Konfiguracje tożsamości zerowej zaufania i dostępu do urządzeń
Dzisiejsza siła robocza wymaga dostępu do aplikacji i zasobów, które istnieją poza tradycyjnymi granicami sieci firmowej. Architektury zabezpieczeń oparte na zaporach sieciowych i wirtualnych sieciach prywatnych (VPN) w celu odizolowania i ograniczenia dostępu do zasobów nie są już wystarczające.
Aby rozwiązać ten nowy świat przetwarzania, firma Microsoft zdecydowanie zaleca model zabezpieczeń Zero Trust, który jest oparty na tych wytycznych:
- Sprawdź jawnie: zawsze uwierzytelniaj się i autoryzuj na podstawie wszystkich dostępnych punktów danych. Zasady tożsamości Zero Trust i dostępu do urządzeń mają kluczowe znaczenie dla logowania i ciągłej weryfikacji.
- Użyj dostępu do najniższych uprawnień: ogranicz dostęp użytkowników za pomocą zasad Just In Time i Just-Enough-Access (JIT/JEA), zasad adaptacyjnych opartych na ryzyku i ochrony danych.
- Przyjmij naruszenie: zminimalizuj promień wybuchu i dostęp segmentu. Zweryfikuj kompleksowe szyfrowanie i korzystaj z analizy, aby uzyskać widoczność, zwiększyć wykrywanie zagrożeń i poprawić ochronę.
Oto ogólna architektura modelu Zero Trust:
Zasady dostępu do tożsamości zerowej zaufania i urządzeń dotyczą zasady weryfikowania jawnie wskazówek dla:
- Tożsamości: gdy tożsamość próbuje uzyskać dostęp do zasobu, sprawdź, czy tożsamość z silnym uwierzytelnianiem i upewnij się, że żądany dostęp jest zgodny i typowy.
- Urządzenia (nazywane również punktami końcowymi): Monitorowanie i wymuszanie wymagań dotyczących kondycji i zgodności urządzeń w celu zapewnienia bezpiecznego dostępu.
-
Aplikacje: stosowanie kontrolek i technologii do:
- Upewnij się, że odpowiednie uprawnienia w aplikacji.
- Kontrola dostępu oparta na analizie w czasie rzeczywistym.
- Monitorowanie nietypowego zachowania
- Kontrolowanie akcji użytkownika.
- Zweryfikuj opcje bezpiecznej konfiguracji.
W tej serii artykułów opisano zestaw konfiguracji i zasad dostępu do tożsamości i urządzeń przy użyciu identyfikatora Entra firmy Microsoft, dostępu warunkowego, usługi Microsoft Intune i innych funkcji. Te konfiguracje i zasady zapewniają dostęp zero trust do następujących lokalizacji:
- Platforma Microsoft 365 dla aplikacji i usług w chmurze dla przedsiębiorstw.
- Inne usługi SaaS.
- Aplikacje lokalne publikowane za pomocą aplikacji proxy Microsoft Entra.
Tożsamość zerowa zaufania i ustawienia dostępu do urządzeń oraz zasady są zalecane w trzech warstwach:
- Punkt początkowy.
- Przedsiębiorstwo.
- Wyspecjalizowane zabezpieczenia dla środowisk z wysoce regulowanymi lub niejawnymi danymi.
Te warstwy i odpowiadające im konfiguracje zapewniają spójne poziomy ochrony zero trust w danych, tożsamościach i urządzeniach. Te możliwości i ich zalecenia:
- Są obsługiwane w usługach Microsoft 365 E3 i Microsoft 365 E5.
- Są zgodne z wskaźnikami bezpieczeństwa i wskaźnikami tożsamości firmy Microsoft w identyfikatorze Entra firmy Microsoft. Nasze rekomendacje zwiększają te wyniki dla Twojej organizacji.
- Pomoc w zaimplementowaniu tych pięciu kroków w celu zabezpieczenia infrastruktury tożsamości.
Jeśli twoja organizacja ma unikatowe wymagania lub złożoność, użyj tych zaleceń jako punktu wyjścia. Jednak większość organizacji może zaimplementować te zalecenia zgodnie z wymaganiami.
Obejrzyj ten film wideo, aby uzyskać krótkie omówienie konfiguracji tożsamości i dostępu do urządzeń dla platformy Microsoft 365 dla przedsiębiorstw.
Uwaga
Firma Microsoft sprzedaje również licencje pakietu Enterprise Mobility + Security (EMS) dla subskrypcji usługi Office 365. Możliwości pakietu EMS E3 i EMS E5 są równoważne rozwiązaniom Microsoft 365 E3 i Microsoft 365 E5. Aby uzyskać więcej informacji, zobacz Plany pakietu EMS.
Docelowi odbiorcy
Te zalecenia są przeznaczone dla architektów przedsiębiorstwa i specjalistów IT, którzy znają wydajność chmury i usługi zabezpieczeń platformy Microsoft 365. Te usługi obejmują microsoft Entra ID (tożsamość), Microsoft Intune (zarządzanie urządzeniami) i Microsoft Purview Information Protection (ochrona danych).
Środowisko klienta
Zalecane zasady mają zastosowanie do organizacji korporacyjnych działających w całości w chmurze firmy Microsoft i dla klientów z tożsamością hybrydową. Infrastruktura hybrydowej tożsamości synchronizuje lokalny las Active Directory z Microsoft Entra ID.
Wiele z naszych zaleceń opiera się na usługach, które są dostępne tylko z następującymi licencjami:
- Microsoft 365 E5
- Microsoft 365 E3 z dodatkiem E5 Security
- EMS E5
- Licencje Microsoft Entra ID P2
W przypadku organizacji, które nie mają tych licencji, zalecamy wartości domyślnych zabezpieczeń, która jest dostępna we wszystkich planach platformy Microsoft 365 i jest domyślnie włączona.
Zastrzeżenia
Twoja organizacja może podlegać przepisom lub innym wymaganiom dotyczącym zgodności, w tym konkretnym rekomendacjom, które wymagają zasad, które różnią się od naszych zalecanych konfiguracji. Zalecamy te mechanizmy kontroli, ponieważ uważamy, że stanowią one równowagę między bezpieczeństwem a produktywnością.
Mimo że próbowaliśmy uwzględnić szeroką gamę wymagań dotyczących ochrony organizacji, nie możemy uwzględnić wszystkich możliwych wymagań ani unikatowych elementów organizacji.
Trzy poziomy ochrony
Większość organizacji ma określone wymagania dotyczące zabezpieczeń i ochrony danych. Te wymagania różnią się w zależności od segmentu branżowego i funkcji zadań w organizacjach. Na przykład dział prawny i administratorzy mogą wymagać większej liczby mechanizmów kontroli zabezpieczeń i ochrony informacji dotyczących korespondencji e-mail, które nie są wymagane dla innych jednostek biznesowych.
Każda branża ma również własny zestaw wyspecjalizowanych przepisów. Nie próbujemy podać listy wszystkich możliwych opcji zabezpieczeń ani rekomendacji dla poszczególnych segmentów branżowych lub funkcji zadań. Zamiast tego udostępniamy zalecenia dotyczące trzech poziomów zabezpieczeń i ochrony, które można zastosować w oparciu o stopień szczegółowości Twoich potrzeb.
- Punkt wyjścia: zalecamy, aby wszyscy klienci ustanawiali i używali minimalnego standardu do ochrony danych, a także tożsamości i urządzeń, które uzyskują dostęp do danych. Możesz postępować zgodnie z tymi zaleceniami, aby zapewnić silną ochronę domyślną jako punkt wyjścia dla wszystkich organizacji.
- Przedsiębiorstwo: niektórzy klienci mają podzbiór danych, które muszą być chronione na wyższych poziomach lub wszystkie dane muszą być chronione na wyższym poziomie. Możesz zastosować zwiększoną ochronę do wszystkich lub określonych zestawów danych w środowisku platformy Microsoft 365. Zalecamy ochronę tożsamości i urządzeń, które uzyskują dostęp do poufnych danych o porównywalnym poziomie zabezpieczeń.
- Wyspecjalizowane zabezpieczenia: w razie potrzeby kilku klientów ma niewielką ilość danych, które są wysoce sklasyfikowane, stanowią tajemnice handlowe lub są regulowane. Firma Microsoft oferuje możliwości, aby pomóc tym klientom spełnić te wymagania, w tym dodatkową ochronę tożsamości i urządzeń.
W tych wskazówkach pokazano, jak zaimplementować ochronę zero trust dla tożsamości i urządzeń dla każdego z tych poziomów ochrony. Skorzystaj z tych wskazówek jako minimum dla organizacji i dostosuj zasady, aby spełnić określone wymagania organizacji.
Ważne jest, aby używać spójnych poziomów ochrony w tożsamościach, urządzeniach i danych. Na przykład ochrona użytkowników z kontami priorytetowymi (kierownictwo, liderzy, menedżerowie itp.) powinna obejmować ten sam poziom ochrony tożsamości, urządzeń i danych, do których uzyskują dostęp.
Zobacz również rozwiązanie: Wdrażanie ochrony informacji dla przepisów dotyczących prywatności danych w celu ochrony informacji przechowywanych na platformie Microsoft 365.
Kompromisy w zabezpieczeniach i produktywności
Wdrożenie dowolnej strategii zabezpieczeń wymaga kompromisów między zabezpieczeniami a produktywnością. Warto ocenić, jak każda decyzja wpływa na równowagę z zabezpieczeniami, funkcjami i łatwością użycia.
Podane zalecenia są oparte na następujących zasadach:
- Poznaj użytkowników i bądź elastyczny w zakresie zabezpieczeń i wymagań funkcjonalnych.
- Zastosuj zasady zabezpieczeń just in time i upewnij się, że jest to istotne.
Usługi i pojęcia dotyczące tożsamości Zero Trust i ochrony dostępu do urządzeń
Platforma Microsoft 365 dla przedsiębiorstw jest przeznaczona dla dużych organizacji, aby umożliwić wszystkim bezpieczne tworzenie i pracę ze sobą.
Ta sekcja zawiera omówienie usług i możliwości platformy Microsoft 365, które są ważne dla tożsamości Zero Trust i dostępu do urządzeń.
Microsoft Entra ID
Identyfikator entra firmy Microsoft zapewnia pełny zestaw funkcji zarządzania tożsamościami. Zalecamy korzystanie z tych funkcji w celu zabezpieczenia dostępu.
| Możliwość lub funkcja | opis | Licencjonowanie |
|---|---|---|
| Uwierzytelnianie wieloskładnikowe (MFA) | Uwierzytelnianie wieloskładnikowe wymaga od użytkowników podania dwóch form weryfikacji, takich jak hasło użytkownika oraz powiadomienie z aplikacji Microsoft Authenticator lub połączenie telefoniczne. Uwierzytelnianie wieloskładnikowe znacznie zmniejsza ryzyko użycia skradzionych poświadczeń w celu uzyskania dostępu do środowiska. Platforma Microsoft 365 korzysta z usługi uwierzytelniania wieloskładnikowego firmy Microsoft na potrzeby logowania opartego na usłudze MFA. | Microsoft 365 E3 lub E5 |
| Dostęp warunkowy | Microsoft Entra ID ocenia warunki logowania użytkownika i używa zasad dostępu warunkowego w celu określenia dozwolonego dostępu. Na przykład w tych wskazówkach pokazano, jak utworzyć zasady dostępu warunkowego w celu wymagania zgodności urządzeń w celu uzyskania dostępu do poufnych danych. Ta konfiguracja znacznie zmniejsza ryzyko, że haker z własnym urządzeniem i skradzionymi poświadczeniami może uzyskać dostęp do poufnych danych. Chroni również poufne dane na urządzeniach, ponieważ urządzenia muszą spełniać określone wymagania dotyczące kondycji i zabezpieczeń. | Microsoft 365 E3 lub E5 |
| Grupy entra firmy Microsoft | Zasady dostępu warunkowego, zarządzanie urządzeniami w usłudze Intune, a nawet uprawnienia do plików i witryn w organizacji polegają na przypisaniu do kont użytkowników lub grup Microsoft Entra. Zalecamy utworzenie grup firmy Microsoft Entra odpowiadających zaimplementowanych poziomom ochrony. Na przykład członkowie Twojej kadry kierowniczej są prawdopodobnie cennymi celami dla hakerów. Należy dodać te konta użytkowników do grupy Microsoft Entra i przypisać tę grupę do zasad dostępu warunkowego i innych zasad, które wymuszają wyższy poziom ochrony. | Microsoft 365 E3 lub E5 |
| Rejestrowanie urządzenia | Urządzenie jest rejestrowane w usłudze Microsoft Entra ID w celu utworzenia tożsamości dla urządzenia. Ta tożsamość jest używana do uwierzytelniania urządzenia, gdy użytkownik loguje się i stosuje zasady dostępu warunkowego, które wymagają przyłączonych do domeny lub zgodnych komputerów. Na potrzeby tych wskazówek użyjemy rejestracji urządzeń do automatycznego rejestrowania komputerów z systemem Windows przyłączonych do domeny. Rejestracja urządzeń jest wymaganiem wstępnym do zarządzania urządzeniami w usłudze Intune. | Microsoft 365 E3 lub E5 |
| Ochrona tożsamości Microsoft Entra | Umożliwia wykrywanie potencjalnych luk w zabezpieczeniach wpływających na tożsamości organizacji i konfigurowanie zautomatyzowanych zasad korygowania pod względem ryzyka niskiego, średniego i wysokiego ryzyka związanego z logowaniem oraz ryzyka związanego z użytkownikiem. Te wskazówki opierają się na tej ocenie ryzyka w celu zastosowania zasad dostępu warunkowego na potrzeby uwierzytelniania wieloskładnikowego. Te wskazówki obejmują również zasady dostępu warunkowego, które wymagają od użytkowników zmiany hasła w przypadku wykrycia aktywności wysokiego ryzyka dla konta. | Microsoft 365 E5, Microsoft 365 E3 z dodatkiem E5 Security, licencjami EMS E5 lub Microsoft Entra ID P2 |
| Samoobsługowe resetowanie hasła (SSPR) | Zezwól użytkownikom na bezpieczne resetowanie haseł i bez interwencji pomocy technicznej, zapewniając weryfikację wielu metod uwierzytelniania, które administrator może kontrolować. | Microsoft 365 E3 lub E5 |
| Ochrona haseł w usłudze Microsoft Entra | Wykrywanie i blokowanie znanych słabych haseł, wariantów haseł i innych słabych terminów specyficznych dla organizacji. Domyślne globalne listy zakazanych haseł są automatycznie stosowane do wszystkich użytkowników w organizacji Firmy Microsoft Entra. Można również zdefiniować określone wpisy na niestandardowej liście zakazanych haseł. Gdy użytkownicy zmieniają lub resetują swoje hasła, te listy zakazanych haseł są sprawdzane, aby wymusić użycie silnych haseł. | Microsoft 365 E3 lub E5 |
Poniżej przedstawiono składniki tożsamości Zero Trust i dostępu do urządzeń, w tym obiekty usługi Intune i Microsoft Entra, ustawienia i podusługi.
Microsoft Intune
Usługa Intune to oparta na chmurze usługa zarządzania urządzeniami przenośnymi firmy Microsoft. Te wskazówki zalecają zarządzanie urządzeniami komputerów z systemem Windows za pomocą usługi Intune i zaleca konfiguracje zasad zgodności urządzeń. Usługa Intune określa, czy urządzenia są zgodne i wysyła te dane do firmy Microsoft Entra ID do użycia podczas stosowania zasad dostępu warunkowego.
Ochrona aplikacji usługi Intune
Zasady ochrony aplikacji usługi Intune mogą służyć do ochrony danych organizacji w aplikacjach mobilnych lub bez rejestrowania urządzeń w zarządzaniu. Usługa Intune pomaga chronić informacje przy zachowaniu produktywności użytkowników i zapobieganiu utracie danych. Implementując zasady na poziomie aplikacji, można ograniczyć dostęp do zasobów firmy i zachować dane w obrębie działu IT.
W tych wskazówkach przedstawiono sposób tworzenia zasad w celu wymuszania korzystania z zatwierdzonych aplikacji oraz określania sposobu używania tych aplikacji z danymi biznesowymi.
Microsoft 365
W tych wskazówkach pokazano, jak zaimplementować zestaw zasad w celu ochrony dostępu do usług w chmurze platformy Microsoft 365, takich jak Microsoft Teams, Exchange, SharePoint i OneDrive. Oprócz implementowania tych zasad zalecamy również podniesienie poziomu ochrony organizacji przy użyciu następujących zasobów:
- Konfigurowanie organizacji pod kątem zwiększenia zabezpieczeń
Windows 11 lub Windows 10 z Aplikacje Microsoft 365 dla przedsiębiorstw
System Windows 11 lub Windows 10 z Aplikacje Microsoft 365 dla przedsiębiorstw jest zalecanym środowiskiem klienckim dla komputerów. Zalecamy system Windows 11 lub Windows 10, ponieważ firma Microsoft Entra została zaprojektowana tak, aby zapewnić najładniejsze środowisko zarówno lokalne, jak i microsoft Entra ID. System Windows 11 lub Windows 10 obejmuje również zaawansowane funkcje zabezpieczeń, którymi można zarządzać za pośrednictwem usługi Intune. Aplikacje Microsoft 365 dla przedsiębiorstw zawiera najnowsze wersje aplikacja pakietu Office lications. Te aplikacje korzystają z nowoczesnego uwierzytelniania, które jest bezpieczniejsze i są wymagane w przypadku dostępu warunkowego. Te aplikacje obejmują również ulepszone narzędzia do zapewniania zgodności i zabezpieczeń.
Stosowanie tych funkcji na trzech poziomach ochrony
Poniższa tabela zawiera podsumowanie naszych zaleceń dotyczących korzystania z tych funkcji na trzech poziomach ochrony.
| Mechanizm ochrony | Punkt początkowy | Przedsiębiorstwa | Wyspecjalizowane zabezpieczenia |
|---|---|---|---|
| Wymuszanie uwierzytelniania wieloskładnikowego | Ryzyko związane z logowaniem jest średnie lub wysokie. | Ryzyko logowania jest niskie, średnie lub wysokie. | Wszystkie nowe sesje. |
| Wymuszanie zmiany hasła | W przypadku użytkowników wysokiego ryzyka. | W przypadku użytkowników wysokiego ryzyka. | W przypadku użytkowników wysokiego ryzyka. |
| Wymuszanie ochrony aplikacji usługi Intune | Tak | Tak | Tak |
| Wymuszanie rejestracji w usłudze Intune dla urządzenia należącego do organizacji | Wymagaj zgodnego lub przyłączonego do domeny komputera, ale zezwalaj na użycie telefonów i tabletów należących do użytkowników (BYOD). | Wymagaj zgodnego lub przyłączonego do domeny urządzenia. | Wymagaj zgodnego lub przyłączonego do domeny urządzenia. |
Własność urządzenia
W poprzedniej tabeli przedstawiono trend, który polega na tym, że wiele organizacji wspiera mieszankę urządzeń organizacyjnych i osobistych (BYOD), które uzyskują dostęp do danych firmy. Zasady ochrony aplikacji usługi Intune zapewniają ochronę danych firmy przed eksfiltracją w programie Outlook dla systemów iOS i Android oraz innych aplikacjach mobilnych platformy Microsoft 365 na urządzeniach organizacji i osobistych.
Zalecamy używanie usługi Intune do zarządzania urządzeniami należącymi do organizacji lub że urządzenia są przyłączone do domeny w celu zastosowania dodatkowych zabezpieczeń i kontroli. W zależności od poufności danych, organizacja może nie zezwalać na korzystanie z urządzeń BYOD dla określonych grup użytkowników lub aplikacji.
Wdrażanie i aplikacje
Przed skonfigurowaniem i wdrożeniem konfiguracji tożsamości Zero Trust i dostępu do urządzeń dla zintegrowanych aplikacji firmy Microsoft należy wykonać następujące czynności:
Zdecyduj, czy aplikacje w organizacji mają być chronione.
Przeanalizuj tę listę aplikacji, aby określić zestawy zasad, które zapewniają odpowiednie poziomy ochrony.
Nie zalecamy oddzielnych zestawów zasad dla każdej aplikacji, ponieważ zarządzanie oddzielnymi zasadami może stać się kłopotliwe. Zamiast tego zalecamy grupowanie aplikacji z tymi samymi wymaganiami dotyczącymi ochrony dla tych samych użytkowników.
Na przykład zacznij od jednego zestawu zasad, które obejmują wszystkie aplikacje platformy Microsoft 365 dla wszystkich użytkowników. Użyj innego, bardziej restrykcyjnego zestawu zasad dla wszystkich poufnych aplikacji (na przykład aplikacji używanych przez działy kadr lub działu finansowego) i zastosuj te restrykcyjne zasady do dotkniętych grup.
Po określeniu zestawu zasad dla aplikacji, które chcesz zabezpieczyć, przyrostowe wdrażanie zasad dla użytkowników, rozwiązywanie problemów po drodze. Na przykład:
- Skonfiguruj zasady, które mają być używane dla wszystkich aplikacji platformy Microsoft 365.
- Dodaj Exchange z wymaganymi zmianami, wprowadź zasady dla użytkowników i rozwiąż wszelkie problemy.
- Dodaj aplikację Teams z wymaganymi zmianami, wprowadź zasady dla użytkowników i przejmij wszelkie problemy.
- Dodaj program SharePoint ze swoimi wymaganymi zmianami, wprowadź zasady dla użytkowników i przejmij wszelkie problemy.
- Kontynuuj dodawanie aplikacji, dopóki nie będzie można bezpiecznie skonfigurować tych zasad punktu początkowego, aby uwzględnić wszystkie aplikacje platformy Microsoft 365.
Podobnie utwórz zestaw zasad dla poufnych aplikacji, dodając jedną aplikację naraz. Przepracuj wszelkie problemy, dopóki nie zostaną uwzględnione w poufnym zestawie zasad aplikacji.
Firma Microsoft zaleca, aby nie tworzyć zestawów zasad, które mają zastosowanie do wszystkich aplikacji, ponieważ może to spowodować niezamierzone konfiguracje. Na przykład zasady, które blokują wszystkie aplikacje, mogą blokować administratorów z centrum administracyjnego firmy Microsoft Entra i wykluczenia, nie można skonfigurować dla ważnych punktów końcowych, takich jak program Microsoft Graph.
Kroki konfigurowania tożsamości zerowej zaufania i dostępu do urządzeń
- Konfigurowanie wstępnie wymaganych funkcji i ustawień tożsamości.
- Skonfiguruj wspólną tożsamość i zasady dostępu warunkowego.
- Skonfiguruj zasady dostępu warunkowego na potrzeby dostępu gościa.
- Skonfiguruj zasady dostępu warunkowego dla aplikacji w chmurze platformy Microsoft 365 (na przykład Microsoft Teams, Exchange i SharePoint) oraz skonfiguruj zasady usługi Microsoft Defender for Cloud Apps.
Po skonfigurowaniu tożsamości i dostępu do urządzeń w modelu Zero Trust zobacz przewodnik wdrażania funkcji Microsoft Entra, aby zapoznać się z listą innych funkcji do rozważenia, oraz Zarządzanie tożsamościami Microsoft Entra ID w celu ochrony, monitorowania i inspekcji dostępu.
Następny krok
Wymagania wstępne dotyczące implementowania zasad dostępu do tożsamości zerowej zaufania i urządzeń