Общие политики безопасности для организаций Microsoft 365

Организации могут беспокоиться о развертывании Microsoft 365 для своей организации. Политики условного доступа, защиты приложений и устройств, на которые ссылается эта статья, основаны на рекомендациях Майкрософт и трех руководящих принципах нулевого доверия:

• Прямая проверка
• Использование наименьших привилегий
• Предполагайте наличие бреши в системе безопасности

Организации могут использовать эти политики как есть или настраивать их в соответствии с потребностями. По возможности протестируйте политики в тестовой среде перед их развертыванием для пользователей в производственной среде. Тестирование крайне важно для выявления и обмена данными о возможных последствиях для пользователей.

Мы группируем эти политики на три уровня защиты на основе того, где вы находитесь в пути развертывания:

• Отправная точка — базовые элементы управления, которые вводят многофакторную проверку подлинности, безопасные изменения паролей и политики защиты приложений.
• Enterprise — расширенные элементы управления, которые вводят соответствие устройств.
• Специализированная безопасность — политики, требующие многофакторной проверки подлинности каждый раз для определенных наборов данных или пользователей.

На следующей схеме показано, какой уровень защиты применяется к каждой политике и к каким политикам применяются компьютеры или телефоны и планшеты, или обе категории устройств.

Эту схему можно скачать как PDF-файл .

Совет

Перед регистрацией устройств в Intune рекомендуется использовать многофакторную проверку подлинности (MFA), чтобы убедиться, что устройство находится в распоряжении предполагаемого пользователя. Прежде чем применять политики соответствия устройств, необходимо зарегистрировать устройства в Intune.

Необходимые компоненты

Разрешения

• Администраторы, которые управляют политиками условного доступа, должны иметь возможность войти на портал Azure как минимум администратора условного доступа.
• Администраторы, которые управляют политиками защиты приложений и устройств, должны иметь возможность входа в Intune как минимум администратора Intune.
• Пользователям, которым требуется только просматривать конфигурации, можно назначить роль Security Reader.

Дополнительные сведения о ролях и разрешениях см. в статье о встроенных ролях Microsoft Entra.

Регистрация пользователей

Убедитесь, что пользователи регистрируются для многофакторной проверки подлинности, прежде чем требовать его использования. Если у вас есть лицензии, включающие идентификатор Microsoft Entra ID P2, вы можете использовать политику регистрации MFA в Защита идентификации Microsoft Entra, чтобы требовать, чтобы пользователи регистрировались. Мы предоставляем шаблоны коммуникации, которые вы можете скачать и настроить, чтобы способствовать регистрации.

Группы

Все группы Microsoft Entra, используемые в рамках этих рекомендаций, должны быть созданы как группа Microsoft 365, а не группа безопасности. Это требование важно для развертывания меток конфиденциальности при защите документов в Microsoft Teams и SharePoint позже. Дополнительные сведения см. в статье о группах и правах доступа в идентификаторе Microsoft Entra

Назначение политик

Политики условного доступа можно назначать пользователям, группам и ролям администратора. Политики защиты приложений и соответствия устройств Intune можно назначать только группам . Перед настройкой политик определите, кто должен быть включен и исключен. Как правило, политики уровня защиты начальной точки применяются ко всем пользователям в организации.

Вот пример назначения групп и исключений для требования MFA после того, как ваши пользователи завершат регистрацию .

	Политика условного доступа Microsoft Entra	Включить	Исключить
Начальная точка	Требовать многофакторную проверку подлинности для среднего или высокого риска входа	Все пользователи	Учетные записи для аварийного доступа Группа исключений условного доступа
Функции корпоративного уровня	Требовать многофакторную проверку подлинности для низкого, среднего или высокого риска входа	Группа руководителей	Учетные записи для аварийного доступа Группа исключений условного доступа
Специализированная безопасность	Всегда требуется многофакторная проверка подлинности	Группа Top Secret Project Buckeye	Учетные записи для аварийного доступа Группа исключений условного доступа

Будьте осторожны при применении более высокого уровня защиты к группам и пользователям. Цель безопасности заключается в том, чтобы не добавлять ненужные трения в взаимодействие с пользователем. Например, участники группы Top Secret Project Buckeye должны использовать MFA при каждом входе, даже если они не работают над специализированным контентом безопасности для своего проекта. Чрезмерное трение в области безопасности может привести к усталости.

Следует рассмотреть возможность включенияметодов проверки подлинности , устойчивых к фишингу, таких как Windows Hello для бизнеса или FIDO2, чтобы снизить некоторые трения, созданные определенными элементами управления безопасностью.

Учетные записи для аварийного доступа

У всех организаций должна быть по крайней мере одна учетная запись аварийного доступа, отслеживаемая для использования и исключенная из политик. Эти учетные записи используются только в том случае, если все остальные учетные записи администратора и методы проверки подлинности будут заблокированы или недоступны. Дополнительные сведения см. в статье об управлении учетными записями аварийного доступа в идентификаторе Microsoft Entra.

Исключения

Рекомендуется создать группу Microsoft Entra для исключений условного доступа. Эта группа предоставляет средства для предоставления доступа пользователю при устранении неполадок с доступом.

Предупреждение

Эта группа рекомендуется использовать только в качестве временного решения. Непрерывно отслеживайте и проверяйте эту группу для изменений и убедитесь, что группа исключений используется только в качестве предполагаемой.

Чтобы добавить эту группу исключений в любые существующие политики, выполните указанные ниже действия.

1. Войдите в Центр администрирования Microsoft Entra в качестве администратора условного доступа.
2. Перейдите к условному доступу к защите>.
3. Выберите существующую политику.
4. В разделе Назначения выберите Идентификаторы пользователей или рабочих нагрузок.
   1. В разделе "Исключить" выберите "Пользователи и группы " и выберите учетную запись аварийного доступа или учетные записи условного доступа и группу исключений условного доступа.

Развертывание

Мы рекомендуем реализовать политики начальной точки в порядке, указанном в этой таблице. Однако политики MFA для корпоративных и специализированных уровней безопасности могут быть реализованы в любое время.

Начальная точка

Политика	Дополнительные сведения	Лицензирование
Требовать многофакторную проверку подлинности, если риск входа является средним или высоким	Используйте данные риска из Защита идентификации Microsoft Entra, чтобы требовать многофакторную проверку подлинности только при обнаружении риска	Microsoft 365 E5 или Microsoft 365 E3 с надстройкой безопасности E5
Блокировать клиенты, не поддерживающие современную проверку подлинности	Клиенты, которые не используют современную проверку подлинности, могут обойти политики условного доступа, поэтому важно заблокировать их.	Microsoft 365 E3 или E5
Пользователи с высоким уровнем риска должны изменить пароль	Принудительно заставляет пользователей изменять пароль при входе в систему, если для учетной записи обнаружена активность с высоким риском.	Microsoft 365 E5 или Microsoft 365 E3 с надстройкой безопасности E5
Применение политик защиты приложений для защиты данных	Одна политика защиты приложений Intune для каждой платформы (Windows, iOS/iPadOS, Android).	Microsoft 365 E3 или E5
Требовать утвержденные приложения и политики защиты приложений	Применяет политики защиты мобильных приложений для телефонов и планшетов с помощью iOS, iPadOS или Android.	Microsoft 365 E3 или E5

Функции корпоративного уровня

Политика	Дополнительные сведения	Лицензирование
Требовать многофакторную проверку подлинности при низком, среднем или высоком риске входа	Используйте данные риска из Защита идентификации Microsoft Entra, чтобы требовать многофакторную проверку подлинности только при обнаружении риска	Microsoft 365 E5 или Microsoft 365 E3 с надстройкой безопасности E5
Определение политик соответствия устройств	Задайте минимальные требования к конфигурации. Одна политика для каждой платформы.	Microsoft 365 E3 или E5
Требовать совместимые компьютеры и мобильные устройства	Применяет требования к конфигурации для устройств, обращаюющихся к организации	Microsoft 365 E3 или E5

Специализированная безопасность

Политика	Дополнительные сведения	Лицензирование
Всегда требуется многофакторная проверка подлинности	Пользователи должны выполнять многофакторную проверку подлинности в любой момент, когда они входят в службы организации.	Microsoft 365 E3 или E5

политики защита приложений

политики защита приложений определяют, какие приложения разрешены, а также действия, которые они могут предпринять с данными вашей организации. Есть много вариантов, и это может быть запутано для некоторых. Ниже приведены рекомендуемые конфигурации Корпорации Майкрософт, которые можно настроить в соответствии с вашими потребностями. Мы предоставляем три шаблона для выполнения, но думаю, что большинство организаций выбирают уровни 2 и 3.

Уровень 2 сопоставляется с тем, что мы считаем начальной точкой или безопасностью корпоративного уровня, уровень 3 сопоставляется с специализированной безопасностью.

• Уровень 1 корпоративная базовая защита данных. Корпорация Майкрософт рекомендует эту конфигурацию в качестве минимальной конфигурации защиты данных для корпоративного устройства.

• Расширенная защита данных уровня 2 предприятия. Корпорация Майкрософт рекомендует эту конфигурацию для устройств, где пользователи получают доступ к конфиденциальной или конфиденциальной информации. Эта конфигурация применима к большинству мобильных пользователей, обращаюющихся к рабочим или учебным данным. Некоторые элементы управления могут повлиять на взаимодействие с пользователем.

• Уровень 3 корпоративный высокий уровень защиты данных. Корпорация Майкрософт рекомендует эту конфигурацию для устройств, работающих организацией с более крупной или более сложной командой безопасности, или для конкретных пользователей или групп, которые подвергаются уникально высокому риску (пользователи, обрабатывающие конфиденциальные данные, в которых несанкционированное раскрытие данных приводит к значительной потере материала в организации). Организации, которые, вероятно, станут целью хорошо финансируемых и сложных злоумышленников, должны стремиться к этой конфигурации.

Создание политик защиты приложений

Создайте новую политику защиты приложений для каждой платформы (iOS и Android) в Microsoft Intune с помощью параметров платформы защиты данных:

• Вручную создайте политики, выполнив инструкции по созданию и развертыванию политик защиты приложений с помощью Microsoft Intune.
• Импортируйте примеры шаблонов JSON политики защиты приложений Intune с помощью скриптов PowerShell Intune.

Политики соответствия устройств

Политики соответствия устройств Intune определяют требования, которые должны соответствовать устройствам.

Необходимо создать политику для каждого компьютера, телефона или планшетной платформы. В этой статье рассматриваются рекомендации для следующих платформ:

• Android
• iOS/iPadOS
• Windows 10 и более поздние версии

Создание политик соответствия устройств

Чтобы создать политики соответствия устройств, войдите в Центр администрирования Microsoft Intune и перейдите к >. Выберите " Создать политику".

Пошаговые инструкции по созданию политик соответствия в Intune см. в статье "Создание политики соответствия в Microsoft Intune".

Параметры регистрации и соответствия для iOS/iPadOS

IOS/iPadOS поддерживает несколько сценариев регистрации, два из которых рассматриваются в рамках этой платформы:

• Регистрация устройств для личных устройств — эти устройства принадлежат лично и используются как для работы, так и для личного использования.
• Автоматическая регистрация устройств для корпоративных устройств — эти устройства являются корпоративными, связанными с одним пользователем, и используются исключительно для работы и не личного использования.

Использование принципов, описанных в конфигурациях доступа к устройству и удостоверению нулевого доверия:

• Начальные точки и уровни защиты предприятия тесно соответствуют параметрам повышенной безопасности уровня 2.
• Специализированный уровень защиты безопасности тесно сопоставляется с высокими параметрами безопасности уровня 3.

Параметры соответствия для личных зарегистрированных устройств

• Личная базовая безопасность (уровень 1) — корпорация Майкрософт рекомендует эту конфигурацию в качестве минимальной конфигурации безопасности для личных устройств, где пользователи получают доступ к рабочим или учебным данным. Эта конфигурация выполняется путем применения политик паролей, характеристик блокировки устройства и отключения некоторых функций устройств, таких как ненадежные сертификаты.
• Личная улучшенная безопасность (уровень 2) — корпорация Майкрософт рекомендует эту конфигурацию для устройств, где пользователи получают доступ к конфиденциальной или конфиденциальной информации. Эта конфигурация принимает элементы управления общим доступом к данным. Эта конфигурация применима к большинству мобильных пользователей, обращаюющихся к рабочим или учебным данным на устройстве.
• Личная высокая безопасность (уровень 3) — корпорация Майкрософт рекомендует эту конфигурацию для устройств, используемых определенными пользователями или группами, которые уникально подвержены высокому риску (пользователи, обрабатывающие конфиденциальные данные, в которых несанкционированное раскрытие данных приводит к значительной потере материала в организации). Эта конфигурация принимает более строгие политики паролей, отключает определенные функции устройства и применяет дополнительные ограничения на передачу данных.

Параметры соответствия для автоматической регистрации устройств

• Защищенный базовый уровень безопасности (уровень 1) — корпорация Майкрософт рекомендует эту конфигурацию в качестве минимальной конфигурации безопасности для защищенных устройств, где пользователи получают доступ к рабочим или учебным данным. Эта конфигурация выполняется путем применения политик паролей, характеристик блокировки устройства и отключения некоторых функций устройств, таких как ненадежные сертификаты.
• Защищенный расширенный уровень безопасности (уровень 2) — корпорация Майкрософт рекомендует эту конфигурацию для устройств, где пользователи получают доступ к конфиденциальной или конфиденциальной информации. Эта конфигурация принимает элементы управления доступом к данным и блокирует доступ к USB-устройствам. Эта конфигурация применима к большинству мобильных пользователей, обращаюющихся к рабочим или учебным данным на устройстве.
• Защищенный высокий уровень безопасности (уровень 3) — корпорация Майкрософт рекомендует эту конфигурацию для устройств, используемых определенными пользователями или группами, которые являются уникально высоким риском (пользователи, обрабатывающие конфиденциальные данные, в которых несанкционированное раскрытие данных приводит к значительной потере материала в организации). Эта конфигурация принимает более строгие политики паролей, отключает определенные функции устройства, применяет дополнительные ограничения передачи данных и требует установки приложений через программу приобретения томов Apple.

Параметры регистрации и соответствия для Android

Android Enterprise поддерживает несколько сценариев регистрации, два из которых рассматриваются в рамках этой платформы:

• Рабочий профиль Android Enterprise — эта модель регистрации обычно используется для личных устройств, где ИТ-специалисты хотят обеспечить четкую границу разделения между рабочими и личными данными. Политики, контролируемые ИТ-службой, гарантируют, что рабочие данные не могут быть переданы в личный профиль.
• Полностью управляемые устройства Android Enterprise — эти устройства являются корпоративными, связанными с одним пользователем, и используются исключительно для работы, а не личного использования.

Платформа конфигурации безопасности Android Enterprise организована в несколько различных сценариев конфигурации, предоставляя рекомендации по рабочим профилям и полностью управляемым сценариям.

Использование принципов, описанных в конфигурациях доступа к устройству и удостоверению нулевого доверия:

• Начальные точки и уровни защиты предприятия тесно соответствуют параметрам повышенной безопасности уровня 2.
• Специализированный уровень защиты безопасности тесно сопоставляется с высокими параметрами безопасности уровня 3.

Параметры соответствия для устройств рабочего профиля Android Enterprise

• Из-за параметров, доступных для личных устройств рабочего профиля, нет базового предложения безопасности (уровня 1). Доступные параметры не оправдывают разницу между уровнем 1 и уровнем 2.
• Улучшенная безопасность рабочего профиля (уровень 2) — корпорация Майкрософт рекомендует эту конфигурацию в качестве минимальной конфигурации безопасности для личных устройств, где пользователи получают доступ к рабочим или учебным данным. Эта конфигурация содержит требования к паролям, отделяет рабочие и личные данные и проверяет аттестацию устройств Android.
• Высокий уровень безопасности рабочего профиля (уровень 3) — корпорация Майкрософт рекомендует эту конфигурацию для устройств, используемых определенными пользователями или группами, которые однозначно подвержены высокому риску (пользователи, обрабатывающие конфиденциальные данные, в которых несанкционированное раскрытие данных приводит к значительной потере материала в организации). Эта конфигурация представляет защиту мобильных угроз или Microsoft Defender для конечной точки, устанавливает минимальную версию Android, принимает более строгие политики паролей, а также ограничивает работу и личное разделение.

Параметры соответствия для полностью управляемых устройств Android Enterprise

• Полностью управляемая базовая безопасность (уровень 1) — корпорация Майкрософт рекомендует эту конфигурацию в качестве минимальной конфигурации безопасности для корпоративного устройства. Эта конфигурация применима к большинству мобильных пользователей, обращаюющихся к рабочим или учебным данным. Эта конфигурация вводит требования к паролям, задает минимальную версию Android и принимает определенные ограничения устройств.
• Полностью управляемая расширенная безопасность (уровень 2) — корпорация Майкрософт рекомендует эту конфигурацию для устройств, где пользователи получают доступ к конфиденциальной или конфиденциальной информации. Эта конфигурация принимает более строгие политики паролей и отключает возможности пользователя или учетной записи.
• Полностью управляемая высокая безопасность (уровень 3) — корпорация Майкрософт рекомендует эту конфигурацию для устройств, используемых определенными пользователями или группами, которые являются уникальными высокими рисками. Эти пользователи могут обрабатывать особо чувствительные данные, раскрытие которых без разрешения может привести к значительным материальным убыткам для организации. Эта конфигурация увеличивает минимальную версию Android, вводит защиту от угроз для мобильных устройств или Microsoft Defender для конечной точки и применяет дополнительные ограничения устройств.

Рекомендуемые параметры соответствия для Windows 10 и более поздних версий

На шаге 2 настроены следующие параметры: параметры соответствия требованиям, процесс создания политики соответствия для устройств Windows 10 и более новых версий. Эти параметры соответствуют принципам, описанным в конфигурациях доступа к устройству и удостоверению нулевого доверия.

Правила > службы аттестации работоспособности Windows см. в этой таблице.

Свойство	Значение
Требовать BitLocker	Требуется
Требовать включения безопасной загрузки на устройстве	Требуется
Требовать целостность кода	Требуется

Для свойств устройства укажите соответствующие значения версий операционной системы на основе политик ИТ и безопасности.

Для соответствия Configuration Manager, если вы находитесь в совместно управляемой среде с Configuration Manager, выберите "Требовать в противном случае" выберите "Не настроено".

Сведения о системной безопасности см. в этой таблице.

Свойство	Значение
Запрашивать пароль для разблокировки мобильных устройств	Требуется
Простые пароли	Блокировка
Тип пароля	Устройство по умолчанию
Минимальная длина пароля	6
Максимальное количество минут бездействия до того, как требуется пароль	15 минут
Срок действия пароля (в днях)	41
Число предыдущих паролей для предотвращения повторного использования	5
Требовать пароль при возврате устройства из состояния простоя (Mobile и Holographic)	Требуется
Требование шифрования хранилища данных на устройстве	Требуется
Брандмауэр	Требуется
Антивирусная программа	Требуется
Антишпиостер	Требуется
Антивредоносное ПО в Microsoft Defender	Требуется
Минимальная версия антивредоносного по Microsoft Defender	Корпорация Майкрософт рекомендует не более пяти версий из последней версии.
Сигнатура защиты от вредоносных программ в Microsoft Defender до актуальной версии	Требуется
защита в режиме реального времени;	Требуется

Для Microsoft Defender для конечной точки

Свойство	Значение
Требовать, чтобы устройство было на уровне или под оценкой риска компьютера	Средняя

Политики условного доступа

После создания политик защиты приложений и соответствия устройств в Intune можно включить принудительное применение с помощью политик условного доступа.

Требовать многофакторную проверку подлинности на основе риска входа

Следуйте инструкциям в статье Требовать многофакторную проверку подлинности при повышенном риске входа для создания политики, требующей многофакторную проверку подлинности на основе риска входа.

При настройке политики используйте следующие уровни риска.

Уровень защиты	Необходимые значения уровня риска	Действие
Начальная точка	Высокий, средний	Проверьте оба.
Функции корпоративного уровня	Высокий, средний, низкий	Проверьте все три.

Блокировать клиенты, не поддерживающие многофакторную проверку подлинности

Следуйте инструкциям в статье Блокировать устаревшую проверку подлинности с помощью условного доступа, чтобы заблокировать устаревшую проверку подлинности.

Пользователи с высоким уровнем риска должны сменить пароль

Следуйте указаниям в статье Требовать безопасной смены пароля для пользователей с повышенным уровнем риска, чтобы пользователи с скомпрометированными учетными данными изменили свои пароли.

Используйте эту политику вместе с защитой паролей Microsoft Entra, которая обнаруживает и блокирует известные слабые пароли и их варианты в дополнение к условиям, характерным для вашей организации. Использование защиты паролей Microsoft Entra гарантирует, что измененные пароли сильнее.

Требовать утвержденные приложения или политики защиты приложений

Чтобы применить политики защиты приложений, созданные в Intune, необходимо создать политику условного доступа. Для применения политик защиты приложений требуется политика условного доступа и соответствующая политика защиты приложений.

Чтобы создать политику условного доступа, требующую утвержденных приложений или защиты приложений, выполните действия, описанные в Требовать утвержденные клиентские приложения или политику защиты приложений. Эта политика позволяет учетным записям только в мобильных приложениях, защищенных политиками защиты приложений, получать доступ к конечным точкам Microsoft 365.

Блокировка устаревшей проверки подлинности для других клиентских приложений на устройствах iOS и Android гарантирует, что эти клиенты не могут обойти политики условного доступа. Если вы используете инструкции в этой статье, вы уже настроили блочные клиенты, которые не поддерживают современную проверку подлинности.

Требовать совместимые компьютеры и мобильные устройства

Следуйте инструкциям в статье Требовать соответствие устройств политике условного доступа, чтобы устройства, обращающиеся к ресурсам, были помечены как соответствующие требованиям политики соответствия Intune вашей организации.

Внимание

Перед включением этой политики убедитесь, что устройство соответствует требованиям. В противном случае вы можете оказаться заблокированы и вам понадобится помощь владельца учетной записи аварийного доступа, чтобы восстановить доступ.

Примечание.

Вы можете зарегистрировать новые устройства в Intune, даже если в политике выбрано значение "Требовать, чтобы устройство было помечено как соответствующее требованиям для всех пользователей и всех облачных приложений ". Требовать, чтобы устройство было помечено как соответствующее элементу управления, не блокирует регистрацию Intune и доступ к приложению Microsoft Intune Web Корпоративный портал.

Активация подписки

Организации, использующие функцию активации подписки , чтобы пользователи могли "шагить" из одной версии Windows в другую, следует исключить API-интерфейсы службы универсального магазина и веб-приложение, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f из политики соответствия устройств.

Всегда требуется многофакторная проверка подлинности

Следуйте указаниям в статье "Требовать многофакторную проверку подлинности для всех пользователей", чтобы требовать от ваших пользователей выполнять многофакторную проверку подлинности.

Следующие шаги

Сведения о рекомендациях политики для гостевых и внешних пользователей