Vanliga säkerhetsprinciper för Microsoft 365-organisationer
Organisationer har mycket att oroa sig för när de distribuerar Microsoft 365 för sin organisation. Principerna för villkorlig åtkomst, appskydd och enhetsefterlevnad som anges i den här artikeln baseras på Microsofts rekommendationer och de tre vägledande principerna för Nolltillit:
- Verifiera explicit
- Använd minst behörighet
- Anta intrång
Organisationer kan använda dessa principer som de är eller anpassa dem så att de passar deras behov. Testa om möjligt dina principer i en icke-produktionsmiljö innan du distribuerar till dina produktionsanvändare. Testning är viktigt för att identifiera och förmedla eventuella effekter till dina användare.
Vi grupperar dessa principer i tre skyddsnivåer baserat på var du befinner dig på distributionsresan:
- Startpunkt – Grundläggande kontroller som introducerar multifaktorautentisering, säkra lösenordsändringar och appskyddsprinciper.
- Enterprise – Förbättrade kontroller som introducerar enhetsefterlevnad.
- Specialiserad säkerhet – Principer som kräver multifaktorautentisering varje gång för specifika datauppsättningar eller användare.
Följande diagram visar vilken skyddsnivå som varje princip gäller för och om principerna gäller för datorer, telefoner och surfplattor eller båda enhetskategorierna.
Du kan ladda ned det här diagrammet som en PDF-fil .
Dricks
Att kräva användning av multifaktorautentisering (MFA) rekommenderas innan du registrerar enheter i Intune för att säkerställa att enheten är i den avsedda användarens ägo. Du måste registrera enheter i Intune innan du kan tillämpa enhetsefterlevnadsprinciper.
Förutsättningar
Behörigheter
- Användare som ska hantera principer för villkorlig åtkomst måste kunna logga in på Azure Portal som minst administratör för villkorlig åtkomst.
- Användare som ska hantera principer för appskydd och enhetsefterlevnad måste kunna logga in på Intune som minst Intune-administratör.
- De användare som bara behöver visa konfigurationer kan tilldelas rollerna Säkerhetsläsare eller Global läsare .
Mer information om roller och behörigheter finns i artikeln Microsoft Entra inbyggda roller.
Användarregistrering
Se till att användarna registrerar sig för multifaktorautentisering innan de behöver den. Om du har licenser som innehåller Microsoft Entra ID P2 kan du använda MFA-registreringsprincipen i Microsoft Entra ID Protection för att kräva att användarna registrerar sig. Vi tillhandahåller kommunikationsmallar som du kan ladda ned och anpassa för att främja registreringen.
Grupper
Alla Microsoft Entra-grupper som används som en del av dessa rekommendationer måste skapas som en Microsoft 365-grupp, inte en säkerhetsgrupp. Det här kravet är viktigt för distribution av känslighetsetiketter när du skyddar dokument i Microsoft Teams och SharePoint senare. Mer information finns i artikeln Läs mer om grupper och åtkomsträttigheter i Microsoft Entra-ID
Tilldelning av principer
Principer för villkorlig åtkomst kan tilldelas till användare, grupper och administratörsroller. Intune-appskydds- och enhetsefterlevnadsprinciper kan endast tilldelas till grupper. Innan du konfigurerar dina principer bör du identifiera vem som ska inkluderas och undantas. Vanligtvis gäller principer på startpunktsskyddsnivå för alla i organisationen.
Här är ett exempel på grupptilldelning och undantag för att kräva MFA när användarna har slutfört användarregistreringen.
Microsoft Entra-princip för villkorsstyrd åtkomst | Inkludera | Exkludera | |
---|---|---|---|
Utgångspunkt | Kräv multifaktorautentisering för medelhög eller hög inloggningsrisk | Alla användare |
|
Enterprise | Kräv multifaktorautentisering för låg, medelhög eller hög inloggningsrisk | Ledningsgrupp |
|
Specialiserad säkerhet | Kräv multifaktorautentisering alltid | Top Secret Project Buckeye-grupp |
|
Var försiktig när du tillämpar högre skyddsnivåer på grupper och användare. Målet med säkerhet är inte att lägga till onödig friktion i användarupplevelsen. Medlemmar i gruppen Top Secret Project Buckeye måste till exempel använda MFA varje gång de loggar in, även om de inte arbetar med det specialiserade säkerhetsinnehållet för projektet. Överdriven säkerhetsfriktion kan leda till trötthet.
Du kan överväga att aktivera lösenordslösa autentiseringsmetoder, till exempel Windows Hello för företag eller FIDO2-säkerhetsnycklar för att minska friktionen som skapas av vissa säkerhetskontroller.
Konton för nödåtkomst
Alla organisationer bör ha minst ett konto för nödåtkomst som övervakas för användning och undantas från principer. Dessa konton används endast om alla andra administratörskonton och autentiseringsmetoder blir utelåst eller på annat sätt otillgängliga. Mer information finns i artikeln Hantera konton för nödåtkomst i Microsoft Entra-ID.
Exkluderingar
En rekommenderad metod är att skapa en Microsoft Entra-grupp för undantag för villkorsstyrd åtkomst. Den här gruppen ger dig ett sätt att ge åtkomst till en användare när du felsöker åtkomstproblem.
Varning
Den här gruppen rekommenderas endast för användning som tillfällig lösning. Övervaka och granska den här gruppen kontinuerligt för ändringar och se till att exkluderingsgruppen endast används som avsett.
Så här lägger du till den här undantagsgruppen i alla befintliga principer:
- Logga in på Microsoft Entra admincenter som administratör för villkorsstyrd åtkomst.
- Bläddra till Villkorlig åtkomst för skydd>.
- Välj en befintlig princip.
- Under Tilldelningar väljer du Användare eller arbetsbelastningsidentiteter.
- Under Exkludera väljer du Användare och grupper och väljer organisationens nödåtkomst- eller break-glass-konton och undantagsgrupp för villkorsstyrd åtkomst.
Distribution
Vi rekommenderar att du implementerar startpunktsprinciperna i den ordning som anges i den här tabellen. MFA-principerna för företag och specialiserade säkerhetsnivåer kan dock implementeras när som helst.
Utgångspunkt
Policy | Mer information | Licensiering |
---|---|---|
Kräv MFA när inloggningsrisken är medelhög eller hög | Använd riskdata från Microsoft Entra ID Protection för att kräva MFA endast när risken identifieras | Microsoft 365 E5 eller Microsoft 365 E3 med tillägget E5-säkerhet |
Blockera klienter som inte stöder modern autentisering | Klienter som inte använder modern autentisering kan kringgå principer för villkorsstyrd åtkomst, så det är viktigt att blockera dem. | Microsoft 365 E3 eller E5 |
Högriskanvändare måste ändra lösenord | Tvingar användare att ändra sitt lösenord när de loggar in om högriskaktivitet identifieras för deras konto. | Microsoft 365 E5 eller Microsoft 365 E3 med tillägget E5-säkerhet |
Tillämpa programskyddsprinciper för dataskydd | En Intune-appskyddsprincip per plattform (Windows, iOS/iPadOS, Android). | Microsoft 365 E3 eller E5 |
Kräv godkända appar och appskyddsprinciper | Tillämpar mobilappskyddsprinciper för telefoner och surfplattor med iOS, iPadOS eller Android. | Microsoft 365 E3 eller E5 |
Stora företag
Policy | Mer information | Licensiering |
---|---|---|
Kräv MFA när inloggningsrisken är låg, medelhög eller hög | Använd riskdata från Microsoft Entra ID Protection för att kräva MFA endast när risken identifieras | Microsoft 365 E5 eller Microsoft 365 E3 med tillägget E5-säkerhet |
Definiera principer för enhetsefterlevnad | Ange minimikrav för konfiguration. En princip för varje plattform. | Microsoft 365 E3 eller E5 |
Kräv kompatibla datorer och mobila enheter | Tillämpar konfigurationskraven för enheter som har åtkomst till din organisation | Microsoft 365 E3 eller E5 |
Specialiserad säkerhet
Policy | Mer information | Licensiering |
---|---|---|
Kräv alltid MFA | Användare måste utföra MFA när de loggar in på dina organisationstjänster | Microsoft 365 E3 eller E5 |
Appskydd principer
Appskydd principer definierar vilka appar som tillåts och vilka åtgärder de kan vidta med organisationens data. Det finns många tillgängliga alternativ och det kan vara förvirrande för vissa. Följande baslinjer är Microsofts rekommenderade konfigurationer som kan skräddarsys efter dina behov. Vi tillhandahåller tre mallar att följa, men tror att de flesta organisationer kommer att välja nivå 2 och 3.
Nivå 2 mappar till vad vi anser vara startpunkt eller säkerhet på företagsnivå , nivå 3 mappar till specialiserad säkerhet.
Grundläggande dataskydd på nivå 1 för företag – Microsoft rekommenderar den här konfigurationen som den minsta dataskyddskonfigurationen för en företagsenhet.
Förbättrat dataskydd på nivå 2 för företag – Microsoft rekommenderar den här konfigurationen för enheter där användare får åtkomst till känslig eller konfidentiell information. Den här konfigurationen gäller för de flesta mobila användare som har åtkomst till arbets- eller skoldata. Vissa kontroller kan påverka användarupplevelsen.
Hög dataskydd på nivå 3 för företag – Microsoft rekommenderar den här konfigurationen för enheter som körs av en organisation med ett större eller mer avancerat säkerhetsteam, eller för specifika användare eller grupper som löper unik hög risk (användare som hanterar mycket känsliga data där obehörigt avslöjande orsakar betydande materialförlust för organisationen). En organisation som sannolikt kommer att bli måltavla för välfinansierade och sofistikerade angripare bör sträva efter den här konfigurationen.
Skapa appskyddsprinciper
Skapa en ny appskyddsprincip för varje plattform (iOS och Android) i Microsoft Intune med hjälp av inställningarna för dataskyddsramverket genom att:
- Skapa principerna manuellt genom att följa stegen i Skapa och distribuera appskyddsprinciper med Microsoft Intune.
- Importera exempel på JSON-mallar för Intune App Protection Policy Configuration Framework med Intune PowerShell-skript.
Principer för enhetsefterlevnad
Intune-enhetsefterlevnadsprinciper definierar de krav som enheterna måste uppfylla för att fastställas som kompatibla.
Du måste skapa en princip för varje dator, telefon eller surfplatta. Den här artikeln beskriver rekommendationer för följande plattformar:
Skapa principer för enhetsefterlevnad
Om du vill skapa principer för enhetsefterlevnad loggar du in på administrationscentret för Microsoft Intune och går till Principer för enhetsefterlevnad>>. Välj Skapa princip.
Stegvis vägledning om hur du skapar efterlevnadsprinciper i Intune finns i Skapa en efterlevnadsprincip i Microsoft Intune.
Inställningar för registrering och efterlevnad för iOS/iPadOS
iOS/iPadOS stöder flera registreringsscenarier, varav två omfattas som en del av det här ramverket:
- Enhetsregistrering för personligt ägda enheter – dessa enheter ägs personligen och används för både arbete och personligt bruk.
- Automatisk enhetsregistrering för företagsägda enheter – dessa enheter är företagsägda, associerade med en enskild användare och används uteslutande för arbete och inte för personligt bruk.
Använd principerna som beskrivs i Nolltillit konfigurationer för identitets- och enhetsåtkomst:
- Startpunkts- och företagsskyddsnivåer mappar nära de förbättrade säkerhetsinställningarna på nivå 2.
- Den specialiserade säkerhetsskyddsnivån mappar nära de höga säkerhetsinställningarna på nivå 3.
Efterlevnadsinställningar för personligt registrerade enheter
- Personlig grundläggande säkerhet (nivå 1) – Microsoft rekommenderar den här konfigurationen som den minsta säkerhetskonfigurationen för personliga enheter där användarna får åtkomst till arbets- eller skoldata. Den här konfigurationen görs genom att framtvinga lösenordsprinciper, egenskaper för enhetslås och inaktivera vissa enhetsfunktioner, till exempel ej betrodda certifikat.
- Personlig förbättrad säkerhet (nivå 2) – Microsoft rekommenderar den här konfigurationen för enheter där användare får åtkomst till känslig eller konfidentiell information. Den här konfigurationen utför kontroller för datadelning. Den här konfigurationen gäller för de flesta mobila användare som har åtkomst till arbets- eller skoldata på en enhet.
- Personlig hög säkerhet (nivå 3) – Microsoft rekommenderar den här konfigurationen för enheter som används av specifika användare eller grupper som är unikt högrisk (användare som hanterar mycket känsliga data där obehörigt avslöjande orsakar betydande materialförlust för organisationen). Den här konfigurationen tillämpar starkare lösenordsprinciper, inaktiverar vissa enhetsfunktioner och tillämpar extra dataöverföringsbegränsningar.
Kompatibilitetsinställningar för automatisk enhetsregistrering
- Övervakad grundläggande säkerhet (nivå 1) – Microsoft rekommenderar den här konfigurationen som den minsta säkerhetskonfigurationen för övervakade enheter där användarna har åtkomst till arbets- eller skoldata. Den här konfigurationen görs genom att framtvinga lösenordsprinciper, egenskaper för enhetslås och inaktivera vissa enhetsfunktioner, till exempel ej betrodda certifikat.
- Övervakad förbättrad säkerhet (nivå 2) – Microsoft rekommenderar den här konfigurationen för enheter där användare får åtkomst till känslig eller konfidentiell information. Den här konfigurationen utför kontroller för datadelning och blockerar åtkomst till USB-enheter. Den här konfigurationen gäller för de flesta mobila användare som har åtkomst till arbets- eller skoldata på en enhet.
- Övervakad hög säkerhet (nivå 3) – Microsoft rekommenderar den här konfigurationen för enheter som används av specifika användare eller grupper som är unikt högrisk (användare som hanterar mycket känsliga data där obehörigt avslöjande orsakar betydande materialförlust för organisationen). Den här konfigurationen tillämpar starkare lösenordsprinciper, inaktiverar vissa enhetsfunktioner, framtvingar extra dataöverföringsbegränsningar och kräver att appar installeras via Apples volymköpsprogram.
Inställningar för registrering och efterlevnad för Android
Android Enterprise stöder flera registreringsscenarier, varav två omfattas som en del av det här ramverket:
- Android Enterprise-arbetsprofil – den här registreringsmodellen används vanligtvis för personligt ägda enheter, där IT-avdelningen vill tillhandahålla en tydlig separationsgräns mellan arbetsdata och personliga data. Principer som styrs av IT säkerställer att arbetsdata inte kan överföras till den personliga profilen.
- Fullständigt hanterade Android Enterprise-enheter – dessa enheter är företagsägda, associerade med en enskild användare och används uteslutande för arbete och inte för personligt bruk.
Säkerhetskonfigurationsramverket för Android Enterprise är indelat i flera olika konfigurationsscenarier, vilket ger vägledning för arbetsprofil och fullständigt hanterade scenarier.
Använd principerna som beskrivs i Nolltillit konfigurationer för identitets- och enhetsåtkomst:
- Startpunkts- och företagsskyddsnivåer mappar nära de förbättrade säkerhetsinställningarna på nivå 2.
- Den specialiserade säkerhetsskyddsnivån mappar nära de höga säkerhetsinställningarna på nivå 3.
Kompatibilitetsinställningar för Android Enterprise-arbetsprofilenheter
- På grund av de inställningar som är tillgängliga för personligt ägda arbetsprofilenheter finns det inget grundläggande säkerhetserbjudande (nivå 1). De tillgängliga inställningarna motiverar ingen skillnad mellan nivå 1 och nivå 2.
- Förbättrad säkerhet för arbetsprofil (nivå 2) – Microsoft rekommenderar den här konfigurationen som den minsta säkerhetskonfigurationen för personliga enheter där användarna får åtkomst till arbets- eller skoldata. Den här konfigurationen introducerar lösenordskrav, separerar arbetsdata och personliga data och validerar Android-enhetsattestering.
- Hög säkerhet för arbetsprofil (nivå 3) – Microsoft rekommenderar den här konfigurationen för enheter som används av specifika användare eller grupper som är unikt högrisk (användare som hanterar mycket känsliga data där obehörigt avslöjande orsakar betydande materialförlust för organisationen). Den här konfigurationen introducerar skydd mot mobilhot eller Microsoft Defender för Endpoint, anger lägsta Android-version, implementerar starkare lösenordsprinciper och begränsar arbets- och personlig separation ytterligare.
Kompatibilitetsinställningar för fullständigt hanterade Android Enterprise-enheter
- Fullständigt hanterad grundläggande säkerhet (nivå 1) – Microsoft rekommenderar den här konfigurationen som den minsta säkerhetskonfigurationen för en företagsenhet. Den här konfigurationen gäller för de flesta mobila användare som har åtkomst till arbets- eller skoldata. Den här konfigurationen introducerar lösenordskrav, anger lägsta Android-version och antar vissa enhetsbegränsningar.
- Fullständigt hanterad förbättrad säkerhet (nivå 2) – Microsoft rekommenderar den här konfigurationen för enheter där användare får åtkomst till känslig eller konfidentiell information. Den här konfigurationen implementerar starkare lösenordsprinciper och inaktiverar användar-/kontofunktioner.
- Fullständigt hanterad hög säkerhet (nivå 3) – Microsoft rekommenderar den här konfigurationen för enheter som används av specifika användare eller grupper som är unikt hög riskfyllda. Dessa användare kan hantera mycket känsliga data där obehörigt avslöjande kan orsaka betydande materialförlust för organisationen. Den här konfigurationen ökar den lägsta Android-versionen, introducerar skydd mot mobilhot eller Microsoft Defender för Endpoint och tillämpar extra enhetsbegränsningar.
Rekommenderade kompatibilitetsinställningar för Windows 10 och senare
Följande inställningar konfigureras i steg 2: Efterlevnadsinställningar, skapandeprocessen för efterlevnadsprinciper för Windows 10 och nyare enheter. De här inställningarna överensstämmer med de principer som beskrivs i Nolltillit konfigurationer för identitets- och enhetsåtkomst.
Information om utvärderingsregler för Windows > Health Attestation Service finns i den här tabellen.
Property | Värde |
---|---|
Kräv BitLocker | Kräv |
Kräv säker start för att aktiveras på enheten | Kräv |
Kräv kodintegritet | Kräv |
För Enhetsegenskaper anger du lämpliga värden för operativsystemversioner baserat på dina IT- och säkerhetsprinciper.
För Configuration Manager-efterlevnad väljer du Kräv annars Inte konfigurerad om du befinner dig i en samhanterad miljö med Configuration Manager.
Information om systemsäkerhet finns i den här tabellen.
Property | Värde |
---|---|
Kräv ett lösenord för att låsa upp mobila enheter | Kräv |
Enkla lösenord | Blockera |
Lösenordstyp | Enhetsstandard |
Minsta längd på lösenord | 6 |
Maximalt antal minuter av inaktivitet innan ett lösenord krävs | 15 minuter |
Förfallotid för lösenord (dagar) | 41 |
Antal tidigare lösenord för att förhindra återanvändning | 5 |
Kräv lösenord när enheten återgår från inaktivt tillstånd (mobil och holografisk) | Kräv |
Kräv kryptering av datalagring på enheten | Kräv |
Brandvägg | Kräv |
Antivirus | Kräv |
Antispionprogram | Kräv |
Microsoft Defender Antimalware | Kräv |
Lägsta version av Microsoft Defender Antimalware | Microsoft rekommenderar versioner som inte är fler än fem bakom från den senaste versionen. |
Microsoft Defender Antimalware-signatur uppdaterad | Kräv |
Realtidsskydd | Kräv |
För Microsoft Defender för Endpoint
Property | Värde |
---|---|
Kräv att enheten är vid eller under maskinriskpoängen | Medium |
Principer för villkorlig åtkomst
När dina principer för appskydd och enhetsefterlevnad har skapats i Intune kan du aktivera tillämpning med principer för villkorlig åtkomst.
Kräv MFA baserat på inloggningsrisk
Följ riktlinjerna i artikeln Common Conditional Access policy: Sign-in risk-based multifactor authentication to create a policy to require multifactor authentication based on sign-in risk (Inloggningsriskbaserad multifaktorautentisering ) för att skapa en princip som kräver multifaktorautentisering baserat på inloggningsrisk.
När du konfigurerar principen använder du följande risknivåer.
Skyddsnivå | Värden på risknivå som behövs | Åtgärd |
---|---|---|
Utgångspunkt | Hög, medelhög | Kontrollera båda. |
Stora företag | Hög, medel, låg | Kontrollera alla tre. |
Blockera klienter som inte stöder multifaktorautentisering
Följ riktlinjerna i artikeln Common Conditional Access policy: Blockera äldre autentisering för att blockera äldre autentisering.
Högriskanvändare måste ändra lösenord
Följ riktlinjerna i artikeln Common Conditional Access policy: User risk-based password change to require users with compromised credentials to change their password(Användarriskbaserad lösenordsändring ) för att kräva att användare med komprometterade autentiseringsuppgifter ändrar sitt lösenord.
Använd den här principen tillsammans med Microsoft Entra-lösenordsskydd, som identifierar och blockerar kända svaga lösenord och deras varianter utöver termer som är specifika för din organisation. Genom att använda Microsoft Entra-lösenordsskydd ser du till att ändrade lösenord blir starkare.
Kräv godkända appar och appskyddsprinciper
Du måste skapa en princip för villkorlig åtkomst för att tillämpa appskyddsprinciperna som skapats i Intune. För att tillämpa appskyddsprinciper krävs en princip för villkorsstyrd åtkomst och en motsvarande appskyddsprincip.
Om du vill skapa en princip för villkorlig åtkomst som kräver godkända appar och APP-skydd följer du stegen i Kräv godkända klientappar eller appskyddsprinciper med mobila enheter. Den här principen tillåter endast att konton i mobilappar som skyddas av appskyddsprinciper får åtkomst till Microsoft 365-slutpunkter.
Blockering av äldre autentisering för andra klientappar på iOS- och Android-enheter säkerställer att dessa klienter inte kan kringgå principer för villkorsstyrd åtkomst. Om du följer riktlinjerna i den här artikeln har du redan konfigurerat Blockera klienter som inte stöder modern autentisering.
Kräv kompatibla datorer och mobila enheter
Följande steg hjälper dig att skapa en princip för villkorsstyrd åtkomst som kräver att enheter som har åtkomst till resurser markeras som kompatibla med din organisations Intune-efterlevnadsprinciper.
Varning
Kontrollera att enheten är kompatibel innan du aktiverar den här principen. Annars kan du bli utelåst och inte kunna ändra den här principen förrän ditt användarkonto har lagts till i undantagsgruppen för villkorsstyrd åtkomst.
- Logga in på Azure-portalen.
- Bläddra till Microsoft Entra ID>Security>Villkorlig åtkomst.
- Välj Ny princip.
- Ge principen ett namn. Vi rekommenderar att organisationer skapar en meningsfull standard för namnen på sina principer.
- Under Tilldelningar väljer du Användare eller arbetsbelastningsidentiteter.
- Under Inkludera väljer du Alla användare.
- Under Exkludera väljer du Användare och grupper och väljer organisationens konton för nödåtkomst eller break-glass.
- Under Molnappar eller åtgärder>Inkludera väljer du Alla molnappar.
- Om du måste exkludera specifika program från din princip kan du välja dem på fliken Exkludera under Välj exkluderade molnappar och välja Välj.
- Under Åtkomstkontroller>Bevilja.
- Välj Kräv att enheten ska markeras som kompatibel.
- Välj Välj.
- Bekräfta inställningarna och ange Aktivera princip till På.
- Välj Skapa för att skapa för att aktivera principen.
Kommentar
Du kan registrera dina nya enheter i Intune även om du väljer Kräv att enheten ska markeras som kompatibel för Alla användare och Alla molnappar i din princip. Kräv att enheten markeras som kompatibel kontroll blockerar inte Intune-registrering och åtkomsten till Microsoft Intune Web Företagsportal-programmet.
Prenumerationsaktivering
Organisationer som använder funktionen Prenumerationsaktivering för att göra det möjligt för användare att "stega upp" från en version av Windows till en annan, kanske vill undanta Universal Store Service-API:er och webbprogram, AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f från sin enhetsefterlevnadsprincip.
Kräv alltid MFA
Följ riktlinjerna i artikeln Common Conditional Access policy: Require MFA for all users to require your specialized security level users to always perform multifactor authentication(Kräv MFA för alla användare för att kräva att dina specialiserade användare på säkerhetsnivå alltid utför multifaktorautentisering).
Varning
När du konfigurerar principen väljer du den grupp som kräver särskild säkerhet och använder den i stället för att välja Alla användare.
Nästa steg
Lär dig mer om principrekommendationer för gästanvändare och externa användare