Общие политики безопасности для организаций Microsoft 365

Организации сталкиваются с множеством проблем при развертывании Microsoft 365 для своей организации. Политики условного доступа, защиты приложений и устройств, на которые ссылается эта статья, основаны на рекомендациях Майкрософт и трех руководящих принципах нулевого доверия:

• Прямая проверка
• Использование наименьших привилегий
• Предполагайте наличие бреши в системе безопасности

Организации могут использовать эти политики как есть или настраивать их в соответствии с потребностями. По возможности протестируйте политики в непроизводственных средах, прежде чем развертывать их для рабочих пользователей. Тестирование крайне важно для выявления и обмена данными о возможных последствиях для пользователей.

Мы группируем эти политики на три уровня защиты на основе того, где вы находитесь в пути развертывания:

• Отправная точка — базовые элементы управления, которые вводят многофакторную проверку подлинности, безопасные изменения паролей и политики защиты приложений.
• Enterprise — расширенные элементы управления, которые вводят соответствие устройств.
• Специализированная безопасность — политики, требующие многофакторной проверки подлинности каждый раз для определенных наборов данных или пользователей.

На следующей схеме показаны уровни защиты, к которым применяется каждая политика, и к каким типам устройств применяются политики:

Эту схему можно скачать как PDF-файл .

Совет

Рекомендуется требовать многофакторную проверку подлинности (MFA) для пользователей перед регистрацией устройств в Intune, чтобы убедиться, что устройство находится в распоряжении предполагаемого пользователя. MFA включен по умолчанию из-за по умолчаниюбезопасности или можно использовать политики условного доступа , чтобы требовать многофакторную проверку подлинности для всех пользователей.

Устройства должны быть зарегистрированы в Intune, прежде чем применять политики соответствия устройств.

Необходимые компоненты

Разрешения

Требуются следующие разрешения в Microsoft Entra:

• Управление политиками условного доступа: роль администратора условного доступа.
• Управление политиками защиты приложений и политиками соответствия устройств: роль администратора Intune.
• Просмотр только конфигураций: роль Читателя безопасности.

Для получения дополнительной информации о ролях и разрешениях в Microsoft Entra, обратитесь к статье о встроенных ролях Microsoft Entra.

Регистрация пользователей

Убедитесь, что пользователи зарегистрировались в MFA перед тем, как оно станет обязательным. Если лицензии включают идентификатор Microsoft Entra ID P2, вы можете использовать политику регистрации MFA в службе защиты идентификаторов Microsoft Entra ID, чтобы требовать регистрации пользователей. Мы предоставляем шаблоны для общения, которые можно скачать и настроить для содействия регистрации пользователей.

Группы

Все группы Microsoft Entra, используемые в рамках этих рекомендаций, должны быть группами Microsoft 365, не группами безопасности. Это требование важно для развертывания меток конфиденциальности для защиты документов в Microsoft Teams и SharePoint. Дополнительные сведения см. в разделе Сведения о группах и правах доступа вMicrosoft Entra ID.

Назначение политик

Политики условного доступа можно назначать пользователям, группам и ролям администратора. Политику защиты приложений Intune и политику соответствия устройств можно назначать исключительно группам . Перед настройкой политик определите, кто должен быть включен и исключен. Как правило, политики уровня начальной защиты применяются ко всем в организации.

В следующей таблице описаны примеры назначений групп и исключений для MFA после завершения регистрации пользователей:

	Политика условного доступа Microsoft Entra	Включить	Исключить
Начальная точка	Требовать многофакторную проверку подлинности для среднего или высокого риска входа	Все пользователи	Учетные записи для аварийного доступа Группа исключений условного доступа
Функции корпоративного уровня	Требовать многофакторную проверку подлинности для низкого, среднего или высокого риска входа	Группа руководителей	Учетные записи для аварийного доступа Группа исключений условного доступа
Специализированная безопасность	Всегда требуется многофакторная проверка подлинности	Группа Top Secret Project Buckeye	Учетные записи для аварийного доступа Группа исключений условного доступа

Совет

Будьте осторожны при применении более высокого уровня защиты к пользователям и группам. Цель безопасности заключается в том, чтобы не добавлять ненужные трения в взаимодействие с пользователем. Например, членам группы Top Secret Project Buckeye необходимо использовать многофакторную аутентификацию при каждом входе в систему, даже если они не работают над специализированным содержанием своего проекта. Чрезмерное трение в области безопасности может привести к усталости. Включите методы проверки подлинности, устойчивые к фишингу, (например, ключи безопасности Windows Hello для бизнеса или FIDO2), чтобы снизить трения, вызванные элементами управления безопасностью.

Учетные записи для аварийного доступа

Все организации должны иметь по крайней мере одну учетную запись аварийного доступа, отслеживаемую для использования и исключения из политик (и, возможно, более в зависимости от размера организации). Эти учетные записи используются только в том случае, если все остальные учетные записи администратора и методы проверки подлинности будут заблокированы или недоступны. Для получения дополнительной информации см. статью Идентификатор Microsoft Entra: управление учетными записями аварийного доступа.

Исключения

Рекомендуется создать группу Microsoft Entra для исключений условного доступа. Эта группа предоставляет средства для предоставления доступа пользователю при устранении неполадок с доступом.

Предупреждение

Мы рекомендуем использовать исключающую группу только в качестве временного решения. Не забудьте постоянно следить за изменениями в этой группе и проверять, что группа используется только для её целевого назначения.

Выполните следующие действия, чтобы добавить группу исключений в любые существующие политики. Как описано ранее, вам потребуется разрешение администратора условного доступа .

1. В Центре администрирования Microsoft Entra в https://entra.microsoft.comперейдите в раздел Защита>Условный доступ Политики>. Или, чтобы перейти непосредственно в условный доступ | Страницу политик используйте https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policies/fromNav/Identity.

2. На странице Условный доступ | Политики выберите существующую политику, нажав по значению имени.

3. На открывающейся странице с информацией о политике выберите ссылку Пользователи в разделе Назначения.

4. В открываемом элементе управления выберите вкладку "Исключить", а затем выберите "Пользователи и группы".

5. В открывающемся всплывающем окне Выбор исключенных пользователей и групп найдите и выберите перечисленные ниже учетные записи:

   • Пользователи: Аварийные аккаунты доступа.
   • группы: группа исключений условного доступа

   После завершения всплывающего меню Выберите исключенных пользователей и групп, выберите Выбрать

Развертывание

Мы рекомендуем реализовать политики точки запуска и в порядке, указанном в следующей таблице. Политики MFA можно реализовать для корпоративных и специализированных уровней безопасности защиты в любое время.

Начальная точка

Политика	Дополнительные сведения	Лицензирование
Требовать многофакторную проверку подлинности, если риск входа является средним или высоким	Требовать многофакторную проверку подлинности только в том случае, если риск обнаружен защитой идентификаторов Microsoft Entra.	Microsoft 365 E5 или Microsoft 365 E3 с надстройкой безопасности E5
Блокировать клиенты, не поддерживающие современную проверку подлинности	Клиенты, которые не используют современную проверку подлинности, могут обойти политики условного доступа, поэтому важно заблокировать их.	Microsoft 365 E3 или E5
Пользователи с высоким уровнем риска должны изменить пароль	Принудительно заставляет пользователей изменять пароль при входе в систему, если для учетной записи обнаружена активность с высоким риском.	Microsoft 365 E5 или Microsoft 365 E3 с надстройкой безопасности E5
Применение политик защиты приложений для защиты данных	Одна политика защиты приложений Intune для каждой платформы (Windows, iOS/iPadOS и Android).	Microsoft 365 E3 или E5
Требовать утвержденные приложения и политики защиты приложений	Применяет политики защиты приложений для телефонов и планшетов с помощью iOS, iPadOS или Android.	Microsoft 365 E3 или E5

Функции корпоративного уровня

Политика	Дополнительные сведения	Лицензирование
Требовать многофакторную проверку подлинности при низком, среднем или высоком риске входа	Требовать многофакторную проверку подлинности только в том случае, если риск обнаружен защитой идентификаторов Microsoft Entra.	Microsoft 365 E5 или Microsoft 365 E3 с надстройкой безопасности E5
Определение политик соответствия устройств	Задайте минимальные требования к конфигурации. Одна политика для каждой платформы.	Microsoft 365 E3 или E5
Требовать совместимые компьютеры и мобильные устройства	Применяет требования к конфигурации для устройств, обращаюющихся к организации	Microsoft 365 E3 или E5

Специализированная безопасность

Политика	Дополнительные сведения	Лицензирование
Всегда требуется многофакторная проверка подлинности	Пользователи должны выполнять многофакторную проверку подлинности в любое время, когда они входят в службы в организации.	Microsoft 365 E3 или E5

политики защита приложений

политики защиты приложений указать разрешенные приложения и действия, которые они могут предпринять с данными вашей организации. Хотя существует множество политик для выбора, в следующем списке описаны рекомендуемые базовые показатели.

Совет

Хотя мы предоставляем три шаблона, большинство организаций следует выбрать уровень 2 (сопоставляется с отправной точкой или корпоративный уровень безопасности) и уровень 3 (сопоставляется с специализированной безопасностью).

• уровня 1 корпоративной базовой защиты данных. Рекомендуется использовать эту конфигурацию в качестве минимальной защиты данных для корпоративных устройств.

• уровня 2 корпоративной расширенной защиты данных. Мы рекомендуем использовать эту конфигурацию для устройств, обращаюющихся к конфиденциальным данным или конфиденциальной информации. Эта конфигурация применяется к большинству мобильных пользователей, которые обращаются к рабочим или учебным данным. Некоторые элементы управления могут повлиять на взаимодействие с пользователем.

• уровня 3 корпоративной высокой защиты данных: рекомендуется использовать эту конфигурацию в следующих сценариях:

  • Организации с более крупными или более продвинутыми командами безопасности.
  • Устройства, используемые определенными пользователями или группами, которые подвергаются уникально высокому риску. Например, пользователи, обрабатывающие особо конфиденциальные данные, где несанкционированное раскрытие приведет к значительным потерям для организации.

  Организации, которые с высокой вероятностью могут стать целью хорошо финансируемых и сложных злоумышленников, должны стремиться к этой конфигурации.

Создание политик защиты приложений

Создайте новую политику защиты приложений для каждой платформы устройств в Microsoft Intune (iOS/iPadOS и Android) с помощью параметров платформы защиты данных, выполнив следующие действия.

• Вручную создайте политики, выполнив инструкции по созданию и развертыванию политик защиты приложений с помощью Microsoft Intune.
• Импортируйте примеры шаблонов JSON политики защиты приложений Intune с помощью скриптов PowerShell Intune.

Политики соответствия устройств

Политики соответствия устройств Intune определяют требования для устройств, чтобы соответствовать требованиям. Необходимо создать политику для каждой платформы пк, телефона или планшета. В этой статье рассматриваются рекомендации для следующих платформ:

• Android
• iOS/iPadOS
• Windows 10 и более поздние версии

Создание политик соответствия устройств

Чтобы создать политики соответствия устройств, выполните следующие действия.

1. В Центре администрирования Microsoft Intune в https://endpoint.microsoft.comперейдите на вкладку Управление устройствами>соответствия требованиям>политик. Или перейдите непосредственно на вкладку "Политики " устройств | Страница соответствия требованиям используйте https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/compliance.
2. На вкладке политики устройств | Страница соответствия требованиям выберите Создать политику.

Пошаговые инструкции см. в статье Создание политики соответствия в Microsoft Intune.

Параметры регистрации и соответствия для iOS/iPadOS

IOS/iPadOS поддерживает несколько сценариев регистрации, два из которых рассматриваются этой платформой:

• регистрация устройств для личного пользования: личные устройства (также известные как принадлежащие пользователю устройства или BYOD), используемые в работе.
• Автоматическая регистрация устройств, принадлежащих организации: устройства, принадлежащие организации, которые связаны с одним пользователем и используются исключительно для работы.

Совет

Как описано ранее, уровень 2 сопоставляется с начальной точкой или корпоративному уровню безопасности, а уровень 3 сопоставляется с специализированному уровню безопасности. Дополнительные сведения см. в разделе конфигураций Zero Trust для идентификации и доступа к устройствам.

Параметры соответствия для личных зарегистрированных устройств

• персональный базовый уровень безопасности (уровень 1). Мы рекомендуем использовать эту конфигурацию в качестве минимальной безопасности для персональных устройств, обращаюющихся к рабочим или учебным данным. Эта конфигурация достигается путем применения политик паролей, характеристик блокировки устройства и отключения некоторых функций устройства (например, ненадежных сертификатов).
• персональный расширенный уровень безопасности (уровень 2). Мы рекомендуем использовать эту конфигурацию для устройств, обращаюющихся к конфиденциальным данным или конфиденциальной информации. Эта конфигурация позволяет управлять доступом к данным. Эта конфигурация применяется к большинству мобильных пользователей, которые обращаются к рабочим или учебным данным.
• персональный высокий уровень безопасности (уровень 3). Мы рекомендуем использовать эту конфигурацию для устройств, используемых определенными пользователями или группами, которые находятся под уникальным высоким риском. Например, пользователи, обрабатывающие конфиденциальные данные, где несанкционированное раскрытие информации приведет к значительным потерям для организации. Эта конфигурация позволяет более строгим политикам паролей, отключать определенные функции устройства и применять дополнительные ограничения на передачу данных.

Параметры соответствия для автоматической регистрации устройств

• базовая безопасность под присмотром (уровень 1). Мы рекомендуем эту конфигурацию в качестве минимальной безопасности для корпоративных устройств, обращающихся к рабочим или учебным данным. Эта конфигурация достигается путем применения политик паролей, характеристик блокировки устройства и отключения некоторых функций устройства (например, ненадежных сертификатов).
• контролируемой расширенной безопасности (уровень 2). Мы рекомендуем использовать эту конфигурацию для устройств, обращающихся к конфиденциальным данным или информации. Эта конфигурация позволяет управлять доступом к данным и блокировать доступ к USB-устройствам. Эта конфигурация применима к большинству мобильных пользователей, обращаюющихся к рабочим или учебным данным на устройстве.
• защищенный высокий уровень безопасности (уровень 3). Мы рекомендуем эту конфигурацию для устройств, используемых определенными пользователями или группами, которые находятся в уникально высоком риске. Например, пользователи, обрабатывающие высоко конфиденциальные данные, где несанкционированное раскрытие информации приведет к значительным потерям для организации. Эта конфигурация обеспечивает более строгие политики паролей, отключает определенные функции устройства, применяет дополнительные ограничения передачи данных и требует установки приложений через программу массовых закупок Apple.

Параметры регистрации и соответствия для Android

Android Enterprise поддерживает несколько сценариев регистрации, два из которых охватываются этой платформой:

• рабочий профиль Android Enterprise: лично принадлежащие устройства (также известные как собственные устройства или BYOD), которые используются также для работы. Политики, контролируемые ИТ-отделом, гарантируют, что рабочие данные не могут быть переданы в личный профиль.
• Полностью управляемые устройства Android Enterprise: устройства, принадлежащие организации, связанные с одним пользователем и используемые исключительно для работы.

Платформа конфигурации безопасности Android Enterprise организована в несколько различных сценариев конфигурации, которые предоставляют рекомендации по рабочим профилям и полностью управляемым сценариям.

Совет

Как описано ранее, уровень 2 сопоставляется с начальной точкой или корпоративному уровню безопасности, а уровень 3 сопоставляется с специализированному уровню безопасности. Для получения дополнительной информации см. Конфигурации удостоверений и доступа к устройствам модели Zero Trust.

Параметры соответствия для устройств рабочего профиля Android Enterprise

• Нет базового предложения безопасности (уровня 1) для личных устройств рабочего профиля. Доступные параметры не оправдывают разницу между уровнем 1 и уровнем 2.
• рабочий профиль повышенной безопасности (уровень 2). Рекомендуется использовать эту конфигурацию в качестве минимальной безопасности для личных устройств, обращаюющихся к рабочим или учебным данным. Эта конфигурация содержит требования к паролям, отделяет рабочие и личные данные и проверяет аттестацию устройств Android.
• высокий уровень безопасности рабочего профиля (уровень 3). Мы рекомендуем использовать эту конфигурацию для устройств, используемых определенными пользователями или группами, которые находятся на уникально высоком уровне риска. Например, пользователи, обрабатывающие данные высокой степени конфиденциальности, раскрытие которых без разрешения приведет к значительным убыткам для организации. Эта конфигурация представляет защиту от угроз для мобильных устройств или Microsoft Defender для конечной точки, задает минимальную версию Android, обеспечивает более надежные политики паролей, а также разделяет рабочие и персональные данные.

Параметры соответствия для полностью управляемых устройств Android Enterprise

• полностью управляемая базовая безопасность (уровень 1): мы рекомендуем эту конфигурацию в качестве минимальной безопасности для корпоративного устройства. Эта конфигурация применяется к большинству мобильных пользователей, использующих данные для работы или учебы. Эта конфигурация вводит требования к паролям, задает минимальную версию Android и включает определенные ограничения устройств.
• полностью управляемая расширенная безопасность (уровень 2). Рекомендуется использовать эту конфигурацию для устройств, обращаюющихся к конфиденциальным данным или конфиденциальной информации. Эта конфигурация включает более надежные политики паролей и отключает возможности пользователя или учетной записи.
• полностью управляемая высокая безопасность (уровень 3): мы рекомендуем эту конфигурацию для устройств, используемых определенными пользователями или группами, которые находятся в уникально высоком риске. Например, пользователи, обрабатывающие конфиденциальные данные, при котором несанкционированное раскрытие приведет к значительным потерям организации. Эта конфигурация увеличивает минимальную версию Android, вводит защиту от угроз для мобильных устройств или Microsoft Defender для конечной точки и применяет дополнительные ограничения устройств.

Рекомендуемые параметры соответствия для Windows 10 и более поздних версий

Вы настраиваете следующие параметры, как описано в параметрах соответствия устройств для Windows 10/11 в Intune. Эти параметры соответствуют принципам, описанным в конфигурациях доступа к устройству и удостоверению нулевого доверия.

• здоровье устройств > правила оценки службы проверки здоровья Windows:

  Свойство	Значение
  Требовать BitLocker	Требуется
  Требовать включения безопасной загрузки на устройстве	Требуется
  Требовать целостность кода	Требуется

• свойства устройства > версии операционной системы. Укажите соответствующие значения версий операционной системы на основе политик ИТ и безопасности.

  Свойство	Значение
  Минимальная версия ОС
  Максимальная версия ОС
  Минимальная ОС, необходимая для мобильных устройств
  Максимальная операционная система, необходимая для мобильных устройств
  Допустимые сборки операционной системы

• Соответствие Configuration Manager:

  Свойство	Значение
  Требовать соответствия устройств через Configuration Manager	Выберите Обязательные в средах, которыми осуществляется совместное управление с помощью Configuration Manager. В противном случае выберите Не настроено.

• Системная безопасность:

  Свойство	Значение
  Пароль
  Запрашивать пароль для разблокировки мобильных устройств	Требуется
  Простые пароли	Блокировка
  Тип пароля	Устройство по умолчанию
  Минимальная длина пароля	6
  Максимальное бездействие в минутах до того, как требуется пароль	15 минут
  Срок действия пароля (в днях)	41
  Число предыдущих паролей для предотвращения повторного использования	5
  Требовать пароль при возврате устройства из состояния простоя (Mobile и Holographic)	Требуется
  Шифрование
  Требование шифрования хранилища данных на устройстве	Требуется
  брандмауэр
  Брандмауэр	Требуется
  Антивирус
  Антивирусная программа	Требуется
  Антишпионское ПО
  Антишпиостер	Требуется
  Defender
  Антивредоносная программа Microsoft Defender	Требуется
  Минимальная версия защиты от вредоносных программ в Microsoft Defender	Мы рекомендуем использовать значение, которое отстает от последней версии не более чем на пять версий.
  Обновленная подпись защиты от вредоносных программ в Microsoft Defender	Требуется
  защита в режиме реального времени;	Требуется

• Защитник Microsoft для конечного устройства:

  Свойство	Значение
  Требовать, чтобы устройство было на уровне или под оценкой риска компьютера	Средняя

Политики условного доступа

После создания политик защиты приложений и политик соответствия устройств в Intune можно включить принудительное применение с помощью политик условного доступа.

Требовать многофакторную проверку подлинности на основе риска входа

Следуйте указаниям: Требовать многофакторную проверку подлинности для повышения риска входа для создания политики, требующей многофакторной проверки подлинности на основе риска входа.

При настройке политики используйте следующие уровни риска:

Уровень защиты	Уровни риска
Начальная точка	Средний и высокий
Функции корпоративного уровня	Низкий, средний и высокий

Блокировать клиенты, не поддерживающие многофакторную проверку подлинности

Следуйте указаниям: заблокировать устаревшую проверку подлинности с помощью условного доступа.

Пользователи с высоким уровнем риска должны сменить пароль

Следуйте указаниям из раздела: Требовать безопасной смены пароля для пользователей с повышенным риском, чтобы потребовать от пользователей с скомпрометированными учетными данными изменить свои пароли.

Используйте эту политику вместе с защитой паролей Microsoft Entra, которая обнаруживает и блокирует известные слабые пароли, их варианты и конкретные термины в вашей организации. Использование защиты паролей Microsoft Entra гарантирует, что измененные пароли сильнее.

Требовать утвержденные приложения или политики защиты приложений

Необходимо создать политику условного доступа, чтобы применить политики защиты приложений, создаваемые в Intune. Для применения политик защиты приложений требуется политика условного доступа и соответствующая политика защиты приложений.

Чтобы создать политику условного доступа, требующую утвержденных приложений или защиты приложений, выполните действия, описанные в Требовать утвержденные клиентские приложения или политику защиты приложений. Эта политика позволяет учетным записям только в приложениях, защищенных политиками защиты приложений, получать доступ к конечным точкам Microsoft 365.

Блокировка устаревшей проверки подлинности для других приложений на устройствах iOS/iPadOS и Android гарантирует, что эти устройства не могут обойти политики условного доступа. Следуя инструкциям в этой статье, вы уже блокируете клиентов, которые не поддерживают современную аутентификацию.

Требовать совместимые компьютеры и мобильные устройства

Внимание

Перед включением этой политики убедитесь, что собственное устройство соответствует требованиям. В противном случае вы можете оказаться заблокированными и вам понадобится использовать учетную запись аварийного доступа для восстановления доступа.

Разрешите доступ к ресурсам только после того, как устройство будет соответствовать политикам соответствия Intune. Дополнительные сведения см. в статье Требование соответствия устройств с условным доступом.

Вы можете зарегистрировать новые устройства в Intune, даже если выбрано Требовать, чтобы устройство было помечено как соответствующее для всех пользователей и все облачные приложения в политике. Требовать, чтобы устройство было помечено как соответствующее не блокирует регистрацию Intune или доступ к приложению веб-корпоративного портала Microsoft Intune.

Активация подписки

Если в вашей организации используется активация подписки Windows, чтобы пользователи могли перейти с одной версии Windows на другую, следует исключить API и веб-приложение универсальной службы магазина (AppID: 45a330b1-b1ec-4cc1-9161-9f03992aa49f) из проверки на соответствие устройств.

Всегда требуется многофакторная проверка подлинности

Требовать многофакторную проверку подлинности для всех пользователей, следуя инструкциям в этой статье: Требовать многофакторную проверку подлинности для всех пользователей.

Следующие шаги

Узнайте о рекомендациях политики для гостевого доступа