Kravarbete för att implementera Nolltillit principer för identitets- och enhetsåtkomst
Den här artikeln beskriver de krav som administratörer måste uppfylla för att använda rekommenderade Nolltillit principer för identitets- och enhetsåtkomst och för att använda villkorsstyrd åtkomst. Den beskriver också de rekommenderade standardvärdena för att konfigurera klientplattformar för bästa SSO-upplevelse (enkel inloggning).
Förutsättningar
Innan du använder de Nolltillit principer för identitets- och enhetsåtkomst som rekommenderas måste din organisation uppfylla kraven. Kraven skiljer sig åt för de olika identitets- och autentiseringsmodeller som anges:
- Enbart molnet
- Hybrid med autentisering med synkronisering av lösenordshash (PHS)
- Hybrid med direktautentisering (PTA)
- Federerade
I följande tabell beskrivs de nödvändiga funktionerna och deras konfiguration som gäller för alla identitetsmodeller, förutom där det anges.
| Konfiguration | Undantag | Licensiering |
|---|---|---|
| Konfigurera synkronisering av lösenordshash (PHS). Den här funktionen måste vara aktiverad för att identifiera läckta autentiseringsuppgifter och agera på dem för riskbaserad villkorlig åtkomst. Den här konfigurationen krävs oavsett om din organisation använder federerad autentisering. | Enbart molnet | Microsoft 365 E3 eller E5 |
| Aktivera sömlös enkel inloggning för att automatiskt logga in användare när de är på sina organisationsenheter som är anslutna till organisationens nätverk. | Endast molnbaserad och federerad | Microsoft 365 E3 eller E5 |
| Konfigurera nätverksplatser. Microsoft Entra ID Protection samlar in och analyserar alla tillgängliga sessionsdata för att generera en riskpoäng. Vi rekommenderar att du anger organisationens offentliga IP-intervall för nätverket i microsoft Entra-ID:t med namnet locations configuration. Trafik som kommer från dessa intervall får en reducerad riskpoäng och trafik utanför organisationsmiljön får en högre riskpoäng. | Microsoft 365 E3 eller E5 | |
| Registrera alla användare för självbetjäning av lösenordsåterställning (SSPR) och multifaktorautentisering (MFA). Vi rekommenderar att du gör det här steget i förväg. Microsoft Entra ID Protection använder Microsoft Entra multifaktorautentisering för extra säkerhetsverifiering. För bästa inloggning rekommenderar vi att du använder Microsoft Authenticator-appen och Microsoft-företagsportalappen på enheter. Användarna kan installera dessa appar från appbutiken för sin enhetsplattform. | Microsoft 365 E3 eller E5 | |
| Planera implementeringen av din Microsoft Entra-hybridanslutning. Villkorlig åtkomst ser till att enheter som ansluter till appar är domänanslutna eller kompatibla. För att stödja detta krav på Windows-datorer måste enheten registreras med Microsoft Entra-ID. I den här artikeln beskrivs hur du konfigurerar automatisk enhetsregistrering. | Enbart molnet | Microsoft 365 E3 eller E5 |
| Förbered supportteamet. Ha en plan för användare som inte kan utföra MFA. Lägg till exempel till dem i en principundantagsgrupp eller registrera ny MFA-information för dem. Om du gör säkerhetskänsliga undantag kontrollerar du att användaren faktiskt gör begäran. Att kräva att chefer hjälper till med godkännandet för användare är ett effektivt steg. | Microsoft 365 E3 eller E5 | |
| Konfigurera tillbakaskrivning av lösenord till lokala Active Directory-. Tillbakaskrivning av lösenord gör att Microsoft Entra-ID:t kräver att användarna ändrar sina lokala lösenord när en riskfylld kontokompromitet identifieras. Du kan aktivera den här funktionen med Hjälp av Microsoft Entra Connect på något av två sätt: antingen aktivera tillbakaskrivning av lösenord på skärmen valfria funktioner i Microsoft Entra Connect-installationen eller aktivera den via Windows PowerShell. | Enbart molnet | Microsoft 365 E3 eller E5 |
| Konfigurera Microsoft Entra-lösenordsskydd. Microsoft Entra Password Protection identifierar och blockerar kända svaga lösenord och deras varianter, och kan även blockera andra svaga termer som är specifika för din organisation. Globala standardlistor för förbjudna lösenord tillämpas automatiskt på alla användare i en Microsoft Entra-organisation. Du kan definiera andra poster i en anpassad lista över förbjudna lösenord. När användarna ändrar eller återställer sina lösenord kontrolleras dessa listor över förbjudna lösenord för att framtvinga användningen av starka lösenord. | Microsoft 365 E3 eller E5 | |
| Aktivera Microsoft Entra ID Protection. Med Microsoft Entra ID Protection kan du identifiera potentiella säkerhetsrisker som påverkar organisationens identiteter och konfigurera en automatiserad reparationsprincip till låg, medelhög och hög inloggningsrisk och användarrisk. | Microsoft 365 E5 eller Microsoft 365 E3 med tillägget E5-säkerhet | |
| Aktivera kontinuerlig åtkomstutvärdering för Microsoft Entra-ID. Utvärdering av kontinuerlig åtkomst avslutar proaktivt aktiva användarsessioner och framtvingar ändringar i organisationens princip nästan i realtid. | Microsoft 365 E3 eller E5 |
Rekommenderade klientkonfigurationer
I det här avsnittet beskrivs de rekommenderade standardkonfigurationerna för plattformsklienten för bästa SSO-upplevelse och de tekniska förutsättningarna för villkorsstyrd åtkomst.
Windows-enheter
Vi rekommenderar Windows 11 eller Windows 10 (version 2004 eller senare), eftersom Azure är utformat för att ge en så smidig SSO-upplevelse som möjligt för både lokalt och Microsoft Entra-ID. Enheter som utfärdas av organisationen ska konfigureras med något av följande alternativ:
- Anslut Microsoft Entra-ID direkt.
- Konfigurera lokala Active Directory-domänanslutna enheter så att de automatiskt och tyst registreras med Microsoft Entra-ID
För personliga (bring your own device eller BYOD) Windows-enheter kan användarna använda Lägg till arbets- eller skolkonto. Google Chrome-användare på Windows 11- eller Windows 10-enheter måste installera ett tillägg för att få samma smidiga inloggningsupplevelse som Microsoft Edge-användare. Om din organisation dessutom har Windows 8- eller 8.1-enheter som är domänanslutna kan du installera Microsoft Workplace Join för datorer som inte är Windows 10. Ladda ned paketet för att registrera enheterna med Microsoft Entra-ID.
iOS enheter
Vi rekommenderar att du installerar Microsoft Authenticator-appen på användarenheter innan du distribuerar principer för villkorsstyrd åtkomst eller MFA. Om du inte kan installerar du appen i följande scenarier:
- När användare uppmanas att registrera sin enhet med Microsoft Entra-ID genom att lägga till ett arbets- eller skolkonto.
- När användare installerar Intune-företagsportalappen för att registrera sin enhet i hanteringen.
Begäran beror på den konfigurerade principen för villkorsstyrd åtkomst.
Android enheter
Vi rekommenderar att användarna installerar Intune-företagsportalappen och Microsoft Authenticator-appen innan principer för villkorlig åtkomst distribueras eller under specifika autentiseringsförsök. Efter appinstallationen kan användarna bli ombedda att registrera sig med Microsoft Entra-ID eller registrera sin enhet med Intune, beroende på den konfigurerade principen för villkorsstyrd åtkomst.
Vi rekommenderar också att organisationens ägda enheter stöder Android for Work eller Samsung Knox för att tillåta hantering och skydd av e-postkonton via Intunes principer för hantering av mobila enheter (MDM).
Rekommenderade e-postklienter
E-postklienterna i följande tabell stöder modern autentisering och villkorlig åtkomst:
| Plattform | Klient | Version/anteckningar |
|---|---|---|
| Windows | Outlook | 2016 eller senare Nödvändiga uppdateringar |
| iOS | Outlook för iOS | Senaste |
| Android | Outlook för Android | Senaste |
| macOS | Outlook | 2016 eller senare |
| Linux | Stöds inte |
Rekommenderade klientplattformar vid skydd av dokument
Vi rekommenderar e-postklienter i följande tabell när en princip för säkra dokument tillämpas:
| Plattform | Word/Excel/PowerPoint | OneNote | OneDrive-app | SharePoint-app | OneDrive-synkronisering klient |
|---|---|---|---|---|---|
| Windows 11 eller Windows 10 | Stöds | Stöds | Saknas | Saknas | Stöds |
| Windows 8.1 | Stöds | Stöds | Saknas | Saknas | Stöds |
| Android | Stöds | Stöds | Stöds | Stöds | Saknas |
| iOS | Stöds | Stöds | Stöds | Stöds | Saknas |
| macOS | Stöds | Stöds | Saknas | Saknas | Stöds inte |
| Linux | Stöds inte | Stöds inte | Stöds inte | Stöds inte | Stöds inte |
Microsoft 365-klientsupport
Mer information om klientsupport i Microsoft 365 finns i Distribuera din identitetsinfrastruktur för Microsoft 365.
Skydda administratörskonton
För Microsoft 365 E3 eller E5 eller med separata Microsoft Entra ID P1- eller P2-licenser kan du kräva nätfiskeresistent MFA för administratörskonton med en princip för villkorlig åtkomst som skapas manuellt. Mer information finns i Villkorlig åtkomst: Kräv nätfiskeresistent MFA för administratörer.
För utgåvor av Microsoft 365 eller Office 365 som inte stöder villkorlig åtkomst kan du aktivera standardinställningar för säkerhet att kräva MFA för alla konton.
Här följer några andra rekommendationer:
- Använd Microsoft Entra Privileged Identity Management för att minska antalet beständiga administrativa konton.
- Använd privilegierad åtkomsthantering för att skydda din organisation mot överträdelser som kan använda befintliga privilegierade administratörskonton med ständig åtkomst till känsliga data eller åtkomst till kritiska konfigurationsinställningar.
- Skapa och använd separata konton som endast tilldelas Microsoft 365-administratörsroller för administration. Administratörer bör ha ett eget användarkonto för regelbunden användning. De bör endast använda ett administrativt konto när det behövs för att slutföra en uppgift som är associerad med deras roll eller jobbfunktion.
- Följ metodtipsen för att skydda privilegierade konton i Microsoft Entra-ID.
Gå vidare
Konfigurera vanliga principer för Nolltillit identitets- och enhetsåtkomst