Typowe zasady zabezpieczeń dla organizacji platformy Microsoft 365
Organizacje mają wiele do zmartwień podczas wdrażania platformy Microsoft 365 dla swojej organizacji. Zasady dostępu warunkowego, ochrony aplikacji i zgodności urządzeń, do których odwołuje się ten artykuł, są oparte na zaleceniach firmy Microsoft i trzech wytycznych dotyczących modelu Zero Trust:
- Jawną weryfikację
- Użyj najniższych uprawnień
- Zakładanie naruszeń zabezpieczeń
Organizacje mogą przyjąć te zasady zgodnie z potrzebami lub dostosować je do swoich potrzeb. Jeśli to możliwe, przetestuj zasady w środowisku nieprodukcyjnym przed ich wdrożeniem do użytkowników produkcyjnych. Testowanie ma kluczowe znaczenie dla identyfikowania i przekazywania wszelkich możliwych efektów użytkownikom.
Te zasady są grupowane na trzy poziomy ochrony w zależności od tego, gdzie jesteś w podróży do wdrożenia:
- Punkt wyjścia — podstawowe mechanizmy kontroli, które wprowadzają uwierzytelnianie wieloskładnikowe, bezpieczne zmiany haseł i zasady ochrony aplikacji.
- Enterprise — ulepszone mechanizmy kontroli, które wprowadzają zgodność urządzeń.
- Wyspecjalizowane zabezpieczenia — zasady wymagające uwierzytelniania wieloskładnikowego za każdym razem dla określonych zestawów danych lub użytkowników.
Na poniższym diagramie przedstawiono poziomy ochrony, do których mają zastosowanie poszczególne zasady, oraz typy urządzeń, do których mają zastosowanie zasady:
Ten diagram można pobrać jako plik PDF .
Napiwek
Zalecamy wymaganie uwierzytelniania wieloskładnikowego (MFA) dla użytkowników przed zarejestrowaniem urządzeń w usłudze Intune, aby upewnić się, że urządzenie znajduje się w posiadaniu zamierzonego użytkownika. Uwierzytelnianie wieloskładnikowe jest domyślnie włączone z powodu domyślnych ustawień zabezpieczeń lub można użyć zasad dostępu warunkowego, aby wymagać uwierzytelniania wieloskładnikowego dla wszystkich użytkowników.
Aby można było wymusić zasady zgodności urządzeń, należy zarejestrować je w usłudze Intune.
Wymagania wstępne
Uprawnienia
Wymagane są następujące uprawnienia w usłudze Microsoft Entra:
- Zarządzanie zasadami dostępu warunkowego: rola administratora dostępu warunkowego.
- Zarządzanie zasadami ochrony aplikacji i zgodności urządzeń: rola administratora Intune.
- Wyświetl tylko konfiguracje: Rola Czytelnika zabezpieczeń.
Aby uzyskać więcej informacji na temat ról i uprawnień w usłudze Microsoft Entra, zobacz artykuł na temat wbudowanych ról w Microsoft Entra.
Rejestracja użytkownika
Upewnij się, że użytkownicy rejestrują się na potrzeby uwierzytelniania wieloskładnikowego, zanim będzie to wymagane. Jeśli twoje licencje obejmują microsoft Entra ID P2, możesz użyć zasad rejestracji usługi MFA w usłudze Microsoft Entra ID Protection, aby wymagać od użytkowników rejestracji. Udostępniamy szablony komunikacji , które można pobrać i dostosować w celu podwyższenia poziomu rejestracji użytkowników.
Grupy
Wszystkie grupy Microsoft Entra używane w ramach tych zaleceń muszą być grupami Microsoft 365, a nie grupami zabezpieczeń. To wymaganie jest ważne w przypadku wdrażania etykiet poufności w celu zabezpieczenia dokumentów w usłudze Microsoft Teams i programie SharePoint. Aby uzyskać więcej informacji, zobacz Dowiedz się więcej o grupach i prawach dostępu w usłudze Microsoft Entra ID.
Przypisywanie zasad
Zasady dostępu warunkowego można przypisywać do ról użytkowników, grup i administratorów. Możesz przypisać ochronę aplikacji usługi Intune i zasady zgodności urządzeń tylko do grup . Przed skonfigurowaniem zasad określ, kto powinien zostać uwzględniony i wykluczony. Zazwyczaj zasady dotyczące poziomu ochrony punktu początkowego mają zastosowanie do wszystkich osób w organizacji.
W poniższej tabeli opisano przykładowe przypisania i wykluczenia grup dla uwierzytelniania wieloskładnikowego po zakończeniu rejestracji użytkowników:
| Zasady dostępu warunkowego firmy Microsoft Entra | Uwzględnia | Wyklucza | |
|---|---|---|---|
| Punkt początkowy | Wymaganie uwierzytelniania wieloskładnikowego dla ryzyka średniego lub wysokiego logowania | Wszyscy użytkownicy |
|
| Przedsiębiorstwo | Wymaganie uwierzytelniania wieloskładnikowego dla ryzyka niskiego, średniego lub wysokiego poziomu logowania | Grupa kadry kierowniczej |
|
| Wyspecjalizowane zabezpieczenia | Wymagaj uwierzytelniania wieloskładnikowego zawsze | Top Secret Project Buckeye group (Top Secret Project Buckeye) |
|
Napiwek
Należy zachować ostrożność podczas stosowania wyższego poziomu ochrony dla użytkowników i grup. Celem zabezpieczeń nie jest dodanie niepotrzebnych problemów do środowiska użytkownika. Na przykład członkowie grupy Top Secret Project Buckeye muszą używać uwierzytelniania wieloskładnikowego za każdym razem, gdy logują się, nawet jeśli nie pracują nad wyspecjalizowaną zawartością dla projektu. Nadmierne tarcie bezpieczeństwa może prowadzić do zmęczenia. Włącz metody uwierzytelniania odporne na wyłudzanie informacji (na przykład Windows Hello for Business lub klucze zabezpieczeń FIDO2), aby zmniejszyć tarcie spowodowane mechanizmami kontroli zabezpieczeń.
Konta dostępu awaryjnego
Wszystkie organizacje powinny mieć co najmniej jedno konto dostępu awaryjnego, które jest monitorowane pod kątem użycia i wykluczone z zasad (oraz prawdopodobnie więcej, w zależności od rozmiaru organizacji). Te konta są używane tylko w przypadku, gdy wszystkie inne konta administratora i metody uwierzytelniania staną się zablokowane lub w inny sposób niedostępne. Aby uzyskać więcej informacji, zobacz Zarządzanie kontami dostępu awaryjnego w Microsoft Entra ID.
Wykluczenia
Zalecaną praktyką jest utworzenie grupy Microsoft Entra na potrzeby wykluczeń dostępu warunkowego. Ta grupa umożliwia zapewnienie dostępu użytkownikowi podczas rozwiązywania problemów z dostępem.
Ostrzeżenie
Zalecamy grupę wykluczającą tylko jako rozwiązanie tymczasowe. Należy stale monitorować tę grupę pod kątem zmian i sprawdzić, czy grupa jest używana tylko do zamierzonego celu.
Wykonaj poniższe kroki, aby dodać grupę wykluczeń do dowolnych istniejących polityk. Jak opisano wcześniej, potrzebujesz uprawnień administratora dostępu warunkowego.
W centrum administracyjnym Microsoft Entra w witrynie https://entra.microsoft.comprzejdź do Ochrona>Zasady dostępu warunkowego>. Możesz też przejść bezpośrednio do strony Dostęp warunkowy | Polityki, używając https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policies/fromNav/Identity.
Na stronie Dostęp Warunkowy | Polityki, wybierz istniejącą politykę, klikając nazwę.
Na stronie szczegółów zasad, która zostanie otwarta, wybierz link Użytkownicy w sekcji Przypisania.
W otwartej kontrolce wybierz kartę Wyklucz, a następnie wybierz Użytkownicy i Grupy .
W wysuwanym oknie Wybierz wykluczonych użytkowników i grupy, które zostanie otwarte, znajdź i wybierz następujące tożsamości:
- Użytkownicy: konta dostępu awaryjnego.
- Grupy: Grupa wykluczeń dostępu warunkowego
Kiedy skończysz pracować z wysuwaną listą Wybierz wykluczonych użytkowników i grupy, wybierz Wybierz
Wdrożenie
Zalecamy zaimplementowanie zasad punktu początkowego w kolejności wymienionej w poniższej tabeli. Zasady uwierzytelniania wieloskładnikowego można zaimplementować dla przedsiębiorstwa i wyspecjalizowanych poziomów zabezpieczeń ochrony w dowolnym momencie.
Punkt początkowy
| Zasady | Więcej informacji | Licencjonowanie |
|---|---|---|
| Wymagaj uwierzytelniania wieloskładnikowego, gdy ryzyko logowania jest średnie lub wysokie | Wymagaj uwierzytelniania wieloskładnikowego tylko wtedy, gdy ryzyko jest wykrywane przez usługę Microsoft Entra ID Protection. | Microsoft 365 E5 lub Microsoft 365 E3 z dodatkiem E5 Security |
| Blokuj klientów, którzy nie obsługują nowoczesnego uwierzytelniania | Klienci, którzy nie korzystają z nowoczesnego uwierzytelniania, mogą pominąć zasady dostępu warunkowego, dlatego ważne jest, aby je zablokować. | Microsoft 365 E3 lub E5 |
| Użytkownicy wysokiego ryzyka muszą zmieniać hasło | Wymusza na użytkownikach zmianę hasła podczas logowania się w przypadku wykrycia aktywności wysokiego ryzyka dla konta. | Microsoft 365 E5 lub Microsoft 365 E3 z dodatkiem E5 Security |
| Stosowanie zasad ochrony aplikacji na potrzeby ochrony danych | Jedna zasada ochrony aplikacji usługi Intune na platformę (Windows, iOS/iPadOS i Android). | Microsoft 365 E3 lub E5 |
| Wymaganie zatwierdzonych aplikacji i zasad ochrony aplikacji | Wymusza zasady ochrony aplikacji dla telefonów i tabletów przy użyciu systemów iOS, iPadOS lub Android. | Microsoft 365 E3 lub E5 |
Przedsiębiorstwa
| Zasady | Więcej informacji | Licencjonowanie |
|---|---|---|
| Wymagaj uwierzytelniania wieloskładnikowego, gdy ryzyko logowania jest niskie, średnie lub wysokie | Wymagaj uwierzytelniania wieloskładnikowego tylko wtedy, gdy ryzyko jest wykrywane przez usługę Microsoft Entra ID Protection. | Microsoft 365 E5 lub Microsoft 365 E3 z dodatkiem E5 Security |
| Definiowanie zasad zgodności urządzeń | Ustaw minimalne wymagania dotyczące konfiguracji. Jedna zasada dla każdej platformy. | Microsoft 365 E3 lub E5 |
| Wymaganie zgodnych komputerów i urządzeń przenośnych | Wymusza wymagania konfiguracyjne dotyczące urządzeń, które uzyskują dostęp do organizacji | Microsoft 365 E3 lub E5 |
Wyspecjalizowane zabezpieczenia
| Zasady | Więcej informacji | Licencjonowanie |
|---|---|---|
| Zawsze wymagaj uwierzytelniania wieloskładnikowego | Użytkownicy muszą wykonać uwierzytelnianie wieloskładnikowe w dowolnym momencie logowania się do usług w organizacji. | Microsoft 365 E3 lub E5 |
zasady Ochrona aplikacji
Zasady ochrony aplikacji określają dozwolone aplikacje i działania, które mogą podejmować dotyczące danych organizacji. Chociaż istnieje wiele zasad do wyboru, poniższa lista zawiera opis naszych zalecanych punktów odniesienia.
Napiwek
Mimo że udostępniamy trzy szablony, większość organizacji powinna wybrać poziom 2 (mapy do punktu początkowego lub zabezpieczeń na poziomie przedsiębiorstwa) i poziom 3 (mapy do wyspecjalizowanych zabezpieczeń).
poziom 1 — podstawowa ochrona danych przedsiębiorstwa: zalecamy tę konfigurację jako minimalną ochronę danych dla urządzeń przedsiębiorstwa.
poziom 2 — rozszerzona ochrona danych w przedsiębiorstwie: zalecamy tę konfigurację dla urządzeń, które uzyskują dostęp do poufnych danych lub informacji poufnych. Ta konfiguracja dotyczy większości użytkowników mobilnych, którzy uzyskują dostęp do danych służbowych. Niektóre kontrolki mogą mieć wpływ na środowisko użytkownika.
poziom 3 — wysoka ochrona danych w przedsiębiorstwie: W następujących scenariuszach zalecamy wykonanie tej konfiguracji:
- Organizacje z większymi lub bardziej zaawansowanymi zespołami ds. zabezpieczeń.
- Urządzenia używane przez określonych użytkowników lub grupy, które są wyjątkowo narażone na wysokie ryzyko. Na przykład użytkownicy, którzy obsługują wysoce poufne dane, w przypadku których nieautoryzowane ujawnienie spowodowałoby znaczną utratę organizacji
Organizacje, które prawdopodobnie są celem dobrze finansowanych i zaawansowanych atakujących, powinny dążyć do tej konfiguracji.
Tworzenie zasad ochrony aplikacji
Utwórz nowe zasady ochrony aplikacji dla każdej platformy urządzeń w usłudze Microsoft Intune (iOS/iPadOS i Android) przy użyciu ustawień platformy ochrony danych, wykonując następujące czynności:
- Ręcznie utwórz zasady, wykonując kroki opisane w temacie Jak utworzyć i wdrożyć zasady ochrony aplikacji w usłudze Microsoft Intune.
- Zaimportuj przykładowe szablony JSON struktury konfiguracji zasad ochrony aplikacji usługi Intune za pomocą skryptów programu PowerShell usługi Intune.
Zasady zgodności urządzeń
Zasady zgodności urządzeń w usłudze Intune definiują wymagania dotyczące urządzeń w celu zapewnienia zgodności. Należy utworzyć zasady dla każdego komputera, telefonu lub platformy tabletu. W tym artykule opisano zalecenia dotyczące następujących platform:
Tworzenie zasad zgodności urządzeń
Aby utworzyć zasady zgodności urządzeń, wykonaj następujące czynności:
- W centrum administracyjnym usługi Microsoft Intune w witrynie https://endpoint.microsoft.comprzejdź do karty Zarządzanie urządzeniami>Zgodności>Zasadami. Możesz też przejść bezpośrednio do karty ZasadyUrządzenia | Strona zgodności użyj https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/compliance.
- Na karcie Zasady urządzeń | Strona zgodności wybierz pozycję Utwórz zasady.
Aby uzyskać szczegółowe wskazówki, zobacz Tworzenie zasad zgodności w usłudze Microsoft Intune.
Ustawienia rejestracji i zgodności dla systemu iOS/iPadOS
System iOS/iPadOS obsługuje kilka scenariuszy rejestracji, z których dwa są objęte tą strukturą:
- Rejestrowanie urządzeń należących do użytkownika dla celów osobistych: Urządzenia należące do użytkownika (nazywane również urządzeniami BYOD), które są również używane do pracy.
- automatyczne rejestrowanie urządzeń należących do firmy: urządzenia należące do organizacji skojarzone z jednym użytkownikiem i są używane wyłącznie do pracy.
Napiwek
Jak opisano wcześniej, poziom 2 jest mapowany na punktu początkowego lub zabezpieczenia na poziomie przedsiębiorstwa, a poziom 3 jest mapowany na wyspecjalizowane zabezpieczenia. Aby uzyskać więcej informacji, zobacz konfiguracje dostępu do tożsamości i urządzeń w modelu Zero Trust.
Ustawienia zgodności dla urządzeń zarejestrowanych osobiście
- Osobiste podstawowe zabezpieczenia (poziom 1): zalecamy tę konfigurację jako minimalne zabezpieczenia urządzeń osobistych, które uzyskują dostęp do danych służbowych. Tę konfigurację można osiągnąć, wymuszając zasady haseł, charakterystykę blokady urządzenia i wyłączając niektóre funkcje urządzenia (na przykład niezaufane certyfikaty).
- Osobiste zwiększone zabezpieczenia (poziom 2): Zalecamy tę konfigurację dla urządzeń, które uzyskują dostęp do poufnych danych lub informacji poufnych. Ta konfiguracja umożliwia sterowanie udostępnianiem danych. Ta konfiguracja dotyczy większości użytkowników mobilnych, którzy uzyskują dostęp do danych służbowych.
- Osobiste wysoki poziom zabezpieczeń (poziom 3): zalecamy tę konfigurację dla urządzeń używanych przez określonych użytkowników lub grup, które są narażone na wyjątkowo wysokie ryzyko. Na przykład użytkownicy, którzy obsługują wysoce poufne dane, w przypadku których nieautoryzowane ujawnienie spowodowałoby znaczną utratę organizacji. Ta konfiguracja umożliwia silniejsze zasady haseł, wyłącza niektóre funkcje urządzenia i wymusza dodatkowe ograniczenia transferu danych.
Ustawienia zgodności dla automatycznej rejestracji urządzeń
- Nadzorowane podstawowe zabezpieczenia (poziom 1): Zalecamy tę konfigurację jako minimalne zabezpieczenia dla urządzeń przedsiębiorstwa, które uzyskują dostęp do danych służbowych. Tę konfigurację można osiągnąć, wymuszając zasady haseł, charakterystykę blokady urządzenia i wyłączając niektóre funkcje urządzenia (na przykład niezaufane certyfikaty).
- Nadzorowane rozszerzone zabezpieczenia (poziom 2): zalecamy tę konfigurację dla urządzeń, które uzyskują dostęp do poufnych danych lub informacji poufnych. Ta konfiguracja umożliwia sterowanie udostępnianiem danych i blokowanie dostępu do urządzeń USB. Ta konfiguracja ma zastosowanie do większości użytkowników mobilnych, którzy uzyskują dostęp do danych służbowych na urządzeniu.
- Nadzorowany poziom wysokiego bezpieczeństwa (poziom 3): zalecamy tę konfigurację dla urządzeń używanych przez określonych użytkowników albo grup, które są narażone na wyjątkowo wysokie ryzyko. Na przykład użytkownicy, którzy obsługują wysoce poufne dane, w przypadku których nieautoryzowane ujawnienie spowodowałoby znaczną utratę organizacji. Ta konfiguracja umożliwia silniejsze zasady haseł, wyłącza niektóre funkcje urządzeń, wymusza dodatkowe ograniczenia transferu danych i wymaga zainstalowania aplikacji za pośrednictwem programu zakupów zbiorczych firmy Apple.
Ustawienia rejestracji i zgodności dla systemu Android
System Android Enterprise obsługuje kilka scenariuszy rejestracji, z których dwa są objęte tą strukturą:
- profil służbowy Android Enterprise: urządzenia należące do użytkownika (znane również jako przynieś swoje własne urządzenie lub BYOD), które są także używane służbowo. Zasady kontrolowane przez dział IT zapewniają, że nie można przenieść danych służbowych do profilu osobistego.
- w pełni zarządzane urządzenia z systemem Android Enterprise: urządzenia należące do organizacji skojarzone z jednym użytkownikiem i są używane wyłącznie do pracy.
Struktura konfiguracji zabezpieczeń systemu Android Enterprise jest zorganizowana w kilka odrębnych scenariuszy konfiguracji, które zawierają wskazówki dotyczące profilów służbowych i w pełni zarządzanych scenariuszy.
Napiwek
Jak opisano wcześniej, poziom 2 jest mapowany na punktu początkowego lub zabezpieczenia na poziomie przedsiębiorstwa, a poziom 3 jest mapowany na wyspecjalizowane zabezpieczenia. Aby uzyskać więcej informacji, zobacz konfiguracje dostępu tożsamości i urządzeń w modelu Zero Trust.
Ustawienia zgodności dla urządzeń z profilem służbowym systemu Android Enterprise
- Nie ma podstawowej oferty zabezpieczeń (poziom 1) dla urządzeń z profilem służbowym należącym do użytkownika. Dostępne ustawienia nie uzasadniają różnicy między poziomem 1 i poziomem 2.
- Zwiększone zabezpieczenia profilu służbowego (poziom 2): Zalecamy stosowanie tej konfiguracji jako minimalnych zalecanych zabezpieczeń dla urządzeń osobistych, które uzyskują dostęp do danych służbowych. Ta konfiguracja wprowadza wymagania dotyczące haseł, oddziela dane służbowe i osobowe oraz weryfikuje zaświadczania urządzeń z systemem Android.
- wysoki poziom zabezpieczeń profilu służbowego (poziom 3): zalecamy tę konfigurację dla urządzeń używanych przez określonych użytkowników lub grup, które są narażone na wyjątkowo wysokie ryzyko. Na przykład użytkownicy, którzy obsługują wysoce poufne dane, w przypadku których nieautoryzowane ujawnienie spowodowałoby znaczną utratę organizacji. Ta konfiguracja wprowadza usługę Mobile Threat Defense lub Microsoft Defender dla punktu końcowego, ustawia minimalną wersję systemu Android, włącza silniejsze zasady haseł i dodatkowo oddziela dane służbowe i osobowe.
Ustawienia zgodności dla w pełni zarządzanych urządzeń z systemem Android Enterprise
- w pełni zarządzane podstawowe zabezpieczenia (poziom 1): zalecamy tę konfigurację jako minimalne zabezpieczenia dla urządzenia przedsiębiorstwa. Ta konfiguracja ma zastosowanie do większości użytkowników mobilnych, którzy korzystają z danych w pracy lub szkole. Ta konfiguracja wprowadza wymagania dotyczące haseł, ustawia minimalną wersję systemu Android i włącza określone ograniczenia dotyczące urządzeń.
- w pełni zarządzane rozszerzone zabezpieczenia (poziom 2): zalecamy tę konfigurację dla urządzeń, które uzyskują dostęp do poufnych danych lub informacji poufnych. Ta konfiguracja umożliwia silniejsze zasady haseł i wyłącza możliwości użytkownika/konta.
- w pełni zarządzane wysoki poziom zabezpieczeń (poziom 3): zalecamy tę konfigurację dla urządzeń używanych przez określonych użytkowników lub grup, które są narażone na wyjątkowo wysokie ryzyko. Na przykład użytkownicy, którzy obsługują wysoce poufne dane, w przypadku których nieautoryzowane ujawnienie spowodowałoby znaczną utratę organizacji. Ta konfiguracja zwiększa minimalną wersję systemu Android, wprowadza ochronę przed zagrożeniami mobilnymi lub Ochrona punktu końcowego w usłudze Microsoft Defender i wymusza dodatkowe ograniczenia urządzeń.
Zalecane ustawienia zgodności dla systemu Windows 10 lub nowszego
Następujące ustawienia można skonfigurować zgodnie z opisem w ustawienia zgodności urządzeń dla systemu Windows 10/11 w usłudze Intune. Te ustawienia są zgodne z zasadami opisanymi w temacie Zero Trust identity and device access configurations (Konfiguracje dostępu do urządzeń i tożsamości zerowej zaufania).
Kondycja urządzenia > reguły oceny usługi zaświadczania o kondycji systemu Windows:
Właściwości Wartość Wymagaj funkcji BitLocker Wymagaj Wymagaj włączenia bezpiecznego rozruchu na urządzeniu Wymagaj Wymagaj integralności kodu Wymagaj Właściwości urządzenia > wersja systemu operacyjnego: określ odpowiednie wartości dla wersji systemu operacyjnego na podstawie zasad IT i zabezpieczeń.
Właściwości Wartość Minimalna wersja systemu operacyjnego Maksymalna wersja systemu operacyjnego Minimalny system operacyjny wymagany dla urządzeń przenośnych Maksymalny wymagany system operacyjny dla urządzeń przenośnych Prawidłowe kompilacje systemu operacyjnego Zgodność menedżera konfiguracji:
Właściwości Wartość Wymaganie zgodności urządzeń z programu Configuration Manager Wybierz wymagane w środowiskach współzarządzanych za pomocą programu Configuration Manager. W przeciwnym razie wybierz opcję Nie skonfigurowano. Zabezpieczenia systemu:
Właściwości Wartość hasło Wymagaj hasła do odblokowania urządzeń przenośnych Wymagaj Proste hasła Zablokowanie Typ hasła Ustawienie domyślne urządzenia Minimalna długość hasła 6 Maksymalna nieaktywność w ciągu kilku minut przed wymaganym hasłem 15 min Wygaśnięcie hasła (dni) 41 Liczba poprzednich haseł, aby zapobiec ponownemu używaniu 5 Wymagaj hasła, gdy urządzenie powraca ze stanu bezczynności (urządzenia przenośne i holograficzne) Wymagaj Szyfrowanie Wymaganie szyfrowania magazynu danych na urządzeniu Wymagaj zapory Firewall Wymagaj program antywirusowy Antywirus Wymagaj program antyszpiegowski Oprogramowanie chroniące przed złośliwym kodem Wymagaj Defender Ochrona przed złośliwym oprogramowaniem w usłudze Microsoft Defender Wymagaj Minimalna wersja ochrony przed złośliwym oprogramowaniem w usłudze Microsoft Defender Zalecamy użycie wartości, która nie jest starsza niż pięć wersji wstecz od najnowszej wersji. Aktualna sygnatura ochrony przed złośliwym oprogramowaniem w usłudze Microsoft Defender Wymagaj Ochrona w czasie rzeczywistym Wymagaj Microsoft Defender dla Endpoint:
Właściwości Wartość Wymagaj, aby urządzenie było na poziomie lub w ocenie ryzyka maszynowego Śred.
Zasady dostępu warunkowego
Po utworzeniu zasad ochrony aplikacji i zasad zgodności urządzeń w usłudze Intune można włączyć wymuszanie przy użyciu zasad dostępu warunkowego.
Wymaganie uwierzytelniania wieloskładnikowego na podstawie ryzyka związanego z logowaniem
Postępuj zgodnie ze wskazówkami w temacie: Wymagaj uwierzytelniania wieloskładnikowego na potrzeby ryzyka związanego z podwyższonym poziomem uprawnień logowania w celu utworzenia zasad wymagających uwierzytelniania wieloskładnikowego na podstawie ryzyka logowania.
Podczas konfigurowania zasad użyj następujących poziomów ryzyka:
| Poziom ochrony | Poziomy ryzyka |
|---|---|
| Punkt początkowy | Średni i wysoki |
| Przedsiębiorstwa | Niski, średni i wysoki |
Blokuj klientów, którzy nie obsługują uwierzytelniania wieloskładnikowego
Postępuj zgodnie ze wskazówkami w: Blokuj starsze uwierzytelnianie za pomocąDostępu Warunkowego.
Użytkownicy wysokiego ryzyka muszą zmieniać hasło
Postępuj zgodnie ze wskazówkami w: Wymagaj zmiany hasła na bezpieczne dla użytkowników o podwyższonym ryzyku, aby wymusić zmianę hasła u użytkowników z poświadczeniami naruszonymi zabezpieczeniami.
Użyj tych zasad wraz z Microsoft Entra Password Protection, które wykrywają i blokują znane słabe hasła, ich warianty i określone terminy w organizacji. Korzystanie z ochrony haseł firmy Microsoft Entra gwarantuje, że zmienione hasła są silniejsze.
Wymagaj zatwierdzonych aplikacji lub zasad ochrony aplikacji
Musisz utworzyć zasady dostępu warunkowego, aby wymusić zasady ochrony aplikacji utworzone w usłudze Intune. Wymuszanie zasad ochrony aplikacji wymaga zasad dostępu warunkowego i odpowiednich zasad ochrony aplikacji.
Aby utworzyć zasady dostępu warunkowego, które wymagają zatwierdzonych aplikacji lub ochrony aplikacji, wykonaj kroki opisane w Wymagaj zatwierdzonych aplikacji klienckich lub zasad ochrony aplikacji. Te zasady zezwalają na dostęp do punktów końcowych platformy Microsoft 365 tylko w aplikacjach chronionych przez zasady ochrony aplikacji.
Blokowanie starszego uwierzytelniania dla innych aplikacji na urządzeniach z systemami iOS/iPadOS i Android gwarantuje, że te urządzenia nie mogą pominąć zasad dostępu warunkowego. Postępując zgodnie ze wskazówkami w tym artykule, już blokowanie klientów, którzy nie obsługują nowoczesnego uwierzytelniania.
Wymaganie zgodnych komputerów i urządzeń przenośnych
Uwaga
Przed włączeniem tych zasad sprawdź, czy twoje własne urządzenie jest zgodne. W przeciwnym razie można zablokować dostęp i użyć konta dostępu awaryjnego , aby odzyskać dostęp.
Zezwalaj na dostęp do zasobów dopiero po ustaleniu zgodności urządzenia z zasadami zgodności usługi Intune. Aby uzyskać więcej informacji, zobacz Wymagaj zgodności urządzeń z dostępem warunkowym.
Możesz zarejestrować nowe urządzenia w usłudze Intune, nawet jeśli wybierzesz pozycję Wymagaj, aby urządzenie było oznaczone jako zgodne dla Wszyscy użytkownicy i Wszystkie aplikacje w chmurze w zasadach. Wymagaj, aby urządzenie było oznaczone jako zgodne, nie blokuje rejestracji w usłudze Intune ani dostępu do aplikacji Microsoft Intune Web Company Portal.
Aktywacja subskrypcji
Jeśli Twoja organizacja używa aktywacji subskrypcji systemu Windows, aby umożliwić użytkownikom przejście na wyższą wersję systemu Windows, należy wykluczyć interfejsy API usługi Sklepu Uniwersalnego i aplikację internetową (AppID: 45a330b1-b1ec-4cc1-9161-9f03992aa49f) ze zgodności urządzenia.
Zawsze wymagaj uwierzytelniania wieloskładnikowego
Wymagaj uwierzytelniania wieloskładnikowego dla wszystkich użytkowników, postępując zgodnie ze wskazówkami w tym artykule: Wymagaj uwierzytelniania wieloskładnikowego dla wszystkich użytkowników.
Następne kroki
Dowiedz się więcej o zaleceniach dotyczących zasad dotyczących dostępu gościa