
| macOS | Outlook | 2016 nebo novější |
| Linux | Nepodporováno |
Doporučené klientské platformy při zabezpečení dokumentů
Doporučujeme e-mailové klienty uvedené v následující tabulce, když jsou uplatněny zásady zabezpečených dokumentů.
| Platforma | Word, Excel nebo PowerPoint | OneNote | Aplikace OneDrive | Aplikace SharePoint | klient synchronizační aplikace OneDrivu |
|---|---|---|---|---|---|
| Windows 11 nebo Windows 10 | Podporováno | Podporováno | – | – | Podporováno |
| Windows 8.1 | Podporováno | Podporováno | – | – | Podporováno |
| Android | Podporováno | Podporováno | Podporováno | Podporováno | – |
| iOS | Podporováno | Podporováno | Podporováno | Podporováno | – |
| macOS | Podporováno | Podporováno | – | – | Nepodporováno |
| Linux | Nepodporováno | Nepodporováno | Nepodporováno | Nepodporováno | Nepodporováno |
Podpora klientů Microsoftu 365
Další informace o podpoře klientů v Microsoftu 365 najdete v tématu Nasazení infrastruktury identit pro Microsoft 365.
Ochrana účtů správce
Pro Microsoft 365 E3 nebo E5 nebo s samostatnými licencemi Microsoft Entra ID P1 nebo P2 můžete pro účty správců s ručně vytvořenými zásadami podmíněného přístupu vyžadovat vícefaktorové ověřování odolné proti útokům phishing. Další informace najdete v tématu Podmíněný přístup: Vyžadování vícefaktorového ověřování odolného proti útokům phishing pro správce.
U edic Microsoft 365 nebo Office 365, které nepodporují podmíněný přístup, můžete povolit výchozí nastavení zabezpečení vyžadovat vícefaktorové ověřování pro všechny účty.
Tady je několik dalších doporučení:
- Ke snížení počtu trvalých účtů pro správu použijte Microsoft Entra Privileged Identity Management .
- Pomocí privileged access management chránit vaši organizaci před porušením zabezpečení, které můžou používat stávající účty privilegovaných správců s trvalým přístupem k citlivým datům nebo přístup k důležitým nastavením konfigurace.
- Vytvořte a používejte samostatné účty, které mají přiřazené rolesprávce Microsoftu 365 jenom pro správu. Správci by měli mít vlastní uživatelský účet pro běžné použití. Administrativní účet by měli používat pouze tehdy, když je to nezbytné k dokončení úkolu souvisejícího s jejich rolí nebo pracovní funkcí.
- Dodržujte osvědčené postupy pro zabezpečení privilegovaných účtů v Microsoft Entra ID.
Další krok
Konfigurace běžných zásad identit nulová důvěra (Zero Trust) a přístupu zařízení