零信任身分識別與裝置存取設定
現今的員工需要存取超越傳統公司網路界限的應用程式和資源。 依賴網路防火牆和虛擬專用網來隔離和限制資源存取的安全性架構已不再足夠。
為了解決這個全新境界的運算,Microsoft 強烈建議使用零信任安全性模型,其指導方針基礎如下:
- 明確驗證:一律根據所有可用的數據點進行驗證和授權。 零信任身分識別和裝置存取原則對於登入和進行中的驗證至關重要。
- 使用最低許可權存取:使用 Just-In-Time 和 Just-Enough-Access 限制使用者存取權(JIT/JEA)、風險型調適型原則和數據保護。
- 假設缺口:將爆炸半徑和區段存取降至最低。 確認端對端加密,運用分析來提升資訊透明度與威脅偵測,並改善防禦。
以下是 零信任 的整體架構:
零信任 身分識別和裝置存取原則位址確認下列項目的明確指導原則:
- 身分識別:當身分識別嘗試存取資源時,請確認具有強身份驗證的身分識別,並確保要求的存取符合規範且一般。
- 裝置(也稱為端點):監視並強制執行安全存取的裝置健康情況和合規性需求。
-
應用程式:將控制項和技術套用至:
- 請確定適當的應用程式內許可權。
- 根據即時分析來控制存取權。
- 監視異常行為
- 控制用戶動作。
- 驗證安全組態選項。
這一系列文章說明一組使用 entra ID、條件式存取、Microsoft Intune 和其他功能Microsoft身分識別和裝置存取設定和原則。 這些設定和原則提供下列位置的零信任存取權:
- Microsoft 365 企業雲端應用程式和服務。
- 其他 SaaS 服務。
- 使用 Microsoft Entra 應用程式 Proxy 發佈的內部部署應用程式。
零信任 在三層中建議使用身分識別和裝置存取設定和原則:
- 起點。
- 企業。
- 具有高度管制或分類數據之環境的特殊安全性。
這些層級及其對應的組態提供一致的層級 零信任 保護,以跨您的數據、身分識別和裝置。 這些功能及其建議:
- Microsoft 365 E3 和 Microsoft 365 E5 支援。
- 會與 Microsoft Entra 識別碼中的Microsoft安全分數和身分識別分數一致。 我們的建議會為您的組織增加這些分數。
- 協助您實作這 五個步驟來保護身分識別基礎結構。
如果您的組織有獨特的需求或複雜性,請使用這些建議作為起點。 不過,大部分的組織都可以依照規定實作這些建議。
觀看這段影片,快速瞭解適用於企業Microsoft 365 的身分識別和裝置存取設定。
注意
Microsoft也會銷售 Office 365 訂閱的 Enterprise Mobility + Security (EMS) 授權。 EMS E3 和 EMS E5 功能相當於 Microsoft 365 E3 和 Microsoft 365 E5。 如需詳細資訊,請參閱 EMS方案。
目標對象
這些建議適用於熟悉 Microsoft 365 雲端生產力和安全性服務的企業架構設計人員和 IT 專業人員。 這些服務包括Microsoft Entra ID(身分識別)、Microsoft Intune(裝置管理),以及 Microsoft Purview 資訊保護(數據保護)。
客戶環境
建議的原則適用於完全在 Microsoft 雲端內運作的企業組織,以及適用於具有混合式身分識別的客戶。 混合式身分識別基礎結構會將內部部署 Active Directory 樹系與 Microsoft Entra 識別符同步。
我們的許多建議都依賴只有下列授權可用的服務:
- Microsoft 365 E5
- Microsoft 365 E3 搭配 E5 安全性增強方案
- EMS E5
- Microsoft Entra ID P2 授權
對於沒有這些授權的組織,我們建議 安全性預設值,這適用於所有Microsoft 365 方案,且預設為啟用。
警示
您的組織可能需要遵循法規或其他合規性的要求,其中包括一些要求政策與我們所推薦設定不同的具體建議。 我們建議這些控件,因為我們相信它們代表安全性和生產力之間的平衡。
雖然我們嘗試考慮各種不同的組織保護需求,但我們無法考慮您組織的所有可能需求或唯一元素。
三種保護層級
大部分的組織都有關於安全性和數據保護的特定需求。 這些需求會因產業區段和組織內的作業功能而有所不同。 例如,您的法律部門和系統管理員可能需要更多安全性與資訊保護控件,以控制其他業務單位不需要的電子郵件通訊。
每個行業也有自己的一套專門法規。 我們不會嘗試提供所有可能的安全性選項清單,或每個產業區段或工作功能的建議。 相反地,我們會針對三個層級的安全性和保護提供建議,這些層級可以根據您需求的數據粒度來套用。
- 起點:我們建議所有客戶建立並使用最低標準來保護數據,以及存取數據的身分識別和裝置。 您可以遵循這些建議,為所有組織提供強式默認保護作為起點。
- 企業:某些客戶的數據子集必須在較高層級受到保護,或所有數據都必須在較高層級受到保護。 您可以將增強的保護套用至 Microsoft 365 環境中的所有或特定數據集。 建議您保護可存取具有可比較安全性層級之敏感數據的身分識別和裝置。
- 特製化安全性:視需要,少數客戶擁有少量數據,這些數據高度機密、構成商業機密或受到監管。 Microsoft提供功能來協助這些客戶符合這些需求,包括為身分識別和裝置新增保護。
本指南說明如何針對每個保護層級的身分識別和裝置實作 零信任 保護。 請至少使用本指南作為組織,並調整原則以符合貴組織的特定需求。
請務必在身分識別、裝置和數據之間使用一致的保護層級。 例如,對於優先帳戶用戶(如主管、領導者、經理等)的保護,應包括對其身份、裝置及存取資料的相同層級保護。
另請參閱解決方案:部署數據隱私權法規的信息保護,以保護儲存在 Microsoft 365 中的資訊。
安全性和生產力取捨
實作任何安全性策略需要安全性和生產力之間的取捨。 評估每個決策如何影響安全性、功能和易於使用的平衡,很有説明。
所提供的建議是以下列原則為基礎:
- 瞭解您的使用者,並彈性地符合其安全性和功能需求。
- 及時套用安全策略,並確保其有意義。
零信任 身分識別和裝置存取保護的服務與概念
Microsoft 365 企業版專為大型組織設計,可讓每個人都能有創意且安全地合作。
本節提供Microsoft 365 服務和功能的概觀,這些服務和功能對於 零信任 身分識別和裝置存取很重要。
Microsoft Entra ID
Microsoft Entra ID 提供完整的身分識別管理功能套件。 我們建議使用這些功能來保護存取。
| 功能或功能 | 描述 | 授權 |
|---|---|---|
| 多重要素驗證 (MFA) | MFA 要求使用者提供兩種形式的驗證,例如用戶密碼,以及來自 Microsoft Authenticator 應用程式或來電的通知。 MFA 可大幅降低遭竊認證可用來存取環境的風險。 Microsoft 365 會針對 MFA 型登入使用Microsoft Entra 多重要素驗證服務。 | Microsoft 365 E3 或 E5 |
| 條件式存取 | Microsoft Entra ID 會評估使用者登入的條件,並使用條件式存取原則來判斷允許的存取權。 例如,在本指南中,我們會示範如何建立條件式存取原則,以要求裝置合規性才能存取敏感數據。 此設定可大幅降低駭客使用自己的裝置和遭竊認證存取敏感數據的風險。 它也會保護裝置上的敏感數據,因為裝置必須符合健康情況和安全性的特定需求。 | Microsoft 365 E3 或 E5 |
| Microsoft Entra 群組 | 條件式存取原則、使用 Intune 進行裝置管理,甚至是貴組織中檔案和網站的許可權,都依賴指派給用戶帳戶或Microsoft Entra 群組。 建議您建立對應實施的保護層級的 Microsoft Entra 群組。 例如,您的執行人員成員可能是駭客的高價值目標。 您應該將這些用戶帳戶新增至 Microsoft Entra 群組,並將此群組指派給條件式存取原則和其他強制執行較高層級保護的原則。 | Microsoft 365 E3 或 E5 |
| 裝置註冊 | 您會將裝置註冊到 Microsoft Entra ID,以建立裝置的身分識別。 當使用者登入並套用需要已加入網域或相容計算機的條件式存取原則時,此身分識別可用來驗證裝置。 針對本指南,我們會使用裝置註冊來自動註冊已加入網域的 Windows 計算機。 裝置註冊是使用 Intune 管理裝置的必要條件。 | Microsoft 365 E3 或 E5 |
| Microsoft Entra ID Protection | 可讓您偵測影響組織身分識別的潛在弱點,並將自動化補救原則設定為低、中、高登入風險和用戶風險。 本指南依賴此風險評估來套用多重要素驗證的條件式存取原則。 本指南也包含條件式存取原則,要求使用者在帳戶偵測到高風險活動時變更其密碼。 | Microsoft 365 E5、Microsoft 365 E3 與 E5 安全性附加元件、EMS E5 或 Microsoft Entra ID P2 授權 |
| 自助式密碼重設 (SSPR) | 藉由提供系統管理員可控制的多個驗證方法的驗證,讓使用者安全地重設其密碼,而不需要技術支持人員介入。 | Microsoft 365 E3 或 E5 |
| Microsoft Entra 密碼保護 | 偵測並封鎖已知的弱式密碼、密碼變體,以及貴組織特有的其他弱式字詞。 預設的全域禁用密碼清單會自動套用至Microsoft Entra 組織中的所有使用者。 您也可以在自定義禁用密碼清單中定義特定專案。 當使用者變更或重設其密碼時,系統會檢查這些禁用密碼清單,並強制使用強式密碼。 | Microsoft 365 E3 或 E5 |
以下是 零信任 身分識別和裝置存取的元件,包括 Intune 和 Microsoft Entra 對象、設定和子服務。
Microsoft Intune
Intune 是Microsoft雲端式行動裝置管理服務。 本指南建議使用 Intune 管理 Windows 計算機,並建議裝置合規性政策設定。 Intune 會判斷裝置是否符合規範,並將此數據傳送至 Microsoft Entra 識別符,以在套用條件式存取原則時使用。
Intune 應用程式防護
Intune 應用程式保護 原則可用來保護貴組織在行動應用程式中的數據,且不需要註冊裝置以管理。 Intune 有助於保護資訊,同時維護用戶生產力並防止數據遺失。 藉由實作應用層級原則,您可以限制公司資源的存取,並將數據保留在 IT 部門的控制範圍內。
本指南說明如何建立原則來強制使用已核准的應用程式,以及指定這些應用程式如何與商務數據搭配使用。
Microsoft 365
本指南說明如何實作一組原則,以保護對 Microsoft 365 雲端服務的存取,包括 Microsoft Teams、Exchange、SharePoint 和 OneDrive。 除了實作這些原則之外,建議您也使用這些資源提高貴組織的保護層級:
具有 Microsoft 365 Apps 企業版 的 Windows 11 或 Windows 10
具有 Microsoft 365 Apps 企業版 的 Windows 11 或 Windows 10 是電腦的建議客戶端環境。 我們建議使用 Windows 11 或 Windows 10,因為 Microsoft Entra 的設計目的是為內部部署和Microsoft Entra 識別碼提供最順暢的體驗。 Windows 11 或 Windows 10 也包含可透過 Intune 管理的進階安全性功能。 Microsoft 365 Apps 企業版 包含最新版本的 Office 應用程式 數據。 這些應用程式會使用較安全且條件式存取所需的新式驗證。 這些應用程式也包含增強的合規性和安全性工具。
將這些功能套用至三個保護層級
下表摘要說明在三種保護層級中使用這些功能的建議。
| 保護機制 | 起點 | Enterprise | 特殊化安全性 |
|---|---|---|---|
| 強制執行 MFA | 登入風險為中或高。 | 登入風險低、中或高。 | 所有全新的會議。 |
| 強制執行密碼變更 | 對於高風險的使用者。 | 對於高風險的使用者。 | 對於高風險的使用者。 |
| 強制執行 Intune 應用程式保護 | Yes | Yes | Yes |
| 為組織擁有的裝置強制執行 Intune 註冊 | 需要符合規範或已加入網域的計算機,但允許攜帶您自己的裝置 (BYOD) 手機和平板電腦。 | 需要符合規範或已加入網域的裝置。 | 需要符合規範或已加入網域的裝置。 |
裝置擁有權
上表反映了許多組織支援組織和個人(BYOD)裝置混合存取公司數據的趨勢。 Intune 應用程式保護原則可確保公司資料在 iOS 和 Android 版的 Outlook 以及其他 Microsoft 365 行動應用程式中受到保護,防止在企業或個人裝置上外洩。
建議您使用 Intune 來管理組織擁有的裝置,或裝置已加入網域,以套用額外的保護和控制。 根據數據敏感度,您的組織可能不允許特定使用者群組或應用程式的 BYOD。
部署和您的應用程式
在您為 Microsoft Entra 整合式應用程式設定設定和推出零信任身分識別和裝置存取設定之前,您必須執行下列步驟:
決定組織中要保護的應用程式。
分析此應用程式清單,以判斷提供適當保護層級的原則集合。
不建議針對每個應用程式使用不同的原則集,因為個別原則的管理可能會變得麻煩。 相反地,建議您將相同使用者具有相同保護需求的應用程式分組。
例如,從一組原則開始,其中包含所有使用者的所有Microsoft 365 應用程式。 針對所有敏感性應用程式使用不同的、更嚴格的原則集(例如人力資源或財務部門所使用的應用程式),並將這些限制性原則套用至受影響的群組。
在您決定您想要保護之應用程式的一組原則之後,請以累加方式將原則推出給使用者,並一路上解決問題。 例如:
- 設定您想要用於所有 Microsoft 365 應用程式的原則。
- 新增 Exchange 及其必要變更、將原則推出給使用者,並解決任何問題。
- 新增具有其必要變更的Teams、向使用者推出原則,以及解決任何問題。
- 新增 SharePoint 及其必要變更、將原則推出給使用者,並解決任何問題。
- 繼續新增應用程式,直到您可以放心地設定這些起點原則,以包含所有Microsoft 365 應用程式。
同樣地,為敏感應用程式逐一新增應用程式以建立一組原則。 請完成任何問題,直到它們全部包含在敏感性應用程式原則集中為止。
Microsoft建議您不要建立套用至所有應用程式的原則集,因為它可能會導致某些非預期的設定。 例如,封鎖所有應用程式的原則可能會將系統管理員鎖定出 Microsoft Entra 系統管理中心,而且無法針對重要端點設定排除專案,例如 Microsoft Graph。
設定 零信任 身分識別和裝置存取的步驟
- 設定必要的識別功能和設定。
- 設定一般身分識別和存取條件式存取原則。
- 設定來賓存取的條件式存取原則。
- 設定 Microsoft 365 雲端應用程式的條件式存取原則(例如,Microsoft Teams、Exchange 和 SharePoint),以及設定 Microsoft適用於 Cloud Apps 的 Defender 原則。
設定零信任身分識別和裝置存取之後,請參閱 Microsoft Entra 功能部署指南,了解其他特性分階段的清單,並參考 Microsoft Entra ID Governance,以保護、監控和稽核存取。