Vanliga säkerhetsprinciper för Microsoft 365-organisationer
Organisationer har mycket att oroa sig för när de distribuerar Microsoft 365 för sin organisation. Principerna för villkorlig åtkomst, appskydd och enhetsefterlevnad som anges i den här artikeln baseras på Microsofts rekommendationer och de tre vägledande principerna för Nolltillit:
- Verifiera explicit
- Använd minst behörighet
- Anta intrång
Organisationer kan använda dessa principer som de är eller anpassa dem så att de passar deras behov. Testa om möjligt dina principer i en icke-produktionsmiljö innan du distribuerar dem till dina produktionsanvändare. Testning är viktigt för att identifiera och förmedla eventuella effekter till dina användare.
Vi grupperar dessa principer i tre skyddsnivåer baserat på var du befinner dig på distributionsresan:
- Startpunkt – Grundläggande kontroller som introducerar multifaktorautentisering, säkra lösenordsändringar och appskyddsprinciper.
- Enterprise – Förbättrade kontroller som introducerar enhetsefterlevnad.
- Specialiserad säkerhet – Principer som kräver multifaktorautentisering varje gång för specifika datauppsättningar eller användare.
Följande diagram visar de skyddsnivåer som varje princip gäller för och vilka typer av enheter principerna gäller för:
Du kan ladda ned det här diagrammet som en PDF-fil .
Dricks
Vi rekommenderar att du kräver multifaktorautentisering (MFA) för användare innan du registrerar enheter i Intune för att säkerställa att enheten är i den avsedda användarens ägo. MFA är aktiverat som standard på grund av standardinställningar för säkerhet, eller så kan du använda principer för villkorsstyrd åtkomst för att kräva MFA för alla användare.
Enheter måste registreras i Intune innan du kan tillämpa enhetsefterlevnadsprinciper.
Förutsättningar
Behörigheter
Följande behörigheter i Microsoft Entra krävs:
- Hantera principer för villkorlig åtkomst: rollen administratör för villkorlig åtkomst.
- Hantera policyer för appskydd och enhetsefterlevnad: Intune-administratörsrollen .
- Visa endast konfigurationer: rollen säkerhetsläsare.
Mer information om roller och behörigheter i Microsoft Entra finns i artikeln inbyggda Microsoft Entra-roller.
Användarregistrering
Se till att användarna registrerar sig för MFA innan du behöver det. Om dina licenser inkluderar Microsoft Entra ID P2 kan du använda registreringsprincipen för MFA i Microsoft Entra ID Protection för att kräva att användarna registrerar sig. Vi tillhandahåller kommunikationsmallar som du kan ladda ned och anpassa för att främja användarregistrering.
Grupper
Alla Microsoft Entra-grupper som du använder som en del av dessa rekommendationer måste vara Microsoft 365-grupper, inte säkerhetsgrupper. Det här kravet är viktigt för distribution av känslighetsetiketter för att skydda dokument i Microsoft Teams och SharePoint. Mer information finns i Läs mer om grupper och åtkomsträttigheter i Microsoft Entra ID.
Tilldelning av principer
Du kan tilldela principer för villkorlig åtkomst till användare, grupper och administratörsroller. Du kan endast tilldela Intune-appskydds- och enhetsefterlevnadsprinciper till grupper. Innan du konfigurerar dina principer bör du identifiera vem som ska inkluderas och undantas. Vanligtvis gäller principer på startpunktsskyddsnivå för alla i organisationen.
I följande tabell beskrivs exempel på grupptilldelningar och undantag för MFA när användarna har slutfört användarregistrering:
| Microsoft Entra-princip för villkorsstyrd åtkomst | Inkludera | Exkludera | |
|---|---|---|---|
| Utgångspunkt | Kräv multifaktorautentisering för medelhög eller hög inloggningsrisk | Alla användare |
|
| Enterprise | Kräv multifaktorautentisering för låg, medelhög eller hög inloggningsrisk | Ledningsgrupp |
|
| Specialiserad säkerhet | Kräv multifaktorautentisering alltid | Top Secret Project Buckeye-grupp |
|
Dricks
Var försiktig när du tillämpar högre skyddsnivåer på användare och grupper. Målet med säkerhet är inte att lägga till onödig friktion i användarupplevelsen. Till exempel måste medlemmar i Top Secret Project Buckeye-gruppen använda MFA varje gång de loggar in, även om de inte arbetar med det specialiserade innehållet för sitt projekt. Överdriven säkerhetsfriktion kan leda till trötthet. Aktivera nätfiskeresistenta autentiseringsmetoder (till exempel Windows Hello för företag eller FIDO2-säkerhetsnycklar) för att minska friktionen som orsakas av säkerhetskontroller.
Konton för nödåtkomst
Alla organisationer bör ha minst ett konto för nödåtkomst som övervakas för användning och exkluderas från principer (och eventuellt fler, beroende på organisationens storlek). Dessa konton används endast om alla andra administratörskonton och autentiseringsmetoder blir utelåst eller på annat sätt otillgängliga. Mer information finns i Hantera konton för nödåtkomst i Microsoft Entra ID.
Exkluderingar
En rekommenderad metod är att skapa en Microsoft Entra-grupp för undantag för villkorsstyrd åtkomst. Den här gruppen ger dig ett sätt att ge åtkomst till en användare när du felsöker åtkomstproblem.
Varning
Vi rekommenderar endast en undantagsgrupp som en tillfällig lösning. Se till att kontinuerligt övervaka den här gruppen för ändringar och kontrollera att gruppen endast används för det avsedda ändamålet.
Utför följande steg för att lägga till en exkluderingsgrupp i befintliga principer. Som tidigare beskrivits behöver du administratör för villkorlig åtkomst behörigheter.
I administrationscentret för Microsoft Entra på https://entra.microsoft.comgår du till Protection>principer för villkorlig åtkomst>. Eller gå direkt till sidan Villkorlig åtkomst | Principer genom att använda https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policies/fromNav/Identity.
På villkorlig åtkomst | Principer sidan väljer du en befintlig princip genom att klicka på namnvärdet.
På sidan med policydetaljer som öppnas, väljer du länken vid Användare i avsnittet Tilldelningar.
I kontrollen som öppnas väljer du fliken Exkludera och väljer sedan Användare och grupper.
I Välj exkluderade användare och grupper utfällbara menyn som öppnas letar du upp och väljer följande identiteter:
- Användare: Nödåtkomstkonton.
- Grupper: Undantagsgruppen för villkorsstyrd åtkomst
När du är klar med utfällningssektionen Välj exkluderade användare och grupper, välj Välj
Distribution
Vi rekommenderar att du implementerar startpunktsprinciper i den ordning som anges i följande tabell. Du kan när som helst implementera MFA-principerna för enterprise och specialiserad säkerhet skyddsnivåer.
Utgångspunkt
| Policy | Mer information | Licensiering |
|---|---|---|
| Kräv MFA när inloggningsrisken är medelhög eller hög | Kräv endast MFA när risken identifieras av Microsoft Entra ID Protection. | Microsoft 365 E5 eller Microsoft 365 E3 med tillägget E5-säkerhet |
| Blockera klienter som inte stöder modern autentisering | Klienter som inte använder modern autentisering kan kringgå principer för villkorsstyrd åtkomst, så det är viktigt att blockera dem. | Microsoft 365 E3 eller E5 |
| Högriskanvändare måste ändra lösenord | Tvingar användare att ändra sitt lösenord när de loggar in om högriskaktivitet identifieras för deras konto. | Microsoft 365 E5 eller Microsoft 365 E3 med tillägget E5-säkerhet |
| Tillämpa programskyddsprinciper för dataskydd | En Intune-appskyddsprincip per plattform (Windows, iOS/iPadOS och Android). | Microsoft 365 E3 eller E5 |
| Kräv godkända appar och appskyddsprinciper | Tillämpar appskyddsprinciper för telefoner och surfplattor med iOS, iPadOS eller Android. | Microsoft 365 E3 eller E5 |
Stora företag
| Policy | Mer information | Licensiering |
|---|---|---|
| Kräv MFA när inloggningsrisken är låg, medelhög eller hög | Kräv endast MFA när risken identifieras av Microsoft Entra ID Protection. | Microsoft 365 E5 eller Microsoft 365 E3 med tillägget E5-säkerhet |
| Definiera principer för enhetsefterlevnad | Ange minimikrav för konfiguration. En princip för varje plattform. | Microsoft 365 E3 eller E5 |
| Kräv kompatibla datorer och mobila enheter | Tillämpar konfigurationskraven för enheter som har åtkomst till din organisation | Microsoft 365 E3 eller E5 |
Specialiserad säkerhet
| Policy | Mer information | Licensiering |
|---|---|---|
| Kräv alltid MFA | Användarna måste göra MFA när de loggar in på tjänster i organisationen. | Microsoft 365 E3 eller E5 |
Appskydd principer
Appskyddsprinciper ange tillåtna appar och vilka åtgärder de kan vidta med organisationens data. Även om det finns många principer att välja mellan beskriver följande lista våra rekommenderade baslinjer.
Dricks
Även om vi tillhandahåller tre mallar bör de flesta organisationer välja nivå 2 (motsvarar startpunkt eller företagssäkerhet) och nivå 3 (motsvarar specialiserad säkerhet).
grundläggande dataskydd på nivå 1 för företag: Vi rekommenderar den här konfigurationen som det minsta dataskyddet för företagsenheter.
Enterprise utökat dataskydd på nivå 2: Vi rekommenderar den här konfigurationen för enheter som har åtkomst till känsliga data eller konfidentiell information. Den här konfigurationen gäller för de flesta mobila användare som har åtkomst till arbets- eller skoldata. Vissa kontroller kan påverka användarupplevelsen.
Dataskydd på företagsnivå 3: Vi rekommenderar den här konfigurationen i följande scenarier:
- Organisationer med större eller mer avancerade säkerhetsteam.
- Enheter som används av specifika användare eller grupper som löper unik hög risk. Användare som hanterar mycket känsliga data där obehörigt avslöjande skulle orsaka betydande förlust för organisationen
Organisationer som sannolikt är mål för välfinansierade och sofistikerade angripare bör sträva efter den här konfigurationen.
Skapa appskyddsprinciper
Skapa en ny appskyddsprincip för varje enhetsplattform i Microsoft Intune (iOS/iPadOS och Android) med hjälp av inställningarna för dataskyddsramverket genom att göra följande:
- Skapa principerna manuellt genom att följa stegen i Skapa och distribuera appskyddsprinciper med Microsoft Intune.
- Importera exempel på JSON-mallar för Intune App Protection Policy Configuration Framework med Intune PowerShell-skript.
Principer för enhetsefterlevnad
Intune-enhetsefterlevnadsprinciper definierar kraven för enheter för att vara kompatibla. Du måste skapa en princip för varje dator, telefon eller surfplatta. Den här artikeln beskriver rekommendationer för följande plattformar:
Skapa principer för enhetsefterlevnad
Gör följande för att skapa principer för enhetsefterlevnad:
- I administrationscentret för Microsoft Intune på https://endpoint.microsoft.comgår du till fliken Hantera enheter>Efterlevnad>Principer. Om du vill gå direkt till fliken principer i Enheter | Sidan Efterlevnad använder https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/compliance.
- På fliken Policyer på sidan Enheter | Efterlevnad, välj Skapa policy.
Stegvisa anvisningar finns i Skapa en efterlevnadsprincip i Microsoft Intune.
Inställningar för registrering och efterlevnad för iOS/iPadOS
iOS/iPadOS stöder flera registreringsscenarier, varav två omfattas av det här ramverket:
- Enhetsregistrering för personligt ägda enheter: Personligt ägda enheter (kallas även bring your own device eller BYOD) som också används för arbete.
- Automatisk enhetsregistrering för företagsägda enheter: Organisationsägda enheter som är associerade med en enskild användare och som endast används för arbete.
Dricks
Som tidigare beskrivits motsvarar nivå 2 startpunkt eller säkerhet på företagsnivå, och nivå 3 motsvarar specialiserad säkerhet. Mer information finns i Zero Trust-identitet och enhetsåtkomstkonfigurationer.
Efterlevnadsinställningar för personligt registrerade enheter
- Personlig grundläggande säkerhet (nivå 1): Vi rekommenderar den här konfigurationen som minimisäkerhet för personliga enheter som har åtkomst till arbets- eller skoldata. Du uppnår den här konfigurationen genom att framtvinga lösenordsprinciper, enhetslåsegenskaper och inaktivera vissa enhetsfunktioner (till exempel ej betrodda certifikat).
- Personlig förbättrad säkerhet (nivå 2): Vi rekommenderar den här konfigurationen för enheter som har åtkomst till känsliga data eller konfidentiell information. Den här konfigurationen aktiverar kontroller för datadelning. Den här konfigurationen gäller för de flesta mobila användare som har åtkomst till arbets- eller skoldata.
- Personlig hög säkerhet (nivå 3): Vi rekommenderar den här konfigurationen för enheter som används av specifika användare eller grupper som löper unik hög risk. Till exempel skulle användare som hanterar mycket känsliga data där obehörigt avslöjande orsaka betydande förlust för organisationen. Den här konfigurationen möjliggör starkare lösenordsprinciper, inaktiverar vissa enhetsfunktioner och framtvingar extra dataöverföringsbegränsningar.
Kompatibilitetsinställningar för automatisk enhetsregistrering
- Övervakad grundläggande säkerhet (nivå 1): Vi rekommenderar den här konfigurationen som minimisäkerhet för företagsenheter som har åtkomst till arbets- eller skoldata. Du uppnår den här konfigurationen genom att framtvinga lösenordsprinciper, enhetslåsegenskaper och inaktivera vissa enhetsfunktioner (till exempel ej betrodda certifikat).
- Övervakad förbättrad säkerhet (nivå 2): Vi rekommenderar den här konfigurationen för enheter som har åtkomst till känsliga data eller konfidentiell information. Den här konfigurationen möjliggör datadelningskontroller och blockerar åtkomst till USB-enheter. Den här konfigurationen gäller för de flesta mobila användare som har åtkomst till arbets- eller skoldata på en enhet.
- Övervakad hög säkerhet (nivå 3): Vi rekommenderar den här konfigurationen för enheter som används av specifika användare eller grupper som löper unik hög risk. Till exempel skulle användare som hanterar mycket känsliga data där obehörigt avslöjande orsaka betydande förlust för organisationen. Den här konfigurationen möjliggör starkare lösenordsprinciper, inaktiverar vissa enhetsfunktioner, framtvingar extra dataöverföringsbegränsningar och kräver att appar installeras via Apples volymköpsprogram.
Inställningar för registrering och efterlevnad för Android
Android Enterprise stöder flera registreringsscenarier, varav två omfattas av det här ramverket:
- Android Enterprise-arbetsprofil: Personligt ägda enheter (kallas även bring your own device eller BYOD) som också används för arbete. Principer som styrs av IT-avdelningen säkerställer att arbetsdata inte kan överföras till den personliga profilen.
- fullständigt hanterade Android Enterprise-enheter: Organisationsägda enheter som är associerade med en enskild användare och som endast används för arbete.
Säkerhetskonfigurationsramverket för Android Enterprise är indelat i flera olika konfigurationsscenarier som ger vägledning för arbetsprofil och fullständigt hanterade scenarier.
Dricks
Som tidigare beskrivits, mappar nivå 2 till startpunkt eller , säkerhet på företagsnivå, och nivå 3 till specialiserad säkerhet. För mer information, se Zero Trust-identitet och konfigurationer för åtkomst för enheter.
Kompatibilitetsinställningar för Android Enterprise-arbetsprofilenheter
- Det finns inget grundläggande säkerhetserbjudande (nivå 1) för personligt ägda arbetsprofilenheter. De tillgängliga inställningarna motiverar ingen skillnad mellan nivå 1 och nivå 2.
- Förbättrad säkerhet för arbetsprofil (nivå 2): Vi rekommenderar den här konfigurationen som minimisäkerhet för personliga enheter som har åtkomst till arbets- eller skoldata. Den här konfigurationen introducerar lösenordskrav, separerar arbetsdata och personliga data och validerar Android-enhetsattestering.
- Hög säkerhet i arbetsprofilen (nivå 3): Vi rekommenderar den här konfigurationen för enheter som används av specifika användare eller grupper som löper unik hög risk. Till exempel skulle användare som hanterar mycket känsliga data där obehörigt avslöjande orsaka betydande förlust för organisationen. Den här konfigurationen introducerar skydd mot mobilhot eller Microsoft Defender för Endpoint, anger lägsta Android-version, möjliggör starkare lösenordsprinciper och separerar arbetsdata och personliga data ytterligare.
Kompatibilitetsinställningar för fullständigt hanterade Android Enterprise-enheter
- Fullständigt hanterad grundläggande säkerhet (nivå 1): Vi rekommenderar den här konfigurationen som minsta säkerhet för en företagsenhet. Den här konfigurationen gäller för de flesta mobila användare som arbetar med arbets- eller skoldata. Den här konfigurationen introducerar lösenordskrav, anger lägsta Android-version och aktiverar specifika enhetsbegränsningar.
- Fullständigt hanterad förbättrad säkerhet (nivå 2): Vi rekommenderar den här konfigurationen för enheter som har åtkomst till känsliga data eller konfidentiell information. Den här konfigurationen möjliggör starkare lösenordsprinciper och inaktiverar användar-/kontofunktioner.
- Fullständigt hanterad hög säkerhet (nivå 3): Vi rekommenderar den här konfigurationen för enheter som används av specifika användare eller grupper med unik hög risk. Till exempel skulle användare som hanterar mycket känsliga data där obehörigt avslöjande orsaka betydande förlust för organisationen. Den här konfigurationen ökar den lägsta Android-versionen, introducerar skydd mot mobilhot eller Microsoft Defender för Endpoint och tillämpar extra enhetsbegränsningar.
Rekommenderade kompatibilitetsinställningar för Windows 10 och senare
Du konfigurerar följande inställningar enligt beskrivningen i Enhetsefterlevnadsinställningar för Windows 10/11 i Intune. De här inställningarna överensstämmer med de principer som beskrivs i Nolltillit konfigurationer för identitets- och enhetsåtkomst.
Utvärderingsregler för enhetshälsa > Utvärderingsregler för Windows Health Attestation Service:
Property Värde Kräv BitLocker Kräv Kräv säker start för att aktiveras på enheten Kräv Kräv kodintegritet Kräv Enhetsegenskaper > operativsystemversion: Ange lämpliga värden för operativsystemversioner baserat på dina IT- och säkerhetsprinciper.
Property Värde Lägsta operativsystemversion Högsta operativsystemversion Lägsta operativsystem som krävs för mobila enheter Maximalt operativsystem som krävs för mobila enheter Giltiga operativsystemversioner Configuration Manager Compliance:
Property Värde Kräv enhetsefterlevnad från Configuration Manager Välj Obligatoriskt i miljöer som samhanteras med Configuration Manager. Annars väljer du Inte konfigurerad. Systemsäkerhet:
Property Värde Lösenord Kräv ett lösenord för att låsa upp mobila enheter Kräv Enkla lösenord Blockera Lösenordstyp Enhetsstandard Minsta längd på lösenord 6 Maximal inaktivitet i minuter innan ett lösenord krävs 15 minuter Förfallotid för lösenord (dagar) 41 Antal tidigare lösenord för att förhindra återanvändning 5 Kräv lösenord när enheten återgår från inaktivt tillstånd (mobil och holografisk) Kräv Kryptering Kräv kryptering av datalagring på enheten Kräv Brandvägg Brandvägg Kräv Antivirus Antivirus Kräv Antispyware Antispionprogram Kräv Defender Microsoft Defender mot skadlig kod Kräv Lägsta version av Microsoft Defender mot skadlig kod Vi rekommenderar ett värde som inte är mer än fem versioner bakom den senaste versionen. Microsoft Defender-signatur mot skadlig kod uppdaterad Kräv Realtidsskydd Kräv Microsoft Defender för Endpoint:
Property Värde Kräv att enheten är vid eller under maskinriskpoängen Medium
Principer för villkorlig åtkomst
När du har skapat appskyddsprinciper och enhetsefterlevnadsprinciper i Intune kan du aktivera tillämpning med principer för villkorlig åtkomst.
Kräv MFA baserat på inloggningsrisk
Följ anvisningarna i: Kräv multifaktorautentisering för förhöjd inloggningsrisk för att skapa en princip som kräver multifaktorautentisering baserat på inloggningsrisk.
När du konfigurerar principen använder du följande risknivåer:
| Skyddsnivå | Risknivåer |
|---|---|
| Utgångspunkt | Medel och hög |
| Stora företag | Låg, medelhög och hög |
Blockera klienter som inte stöder multifaktorautentisering
Följ anvisningarna i: Blockera äldre autentisering med villkorlig åtkomst.
Högriskanvändare måste ändra lösenord
Följ anvisningarna i: Kräv en säker lösenordsändring för förhöjd användarrisk att kräva att användare med komprometterade autentiseringsuppgifter ändrar sitt lösenord.
Använd den här principen tillsammans med Microsoft Entra-lösenordsskydd, som identifierar och blockerar kända svaga lösenord, deras varianter och specifika termer i din organisation. Genom att använda Microsoft Entra-lösenordsskydd ser du till att ändrade lösenord blir starkare.
Kräv godkända appar eller appskyddsprinciper
Du måste skapa en princip för villkorlig åtkomst för att tillämpa appskyddsprinciper som du skapar i Intune. För att tillämpa appskyddsprinciper krävs en princip för villkorsstyrd åtkomst och en motsvarande appskyddsprincip.
Om du vill skapa en princip för villkorlig åtkomst som kräver godkända appar eller appskydd följer du stegen i Kräv godkända klientappar eller appskyddsprinciper. Den här principen tillåter endast att konton i appar som skyddas av appskyddsprinciper får åtkomst till Microsoft 365-slutpunkter.
Blockering av äldre autentisering för andra appar på iOS/iPadOS- och Android-enheter säkerställer att dessa enheter inte kan kringgå principer för villkorsstyrd åtkomst. Genom att följa riktlinjerna i den här artikeln du redan blockera klienter som inte stöder modern autentisering.
Kräv kompatibla datorer och mobila enheter
Varning
Kontrollera att din egen enhet är kompatibel innan du aktiverar den här principen. Annars kan du bli utelåst och behöva använda ett konto för nödåtkomst för att återställa din åtkomst.
Tillåt endast åtkomst till resurser när enheten har fastställts vara kompatibel med dina Intune-efterlevnadsprinciper. Mer information finns i Kräv enhetsefterlevnad med villkorlig åtkomst.
Du kan registrera nya enheter i Intune, även om du väljer Kräv att enheten markeras som följsam för Alla användare och Alla molnappar i policyn. Kräv att enheten markeras som kompatibel inte blockerar Intune-registrering eller åtkomst till Microsoft Intune Web Company Portal-appen.
Prenumerationsaktivering
Om din organisation använder Windows-prenumerationsaktivering för att göra det möjligt för användare att "stega upp" från en version av Windows till en annan, bör du exkludera API:er för Universal Store-tjänsten och webbprogram (AppID: 45a330b1-b1ec-4cc1-9161-9f03992aa49f) från enhetens övervakning av efterlevnadsregler.
Kräv alltid MFA
Kräv MFA för alla användare genom att följa anvisningarna i den här artikeln: Kräv multifaktorautentisering för alla användare.
Nästa steg
