Microsoft 365 組織的常見安全策略
組織對於為組織部署Microsoft 365 時非常擔心。 本文所參考的條件式存取、應用程式保護和裝置合規性原則是以Microsoft的建議和三個 零信任 指導方針為基礎:
- 明確驗證
- 使用最低權限
- 假設缺口
組織可以依目前方式採用這些原則,或加以自定義以符合其需求。 可能的話,請先在非生產環境中測試您的原則,再將其推出給生產使用者。 測試對於識別並傳達任何可能的影響對您用戶至關重要。
我們會根據您在部署旅程中的位置,將這些原則分組為三個保護層級:
- 起點 - 引進多重要素驗證、安全密碼變更和應用程式保護原則的基本控件。
- 企業 - 引進裝置合規性的增強控件。
- 特製化安全性 - 每次針對特定數據集或使用者要求多重要素驗證的原則。
下圖顯示每個原則適用的保護層級,以及原則適用的裝置類型:
您可以將此圖表下載為 PDF 檔案。
提示
建議您要求用戶在 Intune 中註冊裝置之前進行多重要素驗證 (MFA),以確保裝置由預定的使用者持有。 MFA 由於 安全性預設值預設為開啟,或者您可以使用 條件式存取原則來要求所有使用者必須進行 MFA。
裝置必須先在 Intune 中註冊,才能強制執行裝置合規性政策。
必要條件
權限
需要下列Microsoft Entra 許可權:
- 管理條件式存取原則:條件式存取系統管理員 角色。
- 管理應用程式保護和裝置合規性原則:Intune 系統管理員 角色。
- 僅檢視組態:安全性讀取者 角色。
如需Microsoft Entra 中角色和許可權的詳細資訊,請參閱 Microsoft Entra 內建角色一文。
使用者註冊
確保使用者先註冊 MFA,然後再進行需求設定。 如果您的授權包含 Microsoft Entra ID P2,您可以使用 Microsoft Entra ID Protection 內的 MFA 註冊原則,要求用戶註冊。 我們提供 通訊範本,您可以下載並客製化以促進用戶註冊。
群組
您作為這些建議一部分使用的所有Microsoft Entra 群組都必須Microsoft 365 個群組,不會 安全組。 此需求對於部署敏感度標籤來保護 Microsoft Teams 和 SharePoint 中的檔很重要。 如需詳細資訊,請參閱 瞭解 Microsoft Entra ID中的群組和訪問許可權。
指派原則
您可以將條件式存取原則指派給使用者、群組和系統管理員角色。 您可以將 Intune 應用程式保護政策和裝置合規性政策僅指派給 群組,。 設定原則之前,請先識別應該包含和排除的人員。 一般而言,起點保護層級原則會套用至組織中的每個人。
下表描述使用者在完成 用戶註冊後,關於多因素驗證(MFA)的範例群組指派和排除:
| Microsoft Entra 條件式存取原則 | 包括 | 排除 | |
|---|---|---|---|
| 起點 | 需要多重要素驗證以取得中或高登入風險 | 所有使用者 |
|
| 企業 | 需要低、中或高登入風險的多重要素驗證 | 主管人員群組 |
|
| 特製化安全性 | 一律需要多重要素驗證 | 最高機密專案巴克耶群組 |
|
提示
將較高層級的保護套用至使用者和群組時,請小心。 安全性的目標是不會在用戶體驗中增加不必要的摩擦。 例如,Top Secret Project Buckeye 群組的成員 每次登入時必須使用 MFA,即使他們並未處理專案的特製化內容也是如此。 過度的安全性摩擦可能會導致疲勞。 啟用 防網路釣魚驗證方法(例如 Windows Hello 企業版或 FIDO2 安全性金鑰),以協助減少安全性控制所造成的摩擦。
緊急存取帳戶
所有組織應該至少擁有一個緊急存取帳戶,該帳戶應受到監控並排除在政策之外(更大的組織可能需要更多類似帳戶)。 只有在所有其他系統管理員帳戶和驗證方法遭到鎖定或無法使用時,才會使用這些帳戶。 如需詳細資訊,請參閱 在 Microsoft Entra ID中管理緊急存取帳戶。
排除
建議的做法是為條件式存取排除專案建立Microsoft Entra 群組。 此群組可讓您在針對存取問題進行疑難解答時,提供使用者存取權的方法。
警告
我們建議僅將排除群組作為暫存解決方案。 請務必持續監視此群組是否有變更,並確認群組僅供其用途使用。
執行下列步驟,將排除群組新增至任何現有的原則。 如先前所述,您需要 條件式存取系統管理員 許可權。
在 https://entra.microsoft.com的 Microsoft Entra 系統管理中心中,移至 [條件式存取]>[條件式存取]>[原則]。 或者,直接前往 條件式存取 |原則 頁面,使用 https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policies/fromNav/Identity。
在 條件式存取 |原則 頁面,按兩下名稱值來選取現有的原則。
在開啟的政策詳細頁面中,選取 [指派] 區段中 [使用者] 的連結。
在開啟的控件中,選取 [排除 ] 索引卷標,然後選取 [[使用者和群組]。
在開啟的 排除的使用者和群組 飛出視窗中,尋找並選取下列身分識別:
- 用戶:緊急存取帳號。
- 群組:條件式存取排除群組
當您完成 選取排除的使用者和群組 飛出視窗時,請選取 [選取]
部署
我們建議您按照下表所列的順序,實施 起點原則。 您可以隨時為 企業 和 專門安全性 層級的保護實行 MFA 原則。
起點
| 原則 | 其他相關資訊 | 授權 |
|---|---|---|
| 登入風險為 中 或 高時需要 MFA | 只有在Microsoft Entra ID Protection 偵測到風險時,才需要 MFA。 | 使用 E5 安全性附加元件Microsoft 365 E5 或 Microsoft 365 E3 |
| 封鎖不支援新式驗證的用戶端 | 不使用新式驗證的用戶端可以略過條件式存取原則,因此請務必加以封鎖。 | Microsoft 365 E3 或 E5 |
| 高風險的用戶必須變更密碼 | 如果偵測到帳戶的高風險活動,強制使用者在登入時變更其密碼。 | 使用 E5 安全性附加元件Microsoft 365 E5 或 Microsoft 365 E3 |
| 套用資料保護的應用程式保護原則 | 每個平臺一個 Intune 應用程式保護原則(Windows、iOS/iPadOS 和 Android)。 | Microsoft 365 E3 或 E5 |
| 需要核准的應用程式和應用程式保護原則 | 使用 iOS、iPadOS 或 Android 裝置的手機和平板電腦上,強制實施應用程式保護政策。 | Microsoft 365 E3 或 E5 |
Enterprise
| 原則 | 其他相關資訊 | 授權 |
|---|---|---|
| 登入風險低、中或高時需要 MFA | 只有在Microsoft Entra ID Protection 偵測到風險時,才需要 MFA。 | 使用 E5 安全性附加元件Microsoft 365 E5 或 Microsoft 365 E3 |
| 定義裝置合規性原則 | 設定最低設定需求。 每個平臺都有一個原則。 | Microsoft 365 E3 或 E5 |
| 需要符合規範的計算機和行動裝置 | 強制執行存取您組織的裝置的設定需求 | Microsoft 365 E3 或 E5 |
特殊化安全性
| 原則 | 其他相關資訊 | 授權 |
|---|---|---|
| 一律 需要 MFA | 每當使用者登入組織中的服務時,都必須執行 MFA。 | Microsoft 365 E3 或 E5 |
應用程式防護 原則
應用程式保護原則 指定允許的應用程式,以及他們可以使用貴組織數據採取的動作。 雖然有許多原則可供選擇,但下列清單說明我們建議的基準。
層級 1 企業基本數據保護:建議將此設定作為企業裝置的最低數據保護。
層級 2 企業增強型數據保護:我們建議針對存取敏感數據或機密資訊的裝置使用此設定。 此設定適用於存取公司或學校數據的大部分行動使用者。 某些控制件可能會影響用戶體驗。
層級 3 企業高數據保護:我們建議在下列案例中使用此設定:
- 具有較大型或更複雜的安全性小組的組織。
- 特定使用者或群組所使用且具有獨特高風險的裝置。 例如,處理高度敏感數據的使用者,若未經授權洩漏,將會造成組織相當大損失
可能以資金良好且複雜的攻擊者為目標的組織應該力求此設定。
建立應用程式保護原則
執行下列步驟,使用數據保護架構設定,為intune(iOS/iPadOS和Android)內Microsoft每個裝置平臺建立新的應用程式保護原則:
- 依照如何使用 Microsoft Intune 建立及部署應用程式保護原則中的步驟,手動建立原則。
- 使用 Intune 的 PowerShell 腳本匯入範例 Intune 應用程式保護原則組態架構 JSON 範本。
裝置相容性原則
Intune 裝置合規性政策會定義裝置的需求,以符合規範。 您必須為每個電腦、手機或平板電腦平臺建立原則。 本文涵蓋下列平台的建議:
建立裝置合規性原則
若要建立裝置合規性政策,請執行下列步驟:
- 在 https://endpoint.microsoft.comMicrosoft Intune 系統管理中心中,移至 [管理裝置>合規性>原則] 索引卷標。或者,直接移至 裝置的 [原則] 索引卷標 |合規性 頁面,使用 https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/compliance。
- 在 裝置 | 合規性 頁面的 政策 索引標籤上,選取 建立政策。
如需逐步指引,請參閱 在 Microsoft Intune 中建立符合性政策。
iOS/iPadOS 的註冊和合規性設定
iOS/iPadOS 支援數個註冊案例,其中兩種是由此架構所涵蓋:
- 個人擁有裝置的註冊流程:個人擁有的裝置(亦稱為自行攜帶裝置或 BYOD),這些裝置也用於工作。
- 企業擁有裝置的自動設備註冊:與單一使用者相關聯的企業擁有裝置,專門用於工作。
個人註冊裝置的合規性設定
- 個人基本安全性 (層級 1):我們建議將此設定作為存取公司或學校數據的個人裝置的最低安全性。 您可以強制執行密碼原則、裝置鎖定特性,以及停用特定裝置功能來達成此設定(例如,不受信任的憑證)。
- 個人增強式安全性 (層級 2):我們建議針對存取敏感數據或機密資訊的裝置使用此設定。 此設定可啟用資料共用控制件。 此設定適用於存取公司或學校數據的大部分行動使用者。
- 個人高安全性 (層級 3):我們建議針對特定使用者或群組所使用且具有獨特高風險的裝置使用此設定。 例如,處理高度敏感數據的使用者,若未經授權洩漏,將會造成組織相當大損失。 此設定可啟用更強的密碼原則、停用特定裝置功能,並強制執行額外的數據傳輸限制。
自動化裝置註冊的合規性設定
- 受監督的基本安全性 (層級 1):我們建議將此設定作為存取公司或學校數據之企業裝置的最低安全性。 您可以強制執行密碼原則、裝置鎖定特性,以及停用特定裝置功能來達成此設定(例如,不受信任的憑證)。
- 受監督的增強式安全性 (層級 2):我們建議針對存取敏感數據或機密資訊的裝置使用此設定。 此設定可啟用數據共用控制件,並封鎖對 USB 裝置的存取。 此設定適用於存取裝置上公司或學校數據的大部分行動使用者。
- 受監督的高安全性 (層級 3):我們建議針對特定使用者或群組所使用且具有獨特高風險的裝置使用此設定。 例如,處理高度敏感數據的使用者,若未經授權洩漏,將會造成組織相當大損失。 此設定可啟用更強大的密碼原則、停用特定裝置功能、強制執行額外的數據傳輸限制,並要求應用程式透過Apple的大量採購方案進行安裝。
Android 的註冊和合規性設定
Android Enterprise 支持數個註冊案例,其中兩個案例涵蓋在此架構中:
- Android Enterprise 工作配置檔:個人擁有的裝置(也稱為自備裝置或 BYOD)也用於工作。 IT 部門所控制的原則可確保工作數據無法傳輸至個人配置檔。
- Android Enterprise 完全受控裝置:與單一使用者相關聯的組織擁有裝置,並專門用於工作。
Android Enterprise 安全性設定架構被組織成數個不同的配置情境,以提供工作描述檔和完全管理情境的指引。
Android Enterprise 工作配置檔裝置的合規性設定
- 個人擁有的工作檔案設備沒有基本安全性等級1的提供。 可用的設定無法證明層級 1 與層級 2 之間的差異。
- 工作配置檔增強式安全性 (層級 2):我們建議將此設定作為存取公司或學校數據的個人裝置的最低安全性。 此設定引進密碼需求、分隔工作和個人資料,以及驗證 Android 裝置證明。
- 工作配置檔高安全性 (層級 3):我們建議針對特定使用者或群組所使用且具有獨特高風險的裝置使用此設定。 例如,處理高度敏感數據的使用者,若未經授權洩漏,將會造成組織相當大損失。 此設定引進行動威脅防禦或適用於端點的 Defender Microsoft、設定最低 Android 版本、啟用更強大的密碼原則,以及進一步分隔工作和個人資料。
Android Enterprise 完全受控裝置的合規性設定
- 完全受控的基本安全性 (層級 1):建議將此設定作為企業裝置的最低安全性。 此設定適用於大部分工作或學校數據的行動使用者。 此設定引進密碼需求、設定最低 Android 版本,並啟用特定裝置限制。
- 完全受控增強式安全性 (層級 2):我們建議針對存取敏感數據或機密資訊的裝置使用此設定。 此設定可啟用更強的密碼原則,並停用使用者/帳戶功能。
- 完全受控高安全性 (層級 3):我們建議針對特定使用者或群組所使用且具有獨特高風險的裝置使用此設定。 例如,處理高度敏感數據的使用者,若未經授權洩漏,將會造成組織相當大損失。 此設定會增加最低 Android 版本、引進行動威脅防禦或 適用於端點的 Microsoft Defender,並強制執行額外的裝置限制。
Windows 10 和更新版本的建議合規性設定
您可以設定下列設定,如 Intune 中 Windows 10/11裝置合規性設定中所述。 這些設定符合 零信任 身分識別和裝置存取組態中所述的原則。
裝置健康情況 > Windows 健康情況證明服務評估規則:
屬性 值 需要 BitLocker 必要 需要在裝置上啟用安全開機 必要 需要程式代碼完整性 必要 操作系統版本> 裝置屬性:根據您的IT和安全策略,為作業系統版本指定適當的值。
屬性 值 最低OS版本 操作系統版本上限 行動裝置所需的最低 OS 行動裝置所需的操作系統上限 有效的操作系統組建 Configuration Manager 合規性:
屬性 值 需要 Configuration Manager 的裝置合規性 在與 Configuration Manager 共同管理的環境中,選取 [必要]。 否則,請選擇 未設定。 系統安全性:
屬性 值 密碼 需要密碼來解除鎖定行動裝置 必要 簡單密碼 封鎖 密碼類型 裝置預設值 密碼長度下限 6 需要密碼前幾分鐘的無啟用時間上限 15 分鐘 密碼到期 (天) 41 防止重複使用的先前密碼數目 5 當裝置從閒置狀態傳回時需要密碼 (行動裝置和全像攝影版) 必要 加密 需要裝置上的數據記憶體加密 必要 防火牆 防火牆 必要 防病毒軟體 防毒 必要 反間諜軟體 Antispyware 必要 防禦者 Microsoft Defender 反惡意軟體 必要 Microsoft Defender 反惡意代碼最低版本 我們建議的數值最多只落後於最新版本五個版本。 Microsoft Defender 防毒軟體的病毒碼特徵庫為最新版本 必要 即時保護 必要 Microsoft Defender 適用於端點:
屬性 值 要求裝置處於計算機風險分數或低於計算機風險分數 中
條件式存取原則
在 Intune 中建立應用程式保護原則和裝置合規性原則之後,您可以使用條件式存取原則來啟用強制執行。
需要以登入風險為基礎的 MFA
請遵循下列指引:需要多重要素驗證,才能提高登入風險,以建立根據登入風險要求多重要素驗證的原則。
設定原則時,請使用下列風險層級:
| 保護層級 | 風險層級 |
|---|---|
| 起點 | 中等和高 |
| Enterprise | 低、中和高 |
封鎖不支援多重要素驗證的用戶端
遵循以下指引:使用條件式存取封鎖舊版驗證。
高風險的用戶必須變更密碼
請遵循指引:要求用戶提高安全性風險的密碼變更,要求憑證被入侵的使用者更改其密碼。
使用此原則搭配 Microsoft Entra 密碼保護,它會偵測並封鎖已知的弱式密碼、其變體,以及貴組織中的特定詞彙。 使用 Microsoft Entra 密碼保護可確保變更的密碼更強。
需要核准的應用程式或應用程式保護策略
您必須建立條件式存取原則,以強制執行您在 Intune 中建立的應用程式保護原則。 強制執行應用程式保護原則需要條件式存取原則 和 對應的應用程式保護原則。
若要建立需要核准應用程式或應用程式保護的條件式存取原則,請遵循 需要核准的用戶端應用程式或應用程式保護原則中的步驟。 此原則只允許受應用程式保護原則保護的應用程式內的帳戶存取Microsoft 365 個端點。
封鎖 iOS/iPadOS 和 Android 裝置上其他應用程式的舊版驗證,可確保這些裝置無法略過條件式存取原則。 依照本文中的指引,您已 封鎖不支援新式驗證的用戶端。
需要符合規範的計算機和行動裝置
警告
啟用此原則之前,請先確認您自己的裝置符合規範。 否則,您可以遭到鎖定,且需要使用 緊急存取帳戶 來復原您的存取權。
只有在判斷裝置符合 Intune 合規性政策之後,才允許存取資源。 如需詳細資訊,請參閱 要求裝置符合條件式存取。
即使您在原則中選取了 [要求裝置標示為符合規範]、[所有使用者] 和 [所有雲端應用程式],您仍然可以向 Intune 註冊新裝置。 要求裝置標示為符合規範 不會封鎖 Intune 註冊或存取 Microsoft Intune Web 公司入口網站應用程式。
訂用帳戶啟用
如果您的組織使用 Windows 訂閱啟用 來讓使用者從某一版本的 Windows 升級到另一版本,您應該將通用市集服務 API 和 Web 應用程式(AppID:45a330b1-b1ec-4cc1-9161-9f03992aa49f)排除在裝置合規性之外。
一律需要 MFA
遵循本文中的指引,要求所有使用者使用 MFA:需要所有使用者的多重要素驗證。
下一步
