Microsoft 365 组织的常见安全策略
组织在为其部门部署 Microsoft 365 时有很多需要担心的问题。 本文中引用的条件访问、应用保护和设备合规性策略基于 Microsoft 的建议和零信任的三个指导原则:
- 显式验证
- 使用最小特权
- 假定数据泄露
组织可以按原样采用这些策略,也可以对其进行自定义以满足自身需求。 如果可能,请在非生产环境中测试策略,然后再向生产用户推出。 测试对于确定任何可能的影响并将其传达给用户至关重要。
我们根据你在部署历程中的位置将这些策略分为三个保护级别:
- 起点 - 用于引入多重身份验证、安全密码更改和应用保护策略的基本控件。
- 企业 - 用于引入设备合规性的增强控件。
- 专用安全 - 每次都要求对特定数据集或用户进行多重身份验证的策略。
下图显示了每个策略适用的保护级别,以及这些策略是适用于电脑或者手机和平板电脑,或者同时适用于这两类设备。
可以将此关系图下载为 PDF 文件。
提示
在 Intune 中注册设备之前,建议要求使用多重身份验证 (MFA),以确保设备归预期用户所有。 必须先在 Intune 中注册设备,然后才能强制实施设备合规性策略。
先决条件
权限
- 管理条件访问策略的管理员必须至少能够以条件访问管理员身份登录到 Azure 门户。
- 管理应用保护和设备符合性策略的管理员必须能够至少具备 Intune 管理员的权限,才能登录到 Intune。
- 可为只需查看配置的用户分配安全读取者角色。
有关角色和权限的详细信息,请参阅 Microsoft Entra 内置角色一文。
用户注册
在要求使用多重身份验证之前,请确保用户注册多重身份验证。 如果你拥有包含 Microsoft Entra ID P2 的许可证,则可以使用 Microsoft Entra ID 保护中的 MFA 注册策略来要求用户注册。 我们提供了通信模板,你可以下载和自定义,以方便注册。
Groups
作为这些建议的一部分使用的所有 Microsoft Entra 组都必须创建为 Microsoft 365 组,而不是安全组。 在以后保护 Microsoft Teams 和 SharePoint 中的文档时,此要求对于部署敏感度标签非常重要。 有关详细信息,请参阅了解 Microsoft Entra ID 中的组和访问权限一文
分配策略
条件访问策略可以分配给用户、组和管理员角色。 Intune 应用保护策略和设备合规性策略只能分配给组。 在配置策略之前,请确定应包括和排除的人员。 通常,起点保护级别策略适用于组织中的每个人。
用户完成用户注册后要求进行多重身份验证 (MFA) 的组分配和排除示例如下。
| Microsoft Entra 条件访问策略 | 包括 | 排除 | |
|---|---|---|---|
| 起点 | 对于中等或高登录风险,要求进行多重身份验证 | 所有用户 |
|
| 企业 | 对于低、中等或高登录风险,要求进行多重身份验证 | 执行人员组 |
|
| 专用安全性 | 始终要求多重身份验证 | 绝密项目 Buckeye 组 |
|
向组和用户应用更高级别的保护时请小心。 安全性的目标不是给用户体验增加不必要的摩擦。 例如,Top Secret Project Buckeye 组的成员 每次登录时都必须使用 MFA,即使他们不处理其项目的专用安全内容也是如此。 过度的安全摩擦可能导致疲劳。
应考虑启用 抗钓鱼身份验证方法,例如 Windows Hello 企业版或 FIDO2 安全密钥,以减少某些安全控制措施造成的摩擦。
紧急访问帐户
所有组织都应至少有一个紧急访问帐户,该帐户受监控使用,并且已从策略中排除。 仅当所有其他管理员帐户和身份验证方法都被锁定或不可用时,才能使用这些帐户。 有关详细信息,请参阅文章在 Microsoft Entra ID 中管理紧急访问帐户。
排除项
建议的做法是为条件访问排除项创建 Microsoft Entra 组。 此组为你提供了一种在排查访问问题时向用户提供访问权限的方法。
警告
建议仅将此组用作临时解决方案。 持续监视和审核此组的更改,并确保仅按预期使用排除组。
若要将此排除组添加到任何现有策略,请执行以下操作:
- 最低以条件访问管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“保护”>“条件访问”。
- 选择现有策略。
- 在“分配”下,选择“用户或工作负载标识” 。
- 在“排除”下,选择“用户和组”,并选择组织的紧急访问或不受限帐户以及条件访问排除组。
部署
建议按照下表中列出的顺序实施起点策略。 但是,可以随时实施企业和专用安全保护级别的 MFA 策略。
起点
| 策略 | 详细信息 | 许可 |
|---|---|---|
| 登录风险为中或高时需要 MFA | 仅当检测到风险时,才使用 Microsoft Entra ID 保护中的风险数据来要求执行 MFA | 具有 E5 安全加载项的 Microsoft 365 E5 或 Microsoft 365 E3 |
| 阻止不支持新式验证的客户端 | 不使用新式身份验证的客户端可以绕过条件访问策略,因此请务必阻止它们。 | Microsoft 365 E3 或 E5 |
| 高风险用户必须更改密码 | 如果检测到用户帐户存在高风险活动,则强制用户在登录时更改密码。 | 具有 E5 安全加载项的 Microsoft 365 E5 或 Microsoft 365 E3 |
| 应用应用程序保护策略进行数据保护 | 每个平台一个 Intune 应用保护策略(Windows、iOS/iPadOS、Android)。 | Microsoft 365 E3 或 E5 |
| 需要批准的应用和应用保护策略 | 为使用 iOS、iPadOS 或 Android 的手机和平板电脑强制实施移动应用保护策略。 | Microsoft 365 E3 或 E5 |
企业
| 策略 | 详细信息 | 许可 |
|---|---|---|
| 当登录风险为低、中或高时,要求进行 MFA | 仅当检测到风险时,才使用 Microsoft Entra ID 保护中的风险数据来要求执行 MFA | 具有 E5 安全加载项的 Microsoft 365 E5 或 Microsoft 365 E3 |
| 定义设备合规性策略 | 设置最低配置要求。 每个平台一个策略。 | Microsoft 365 E3 或 E5 |
| 需要合规的电脑和移动设备 | 对访问组织的设备强制实施配置要求 | Microsoft 365 E3 或 E5 |
专用安全性
| 策略 | 详细信息 | 许可 |
|---|---|---|
| 始终需要 MFA | 用户每次登录到组织服务时都必须执行 MFA | Microsoft 365 E3 或 E5 |
应用保护策略
应用保护策略定义允许使用的应用,以及它们可以对组织数据执行的操作。 有许多选择可用,可能会让一些人感到困惑。 以下基线是Microsoft建议的配置,这些配置可根据需求量身定做。 我们提供三个要遵循的模板,但认为大多数组织选择级别 2 和 3。
级别 2 对应于所谓的起点或企业级别安全性,而级别 3 则对应于专用安全。
级别 1 企业基本数据保护 – Microsoft 建议将此配置作为企业设备的最低数据保护配置。
级别 2 企业增强型数据保护 – Microsoft 建议为用户从中访问敏感或机密信息的设备使用此配置。 此配置适用于访问工作或学校数据的大多数移动用户。 某些控件可能会影响用户体验。
级别 3 企业高级数据保护 – Microsoft 建议将此配置用于具有更大或更复杂安全团队的组织运行的设备,或者针对风险极高的特定用户或组(负责处理高度敏感数据的用户,其中未经授权的泄露会导致组织遭受重大财产损失)使用该配置。 可能受到资金雄厚且复杂对手攻击的组织应该追求这种配置。
创建应用保护策略
使用数据保护框架设置在 Microsoft Intune 中为每个平台(iOS 和 Android)创建新的应用保护策略:
- 按照如何使用 Microsoft Intune 创建和部署应用保护策略中的步骤手动创建策略。
- 使用 Intune 的 PowerShell 脚本导入示例 Intune 应用保护策略配置框架 JSON 模板。
设备合规性策略
Intune 设备合规性策略定义设备为认定为合规而必须满足的要求。
必须为每个电脑、手机或平板电脑平台创建策略。 本文对以下平台提供推荐:
创建设备合规性策略
若要创建设备合规性策略,请登录到 Microsoft Intune 管理中心,并导航到“设备”>“合规性策略”>“策略”。 选择“创建策略”。
有关在 Intune 中创建合规性策略的分步指南,请参阅在 Microsoft Intune 中创建合规性策略。
iOS/iPadOS 的注册和合规性设置
iOS/iPadOS 支持多种注册方案,其中两种方案将作为此框架的一部分进行介绍:
- 个人拥有的设备的设备注册 – 这些设备归个人所有,用于工作和个人用途。
- 企业自有设备的自动设备注册 – 这些设备是与单个用户关联的企业自有设备,它们专门用于工作而非个人用途。
使用零信任标识和设备访问权限配置中概述的原则:
个人注册设备的合规性设置
- 个人基本安全(级别 1)– Microsoft 建议将此配置作为用户从中访问工作或学校数据的个人设备的最低安全配置。 此配置是通过强制实施密码策略、设备锁定特征和禁用某些设备功能(例如不受信任的证书)来完成的。
- 个人增强型安全性(级别 2)– Microsoft 建议为用户从中访问敏感信息或机密信息的设备使用此配置。 此配置执行数据共享控制。 此配置适用于大多数在设备上访问工作或学校数据的移动用户。
- 个人高安全性(级别 3)– Microsoft 建议为特定用户或组使用的设备使用此配置,这些用户或组具有极高的风险(负责处理高度敏感数据的用户,其中未经授权的泄露会导致组织遭受重大财产损失)。 此配置执行更强大的密码策略,禁用某些设备功能,并强制实施额外的数据传输限制。
自动设备注册的合规性设置
- 受监督的基本安全(级别 1)– Microsoft 建议将此配置作为用户从中访问工作或学校数据的受监督设备的最低安全配置。 此配置是通过强制实施密码策略、设备锁定特征和禁用某些设备功能(例如不受信任的证书)来完成的。
- 受监督的增强型安全性(级别 2)– Microsoft 建议为用户从中访问敏感信息或机密信息的设备使用此配置。 此配置执行数据共享控制并阻止访问 USB 设备。 此配置适用于大多数在设备上访问工作或学校数据的移动用户。
- 受监督的高安全性(级别 3)– Microsoft 建议为特定用户或组使用的设备使用此配置,这些用户或组具有极高的风险(负责处理高度敏感数据的用户,其中未经授权的泄露会导致组织遭受重大财产损失)。 此配置执行更强大的密码策略,禁用某些设备功能,强制实施额外的数据传输限制,并要求通过 Apple 的批量购买计划安装应用。
Android 的注册和合规性设置
Android Enterprise 支持多种注册方案,其中两种方案将作为此框架的一部分进行介绍:
- Android Enterprise 工作配置文件 – 此注册模式通常用于个人拥有的设备,其中 IT 部门希望在此设备上提供工作和个人数据之间的清晰分隔边界。 由 IT 控制的策略可确保无法将工作数据传输到个人配置文件中。
- Android Enterprise 完全托管设备 - 这些设备是与单个用户关联的企业自有设备,它们专门用于工作而非个人用途。
Android Enterprise 安全配置框架分为多个不同的配置方案,旨在为工作配置文件和完全托管方案提供指导。
使用零信任标识和设备访问权限配置中概述的原则:
Android Enterprise 工作配置文件设备的合规性设置
- 由于个人拥有的工作配置文件设备有可用的设置,因此没有提供基本安全性(级别 1)。 可用设置并不能证明级别 1 和级别 2 之间存在差异。
- 工作配置文件增强型安全性(级别 2)– Microsoft 建议将此配置作为用户从中访问工作或学校数据的个人设备的最低安全配置。 此配置会引入密码要求,将工作数据和个人数据分隔,并验证 Android 设备证明。
- 工作配置文件高安全性(级别 3)– Microsoft 建议为特定用户或组使用的设备使用此配置,这些用户或组具有极高的风险(负责处理高度敏感数据的用户,其中未经授权的泄露会导致组织遭受重大财产损失)。 此配置会引入移动威胁防御或 Microsoft Defender for Endpoint,设置最低 Android 版本,执行更强大的密码策略,并进一步限制工作和个人分隔。
Android Enterprise 完全托管设备的合规性设置
- 完全托管的基本安全(级别 1)– Microsoft 建议将此配置作为企业设备的最低安全配置。 此配置适用于访问工作或学校数据的大多数移动用户。 此配置会引入密码要求、设置最低 Android 版本并执行某些设备限制。
- 完全托管的增强型安全性(级别 2)– Microsoft 建议为用户从中访问敏感信息或机密信息的设备使用此配置。 此配置执行更强大的密码策略并禁用用户/帐户功能。
- 完全托管的高安全性(级别 3) - Microsoft 建议将此配置用于具有极高风险的特定用户或组使用的设备。 这些用户可能会处理高度敏感的数据,其中未经授权的泄露可能会给组织造成相当大的重大损失。 此配置会增加最低 Android 版本,引入移动威胁防御或 Microsoft Defender for Endpoint,并强制实施额外的设备限制。
针对 Windows 10 及更高版本建议的合规性设置
Windows 10 及更高版本设备的合规性策略创建流程的“步骤 2:合规性设置”中配置了以下设置。 这些设置符合零信任标识和设备访问权限配置中概述的原则。
有关设备运行状况> Windows 运行状况证明服务评估规则,请参阅下表。
| 属性 | Value |
|---|---|
| 需要 BitLocker | 必需 |
| 需要在设备上启用安全启动 | 必需 |
| 需要代码完整性 | 必需 |
对于设备属性,请根据 IT 和安全策略为操作系统版本指定适当的值。
对于“Configuration Manager 合规性”,如果处于使用 Configuration Manager 的共同管理环境中,请选择“需要”,否则请选择“未配置”。
有关系统安全性,请参阅下表。
| 属性 | Value |
|---|---|
| 需要密码以解锁移动设备 | 必需 |
| 简单密码 | 阻止 |
| 密码类型 | 设备默认值 |
| 最短密码长度 | 6 |
| 需要提供密码之前处于非活动状态的最大分钟数 | 15 分钟 |
| 密码过期(天) | 41 |
| 防止重复使用的旧密码数 | 5 |
| 当设备从空闲状态返回时需要提供密码(移动和全息) | 必需 |
| 要求对设备上的数据存储进行加密 | 必需 |
| 防火墙 | 必需 |
| 防病毒 | 必需 |
| 反间谍软件 | 必需 |
| Microsoft Defender 反恶意软件 | 必需 |
| Microsoft Defender 反恶意软件最低版本 | Microsoft 建议至少使用最新版本之前的 5 个版本之一。 |
| 最新的 Microsoft Defender 反恶意软件签名 | 必需 |
| 实时保护 | 必需 |
对于 Microsoft Defender for Endpoint
| 属性 | Value |
|---|---|
| 要求设备不高于计算机风险评分 | 中 |
条件访问策略
在 Intune 中创建应用保护和设备合规性策略后,可以使用条件访问策略启用强制实施。
需要根据登录风险执行 MFA
按照要求进行多重身份验证以应对较高的登录风险文章中的指南创建策略,以根据登录风险要求进行多重身份验证。
配置策略时,请使用以下风险级别。
| 保护级别 | 所需的风险级别值 | 操作 |
|---|---|---|
| 起点 | 高、中 | 二者都选中。 |
| 企业 | 高、中、低 | 选中所有三项。 |
阻止不支持多重身份验证的客户端
请按照使用条件访问阻止旧式身份验证文章中的指导阻止旧式身份验证。
高风险用户必须更改密码
按照文章中的指南 要求对提升的用户风险进行安全密码更改 要求具有泄露凭据的用户更改其密码。
将此策略与 Microsoft Entra 密码保护一起使用,后者可以检测和阻止已知的弱密码及其变体,以及特定于组织的字词。 使用 Microsoft Entra 密码保护可确保更改后的密码更强。
要求使用已批准的应用或应用保护策略
必须创建条件访问策略才能强制实施在 Intune 中创建的应用保护策略。 强制实施应用保护策略需要条件访问策略和相应的应用保护策略。
若要创建需要已批准应用或应用保护的条件访问策略,请按照 要求批准的客户端应用或应用保护策略中的步骤进行操作。 此策略仅允许受应用保护策略保护的移动应用中的帐户访问 Microsoft 365 终结点。
阻止 iOS 和 Android 设备上的其他客户端应用的旧式身份验证可确保这些客户端无法绕过条件访问策略。 如果遵循本文中的指导,则你已配置“阻止不支持新式身份验证的客户端”。
需要合规的电脑和移动设备
按照要求设备符合条件访问的要求文章中的指南,要求将访问资源的设备标记为符合组织的 Intune 合规性策略。
注意
在启用此策略之前,请确保设备符合要求。 否则,你可能会被锁定,需要一个 紧急访问帐户持有者 来恢复访问权限。
注意
即使你在策略中为“所有用户”和“所有云应用”选择“要求将设备标记为合规”,也可以将新设备注册到 Intune。 “要求将设备标记为合规”控件不会阻止 Intune 注册和对 Microsoft Intune Web 公司门户应用程序的访问。
订阅激活
使用 订阅激活 功能,使用户能够从一个版本的 Windows 向另一个版本“逐步升级”的组织,应在其设备符合性策略中排除通用商店服务 API 和 Web 应用程序、AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f。
始终需要 MFA
请遵循文章 要求所有用户进行多重身份验证 中的指南,要求用户执行多重身份验证。
后续步骤
