零信任标识和设备访问权限配置
当今的工作人员需要访问传统企业网络边界之外的应用程序和资源。 依赖于网络防火墙和虚拟专用网络 (VPN) 来隔离和限制对资源的访问的安全体系结构已不再够用。
为了应对这一新的计算领域,Microsoft 强烈建议使用零信任安全模型,该模型基于以下指导原则:
- 显式验证:始终根据所有可用的数据点进行身份验证和授权。 这种验证就是零信任标识和设备访问策略对于登录和持续验证至关重要的地方。
- 使用最低访问权限:使用实时和恰好足够的访问权限 (JIT/JEA)、基于风险的自适应策略和数据保护,来限制用户访问。
- 假设出现信息泄露:最大限度地减少影响范围,并对访问进行分段。 验证端对端加密并使用分析来获取可见性、驱动威胁检测并改善防御。
下面是零信任的整体体系结构:
零信任标识和设备访问策略解决了明确验证的指导原则,包括:
- 标识:当某个标识尝试访问资源时,请使用强身份验证来验证该标识,并确保请求的访问合规且典型。
- 设备(也称为终结点):监视并强制实施安全访问的设备运行状况和合规性要求。
- 应用程序:将控制措施和技术应用于:
- 确保设置适当的应用内权限。
- 基于实时分析控制访问。
- 监视异常行为
- 控制用户操作。
- 验证安全配置选项。
本系列文章介绍了一组使用 Microsoft Entra ID、条件访问、Microsoft Intune 和其他功能的标识和设备访问配置和策略。 这些配置和策略提供对 Microsoft 365 企业版云应用和服务、其他 SaaS 服务和使用 Microsoft Entra 应用程序代理发布的本地应用程序的零信任访问。
建议在三个层中使用零信任标识和设备访问设置和策略:
- 起点。
- 企业.
- 具有高度监管或机密数据的环境的专用安全性。
这些层及其相应的配置在数据、标识和设备之间提供一致的零信任保护级别。 这些功能及其建议:
- 在 Microsoft 365 E3 和 Microsoft 365 E5 中受支持。
- 与 Microsoft Secure Score 和 Microsoft Entra ID 中的标识分数保持一致。 按照建议为组织提高这些分数。
- 帮助你实施这五个步骤来保护标识基础结构。
如果你的组织具有独特的要求或复杂性,请使用这些建议作为起点。 但是,大多数组织都可以按照规定实施这些建议。
观看此视频,快速了解 Microsoft 365 企业版的标识和设备访问配置。
注意
Microsoft 同时也销售 Office 365 订阅的企业移动性 + 安全性 (EMS) 许可证。 EMS E3 和 EMS E5 功能等效于 Microsoft 365 E3 和 Microsoft 365 E5 中的相应功能。 有关详细信息,请参阅 EMS 计划。
目标受众
这些建议适用于熟悉 Microsoft 365 云生产力和安全服务的企业架构师和 IT 专业人员。 这些服务包括 Microsoft Entra ID(标识)、Microsoft Intune(设备管理)和 Microsoft Purview 信息保护(数据保护)。
客户环境
建议的策略适用于完全在 Microsoft 云中运营的企业组织以及具有混合标识基础结构的客户。 混合标识结构是与 Microsoft Entra ID 同步的本地 Active Directory 林。
我们的许多建议依赖于仅通过以下许可证提供的服务:
- Microsoft 365 E5。
- 具有 E5 安全性附加产品的 Microsoft 365 E3。
- EMS E5。
- Microsoft Entra ID P2 许可证。
对于没有这些许可证的组织,我们建议你至少实施安全默认值,这是所有 Microsoft 365 计划随附的。
注意事项
你的组织可能必须遵守监管或其他合规性要求,其中有些特定的建议可能会要求你应用与这些建议的配置不同的策略。 这些配置建议了以前从未可用的使用情况控制措施。 我们建议施加这些控制措施,因为我们认为它们在安全性和工作效率之间实现了很好的平衡。
我们尽了最大的努力来考虑各种组织保护要求,但我们无法考虑到所有可能的要求或你的组织的所有独特方面。
三个级别的保护
大多数组织对于安全和数据保护都有特定的要求。 这些要求因行业部门和组织内的工作职能而异。 例如,你的法律部门和管理员可能会要求对其电子邮件通信实施更多的安全和信息保护控制,而这些对于其他业务部门来说则不是必需的。
每个行业也都有自己的一套专门的规章制度。 我们并未尝试提供所有可能的安全选项列表或关于每个行业细分或工作职能的建议。 相反,我们提供了针对三个级别的安全性和保护的建议,可以根据你的需求粒度应用它们。
- 起点:我们建议所有客户建立和使用保护数据的最低标准,以及访问数据的标识和设备。 可以按照这些建议提供强大的默认保护,作为适合所有组织的起点。
- 企业:某些客户的所有或部分数据必须以较高级别进行保护。 可以对 Microsoft 365 环境中的所有或特定数据集应用强化保护。 建议通过相应的安全级别对访问敏感数据的标识和设备进行保护。
- 专用安全性:根据需要,少数客户拥有少量高度机密、构成商业秘密或受到监管的数据。 Microsoft 提供相应功能来帮助这些客户满足这些要求,包括对标识和设备的增强保护。
本指南介绍如何为标识和设备实现零信任保护,以实现每种级别的保护。 使用本指南作为你的组织的最低要求,并调整策略以满足组织的特定要求。
跨标识、设备和数据使用一致的保护级别非常重要。 例如,对具有优先级帐户的用户(如高管、领导、经理等)的保护应包括对其标识、设备及其访问的数据的相同级别的保护。
此外,请参阅为数据隐私法规部署信息保护解决方案来保护 Microsoft 365 中存储的信息。
安全性和工作效率权衡
实施任何安全性策略都需要在安全性和工作效率之间进行权衡。 评估每个决策如何影响安全性、功能和易用性之间的平衡,这很有帮助。
提供的建议基于以下原则:
- 了解用户并灵活满足其安全性和功能要求。
- 及时应用安全策略,确保其有意义。
零信任标识和设备访问保护的服务和概念
Microsoft 365 企业版专为大型组织设计,使每个人都能够创造性地协同工作。
本部分概述了对零信任标识和设备访问非常重要的 Microsoft 365 服务和功能。
Microsoft Entra ID
Microsoft Entra ID 提供了一整套标识管理功能。 建议使用这些功能来保护访问。
功能或特性 | 说明 | 许可 |
---|---|---|
多重身份验证 (MFA) | MFA 要求用户提供两种形式的验证,例如用户密码以及来自 Microsoft Authenticator 应用或电话呼叫的通知。 MFA 极大地降低了被盗凭据可用于访问环境的风险。 Microsoft 365 使用 Microsoft Entra 多重身份验证服务进行基于 MFA 的登录。 | Microsoft 365 E3 或 E5 |
条件访问 | Microsoft Entra ID 会评估用户登录的条件,并使用条件访问策略来确定允许的访问。 例如,本指南介绍如何创建条件访问策略,以要求设备合规才能访问敏感数据。 这大大减少了黑客使用自己的设备和被盗凭据访问敏感数据的风险。 它也可以保护设备上的敏感数据,因为设备必须满足特定的运行状况和安全要求。 | Microsoft 365 E3 或 E5 |
Microsoft Entra 组 | 条件访问策略、使用 Intune 进行设备管理,甚至对组织中的文件和站点的权限都依赖于对用户帐户或 Microsoft Entra 组的分配。 建议创建与要实现的保护级别对应的 Microsoft Entra 组。 例如,你的高管人员更有可能成为黑客的高价值目标。 因此,应该要将这些员工的用户帐户添加到 Microsoft Entra 组,并将此组分配给条件访问策略和其他强制实施更高级别的访问保护的策略。 | Microsoft 365 E3 或 E5 |
设备注册 | 将设备注册到 Microsoft Entra ID 中,以便为设备创建标识。 当用户登录并应用需要加入域的电脑或合规电脑的条件访问策略时,此标识用于对设备进行身份验证。 对于本指南,我们使用设备注册来自动注册加入域的 Windows 计算机。 设备注册是使用 Intune 管理设备的先决条件。 | Microsoft 365 E3 或 E5 |
Microsoft Entra ID 保护 | 使你能够检测可能会影响组织中的标识的潜在漏洞,还可用于配置对低、中、高登录风险和用户风险的自动修正策略。 本指南依赖于此风险评估来应用条件访问策略以进行多重身份验证。 本指南还包含一个条件访问策略,该策略要求用户在其帐户被检测到高风险活动时更改其密码。 | Microsoft 365 E5、具有 E5 安全性附加产品的 Microsoft 365 E3、EMS E5 或 Microsoft Entra ID P2 许可证 |
自助式密码重置 (SSPR) | 提供对管理员可控制的多种身份验证方法的验证,从而让你的用户可以安全地重置密码,而无需支持人员干预。 | Microsoft 365 E3 或 E5 |
Microsoft Entra 密码保护 | 检测并阻止已知的弱密码及其变体以及特定于组织的其他弱字词。 默认的全局受禁密码列表会自动应用于 Microsoft Entra 租户中的所有用户。 你可以在自定义受禁密码列表中定义更多条目。 用户更改或重置密码时,系统会检查这些受禁密码列表以强制使用强密码。 | Microsoft 365 E3 或 E5 |
下面是零信任标识和设备访问的组件,包括 Intune 和 Microsoft Entra 对象、设置和子服务。
Microsoft Intune
Intune 是 Microsoft 基于云的移动设备管理服务。 本指南建议使用 Intune 对 Windows 电脑进行设备管理,并推荐了设备合规性策略配置。 Intune 会确定设备是否合规,并将此数据发送到 Microsoft Entra ID,以在应用条件访问策略时使用。
Intune 应用保护
Intune 应用保护策略可以用来保护移动应用中的组织数据(可以将设备注册到管理功能,也可以不注册)。 Intune 有助于保护信息,确保员工仍能高效工作,并防止数据丢失。 通过实现应用级策略,可以限制对公司资源的访问并使数据处于 IT 部门的控制下。
本指南介绍如何创建建议的策略,以强制使用已批准的应用,并确定这些应用如何与业务数据一起使用。
Microsoft 365
本指南介绍如何实施一组策略来保护对 Microsoft 365 云服务(包括 Microsoft Teams、Exchange、SharePoint 和 OneDrive)的访问。 除了实施这些策略,我们还建议使用以下资源提高租户的保护级别:
具有 Microsoft 365 企业应用版的 Windows 11 或 Windows 10
具有 Microsoft 365 企业应用版的 Windows 11 或 Windows 10 是建议用于电脑的客户端环境。 建议使用 Windows 11 或 Windows 10,因为根据设计,Microsoft Entra 可以为本地和 Microsoft Entra ID 提供最顺畅的体验。 Windows 11 或 Windows 10 还包括可通过 Intune 管理的高级安全功能。 Microsoft 365 企业应用版包含最新版本的 Office 应用程序。 它们使用新式身份验证,这样更安全,也是条件访问的要求。 这些应用还包含增强的合规性和安全工具。
在三个保护级别上应用这些功能
下表总结了我们对于在三个保护级别上使用这些功能的建议。
保护机制 | 起点 | 企业 | 专用安全性 |
---|---|---|---|
强制执行 MFA | 针对中等登录风险或以上 | 针对低登录风险或以上 | 针对所有新的会话 |
强制更改密码 | 针对高风险用户 | 针对高风险用户 | 针对高风险用户 |
强制实施 Intune 应用程序保护 | 是 | 是 | 是 |
为组织拥有的设备强制实施 Intune 注册 | 需要合规或加入域的电脑,但允许自带设备 (BYOD) 手机和平板电脑 | 需要合规或加入域的设备 | 需要合规或加入域的设备 |
设备所有权
上表反映了许多组织的一个趋势,即支持包含组织拥有的设备和个人或 BYOD 的混合模式,以实现员工之间的移动工作效率。 Intune 应用保护策略可确保电子邮件不会从组织拥有的设备和 BYOD 上的 Outlook 移动应用和其他 Office 移动应用泄漏。
我们建议由 Intune 管理组织拥有的设备或将其加入域,以应用其他保护和控制。 组织可能会选择不允许将 BYOD 用于特定的用户填充操作或特定的应用,具体取决于数据敏感程度。
部署和你的应用
在为 Microsoft Entra 集成应用配置和推出零信任标识和设备访问配置之前,必须:
确定组织中要保护的应用。
分析应用清单,确定提供适当的保护级别的策略集。
不应为每个应用创建单独的策略集,因为它们的管理可能会变得繁琐。 Microsoft 建议将对相同用户有着相同保护要求的应用分为一组。
例如,建立一组策略,其中包含适用于所有用户的所有 Microsoft 365 应用,作为保护的起点。 为所有敏感应用(例如人力资源或财务部门使用的策略)设置第二组策略,并将其应用于这些组。
确定了要保护的应用的策略集后,逐步将策略推出给用户,同时解决问题。 例如:
- 配置要用于所有 Microsoft 365 应用的策略。
- 只添加 Exchange 及其所需的更改,向用户推出策略,并解决任何问题。
- 添加 Teams 及其所需的更改,向用户推出策略,并解决任何问题。
- 添加 SharePoint 及其所需的更改,向用户推出策略,并解决任何问题。
- 继续添加其余应用,直到你可以自信地配置这些起点策略以包含所有 Microsoft 365 应用。
同样地,对于敏感应用,请创建一组策略,并一次添加一个应用。 解决任何问题,直到它们全部包含在敏感应用策略集中。
Microsoft 建议不要创建适用于所有应用的策略集,因为它可能会导致某些意外的配置。 例如,阻止所有应用的策略可能会将你的管理员锁在 Microsoft Entra 管理中心外面,并且无法为重要终结点(如 Microsoft Graph)配置排除项。
配置零信任标识和设备访问的步骤
- 配置必备标识功能及其设置。
- 配置通用标识和访问条件访问策略。
- 为来宾和外部用户配置条件访问策略。
- 为 Microsoft 365 云应用(例如 Microsoft Teams、Exchange 和 SharePoint)配置条件访问策略,并配置 Microsoft Defender for Cloud Apps 策略。
配置了零信任标识和设备访问后,请参阅 Microsoft Entra 功能部署指南以获取要考虑的其他功能的分阶段清单,参阅 Microsoft Entra ID 治理来了解如何保护、监视和审核访问。