Предварительные требования для реализации политик доступа к удостоверению и устройству
В этой статье описаны предварительные требования, необходимые администраторам, которые должны соответствовать рекомендуемой политике удостоверений нулевого доверия и политик доступа к устройству, а также для использования условного доступа. В нем также рассматриваются рекомендуемые значения по умолчанию для настройки клиентских платформ для оптимального единого входа.
Необходимые компоненты
Перед использованием рекомендуемых политик доступа к удостоверению и устройству ваша организация должна соответствовать предварительным требованиям. Требования отличаются для различных моделей идентификации и проверки подлинности, перечисленных ниже.
- Только облако
- Гибридная синхронизация хэша паролей (PHS)
- Гибридная среда с сквозной проверкой подлинности (PTA)
- Федеративные
В следующей таблице описаны необходимые компоненты и их конфигурация, которые применяются ко всем моделям удостоверений, за исключением указанных.
| Настройка | Исключения | Лицензирование |
|---|---|---|
| Настройка синхронизации хэша паролей (PHS). Эту функцию необходимо включить для обнаружения утечки учетных данных и принятия мер по ним в рамках условного доступа, основанного на рисках. Эта конфигурация требуется независимо от того, использует ли ваша организация федеративную проверку подлинности. | Только облако | Microsoft 365 E3 или E5 |
| Включите простой единый вход для автоматического входа пользователей, когда они находятся на устройствах организации, подключенных к вашей сети организации. | Только облако и федеративные | Microsoft 365 E3 или E5 |
| Настройка сетевых расположений. Защита идентификации Microsoft Entra собирает и анализирует все доступные данные сеанса для создания оценки риска. Рекомендуется указать диапазоны общедоступных IP-адресов вашей организации для сети в конфигурации именованных расположений идентификатора Microsoft Entra. Трафик, поступающий из этих диапазонов, получает сниженную оценку риска, а трафик извне среды организации получает более высокую оценку риска. | Microsoft 365 E3 или E5 | |
| Зарегистрируйте всех пользователей для самостоятельного сброса пароля (SSPR) и многофакторной проверки подлинности (MFA). Мы рекомендуем выполнить этот шаг заранее. Защита идентификаторов Microsoft Entra использует многофакторную проверку подлинности Microsoft Entra для добавленной проверки безопасности. Для оптимального входа рекомендуется использовать приложение Microsoft Authenticator и приложение корпоративного портала Майкрософт на устройствах. Пользователи могут устанавливать эти приложения из магазина приложений для своей платформы устройств. | Microsoft 365 E3 или E5 | |
| Планирование реализации гибридного соединения Microsoft Entra. Условный доступ гарантирует, что устройства, подключающиеся к приложениям, присоединены к домену или соответствуют требованиям. Для поддержки этого требования на компьютерах Windows устройство должно быть зарегистрировано с идентификатором Microsoft Entra. В этой статье описывается порядок настройки автоматической регистрации. | Только облако | Microsoft 365 E3 или E5 |
| Подготовьте команду поддержки. Создайте план для пользователей, которые не могут выполнить MFA. Например, добавьте их в группу исключений политик или зарегистрируйте новые данные для многофакторной аутентификации. Если вы делаете исключения с учетом безопасности, убедитесь, что пользователь фактически выполняет запрос. Требование менеджеров помочь с утверждением для пользователей является эффективным шагом. | Microsoft 365 E3 или E5 | |
| Настройте обратную запись паролей для локальногоActive Directory. Обратная запись паролей позволяет идентификатору Microsoft Entra требовать, чтобы пользователи изменяли свои локальные пароли при обнаружении компрометации учетной записи с высоким риском. Эту функцию можно включить с помощью Microsoft Entra Connect одним из двух способов: включить обратную запись паролей на экране дополнительных функций программы установки Microsoft Entra Connect или включить ее с помощью Windows PowerShell. | Только облако | Microsoft 365 E3 или E5 |
| Настройте защиту паролей Microsoft Entra. Microsoft Entra Password Protection обнаруживает и блокирует известные слабые пароли и их варианты, а также может блокировать другие слабые термины, относящиеся к вашей организации. Глобальные списки запрещенных паролей по умолчанию автоматически применяются ко всем пользователям в организации Microsoft Entra. Вы можете определить другие записи в пользовательском списке запрещенных паролей. Когда пользователь изменяет или сбрасывает пароль, такой пароль проверяется по этим спискам, чтобы принудительно использовать надежные пароли. | Microsoft 365 E3 или E5 | |
| Включите Защита идентификации Microsoft Entra. Защита идентификации Microsoft Entra позволяет обнаруживать потенциальные уязвимости, влияющие на удостоверения вашей организации, и настраивать политику автоматического исправления на низкий, средний и высокий риск входа и риск пользователя. | Microsoft 365 E5 или Microsoft 365 E3 с надстройкой безопасности E5 | |
| Включите оценку непрерывного доступа для идентификатора Microsoft Entra. Предварительная оценка непрерывного доступа прерывает активные сеансы пользователей и применяет изменения политики организации практически в режиме реального времени. | Microsoft 365 E3 или E5 |
Рекомендуемые конфигурации клиентов
В этом разделе описываются рекомендуемые конфигурации платформы по умолчанию для наилучшего единого входа в систему и технические требования для условного доступа.
Устройства Windows
Рекомендуется использовать Windows 11 или Windows 10 (версия 2004 или более поздней версии), так как Azure обеспечивает самый простой единый вход, который можно использовать как для локальной среды, так и для идентификатора Microsoft Entra. Устройства, выданные организацией, должны быть настроены с помощью одного из следующих вариантов:
- Присоединяйтесь напрямую к идентификатору Microsoft Entra.
- Настройте локальные устройства, присоединенные к домену Active Directory, для автоматического и автоматической регистрации с помощью идентификатора Microsoft Entra ID
Для персональных устройств Windows (собственное устройство или BYOD) пользователи могут использовать Добавить рабочую или учебную учетную запись. Пользователи Google Chrome на устройствах с Windows 11 или Windows 10 должны установить расширение для того, чтобы обеспечить одинаковый процесс входа в систему, что и пользователи Microsoft Edge. Кроме того, если у вашей организации есть устройства с Windows 8 или 8.1, присоединенные к домену, можно установить Microsoft Workplace Join для компьютеров, отличных от Windows 10. Скачайте пакет, чтобы зарегистрировать устройства с помощью идентификатора Microsoft Entra.
Устройства iOS
Перед развертыванием политик условного доступа или MFA рекомендуется установить приложение Microsoft Authenticator на пользовательских устройствах. Если вы не можете, установите приложение в следующих сценариях:
- Когда пользователям предлагается зарегистрировать свое устройство с помощью идентификатора Microsoft Entra, добавив рабочую или учебную учетную запись.
- Когда пользователи устанавливают приложение корпоративного портала Intune для регистрации устройства для управления.
Запрос зависит от настроенной политики условного доступа.
Устройства Android
Мы рекомендуем пользователям устанавливать приложение корпоративного портала Intune и приложение Microsoft Authenticator перед развертыванием политик условного доступа или во время определенных попыток проверки подлинности. После установки приложения пользователям может потребоваться зарегистрировать идентификатор Microsoft Entra или зарегистрировать устройство в Intune в зависимости от настроенной политики условного доступа.
Кроме того, рекомендуется, чтобы устройства, предоставляемые организацией, поддерживали Android for Work или Samsung Knox, чтобы разрешить управление учетными записями почты и защиту с помощью политик управления мобильными устройствами Intune (MDM).
Рекомендуемые почтовые клиенты
Клиенты электронной почты в следующей таблице поддерживают современную проверку подлинности и условный доступ:
| Платформа | Клиент | Версия и примечания |
|---|---|---|
| Windows | Outlook | 2016 или позже Обязательные обновления |
| iOS | Outlook для iOS | Последняя версия |
| Android | Outlook для Android | Последняя версия |
| macOS | Outlook | 2016 или позже |
| Linux | Не поддерживается |
Рекомендуемые клиентские платформы при защите документов
Мы рекомендуем использовать электронные почтовые программы, указанные в следующей таблице, когда применяется политика безопасных документов.
| Платформа | Word/Excel/PowerPoint | OneNote | Приложение OneDrive | Приложение SharePoint | клиент приложение синхронизации OneDrive |
|---|---|---|---|---|---|
| Windows 11 или Windows 10 | Поддерживается | Поддерживается | Неприменимо | Неприменимо | Поддерживается |
| Windows 8.1 | Поддерживается | Поддерживается | Неприменимо | Неприменимо | Поддерживается |
| Android | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Неприменимо |
| iOS | Поддерживается | Поддерживается | Поддерживается | Поддерживается | Неприменимо |
| macOS | Поддерживается | Поддерживается | Неприменимо | Неприменимо | Не поддерживается |
| Linux | Не поддерживается | Не поддерживается | Не поддерживается | Не поддерживается | Не поддерживается |
Поддержка клиентов Microsoft 365
Дополнительные сведения о поддержке клиентов в Microsoft 365 см. в статье Развертывание инфраструктуры удостоверений для Microsoft 365.
Защита учетных записей администратора
Для Microsoft 365 E3 или E5 или с отдельными лицензиями Microsoft Entra ID P1 или P2 вы можете требовать устойчивую к фишингу многофакторную аутентификацию для учетных записей администраторов, создавая политику условного доступа вручную. Дополнительные сведения см. в "Условный доступ: Требуется MFA, устойчивый к фишингу, для администраторов".
Для выпусков Microsoft 365 или Office 365, которые не поддерживают условный доступ, можно включить параметры безопасности по умолчанию, чтобы требовать многофакторную проверку подлинности для всех учетных записей.
Ниже приведены некоторые другие рекомендации.
- Используйте microsoft Entra управление привилегированными пользователями, чтобы уменьшить количество постоянных административных учетных записей.
- Использовать управление привилегированным доступом для защиты организации от нарушений, которые могут использовать существующие привилегированные учетные записи администратора с постоянным доступом к конфиденциальным данным или доступу к критически важным параметрам конфигурации.
- Создание и использование отдельных учетных записей, назначенных ролям администратора Microsoft 365 только для администрирования. Администраторы должны иметь собственную учетную запись пользователя для регулярного использования. Они должны использовать учетную запись администратора только при необходимости для выполнения задачи, связанной с их ролью или функцией задания.
- Следуйте рекомендациям по защите привилегированных учетных записей в идентификаторе Microsoft Entra.
Следующий шаг
Настройка общих политик удостоверений и доступа к устройству