實作 零信任 身分識別和裝置存取原則的必要條件
本文說明系統管理員必須符合的必要條件,才能使用建議的 零信任 身分識別和裝置存取原則,以及使用條件式存取。 它也會討論為客戶端平臺設定最佳單一登錄 (SSO) 體驗的建議預設值。
必要條件
使用建議的 零信任 身分識別和裝置存取原則之前,您的組織必須符合必要條件。 列出的各種身分識別和驗證模型的需求不同:
- 僅雲端
- 混合式與密碼哈希同步處理 (PHS) 驗證
- 混合式與傳遞驗證 (PTA)
- 同盟
下表詳細說明適用於所有身分識別模型的必要條件功能和其設定,但未指出。
組態 | 例外狀況 | 授權 |
---|---|---|
設定 PHS。 此功能必須啟用,才能偵測外洩的認證,並針對風險型條件式存取採取行動。請注意,無論您的組織是否使用同盟驗證,都需要此功能。 | 僅雲端 | Microsoft 365 E3 或 E5 |
啟用無縫單一登錄 ,讓使用者在連線到組織網路的組織裝置上時自動登入。 | 僅限雲端和同盟 | Microsoft 365 E3 或 E5 |
設定具名位置。 Microsoft Entra ID Protection 會收集並分析所有可用的會話數據,以產生風險分數。 建議您在名為locations組態的 Microsoft Entra ID 中,為您的網路指定組織的公用IP範圍。 來自這些範圍的流量會降低風險分數,而來自組織環境外部的流量則會獲得較高的風險分數。 | Microsoft 365 E3 或 E5 | |
註冊所有用戶以進行自助式密碼重設 (SSPR) 和多重要素驗證 (MFA)。 建議您事先註冊使用者Microsoft Entra 多重要素驗證。 Microsoft Entra ID Protection 會利用Microsoft Entra 多重要素驗證來執行額外的安全性驗證。 此外,為了獲得最佳登入體驗,我們建議使用者在裝置上安裝 Microsoft Authenticator 應用程式和 Microsoft 公司入口網站 應用程式。 您可以從每個平臺的應用程式市集安裝這些專案。 | Microsoft 365 E3 或 E5 | |
規劃您的Microsoft Entra 混合式聯結實作。 條件式存取可確保連線到應用程式的裝置已加入網域或符合規範。 若要在 Windows 電腦上支援此功能,裝置必須向 Microsoft Entra 識別元註冊。 本文討論如何設定自動裝置註冊。 | 僅雲端 | Microsoft 365 E3 或 E5 |
準備您的支援小組。 針對無法完成 MFA 的使用者,請備妥計劃。 這可能會將它們新增至原則排除群組,或為其註冊新的 MFA 資訊。 在進行這些安全性敏感性變更之前,您必須確定實際使用者正在提出要求。 要求用戶的經理協助核准是一個有效的步驟。 | Microsoft 365 E3 或 E5 | |
設定密碼回寫至內部部署AD。 密碼回寫可讓Microsoft Entra ID 要求使用者在偵測到高風險帳戶入侵時變更其內部部署密碼。 您可以使用 Microsoft Entra Connect 啟用此功能,方法是透過下列兩種方式之一:在Microsoft Entra Connect 設定的選用功能畫面中啟用 密碼回 寫,或透過 Windows PowerShell 加以啟用。 | 僅雲端 | Microsoft 365 E3 或 E5 |
設定 Microsoft Entra 密碼保護。 Microsoft Entra 密碼保護會偵測並封鎖已知的弱式密碼及其變化,也可以封鎖您的組織專屬的其他弱式字詞。 預設的全域禁用密碼清單會自動套用至 Microsoft Entra 租使用者中的所有使用者。 您可以在自訂禁用密碼清單中定義其他專案。 當使用者變更或重設其密碼時,系統會檢查這些禁用密碼清單,並強制使用強式密碼。 | Microsoft 365 E3 或 E5 | |
啟用 Microsoft Entra ID Protection。 Microsoft Entra ID Protection 可讓您偵測可能影響組織身分識別的潛在弱點,並將自動化補救原則設定為低、中、高登入風險和用戶風險。 | 使用 E5 安全性附加元件Microsoft 365 E5 或 Microsoft 365 E3 | |
啟用 Exchange Online 和 商務用 Skype Online 的新式驗證。 新式驗證是使用 MFA 的必要條件。 Office 2016 和 2019 用戶端、SharePoint 和 商務用 OneDrive 預設會啟用新式驗證。 | Microsoft 365 E3 或 E5 | |
啟用Microsoft Entra ID 的持續存取評估 。 持續存取評估會主動終止作用中的用戶會話,並近乎即時地強制執行租用戶原則變更。 | Microsoft 365 E3 或 E5 |
建議的客戶端設定
本節說明我們建議為使用者提供最佳 SSO 體驗的預設平臺用戶端設定,以及條件式存取的技術必要條件。
Windows 裝置
我們建議使用 Windows 11 或 Windows 10(版本 2004 或更新版本),因為 Azure 的設計目的是為內部部署和Microsoft Entra ID 提供最順暢的 SSO 體驗。 公司或學校發行的裝置應設定為直接加入 Microsoft Entra ID,或者如果組織使用內部部署 AD 網域加入,則應該將這些裝置 設定為自動且以無訊息方式向 Microsoft Entra ID 註冊。
針對 BYOD Windows 裝置,使用者可以使用 新增公司或學校帳戶。 請注意,Windows 11 或 Windows 10 裝置上 Google Chrome 瀏覽器的使用者必須 安裝擴充 功能,才能取得與 Microsoft Edge 使用者相同的順暢登入體驗。 此外,如果您的組織已加入網域的 Windows 8 或 8.1 裝置,您可以為非 Windows 10 電腦安裝 Microsoft Workplace Join。 下載套件,以Microsoft Entra標識符註冊 裝置。
iOS 裝置
建議您 先在用戶裝置上安裝 Microsoft Authenticator 應用程式 ,再部署條件式存取或 MFA 原則。 在要求使用者透過新增公司或學校帳戶,或安裝Intune公司入口網站應用程式以註冊裝置以管理裝置時,至少應該安裝應用程式, Microsoft Entra 標識符。 這取決於已設定的條件式存取原則。
Android 裝置
建議您先安裝 Intune 公司入口網站 應用程式和Microsoft Authenticator 應用程式,然後再部署條件式存取原則,或在特定驗證嘗試期間需要時安裝。 安裝應用程式之後,系統可能會要求使用者向 Microsoft Entra ID 註冊,或向 Intune 註冊其裝置。 這取決於已設定的條件式存取原則。
我們也建議您在支援 Android for Work 或 Samsung Knox 的 OEM 和版本上標準化組織擁有的裝置,以允許郵件帳戶、受 Intune MDM 原則管理及保護。
建議的電子郵件客戶程式
下列電子郵件用戶端支援新式驗證和條件式存取。
平台 | 用戶端 | 版本/附注 |
---|---|---|
Windows | Outlook | 2019、2016 |
iOS | iOS 版 Outlook | Latest |
Android | Android 版 Outlook | Latest |
macOS | Outlook | 2019 和 2016 |
Linux | 不支援 |
保護檔時的建議客戶端平臺
套用安全文件原則時,建議使用下列用戶端。
平台 | Word/Excel/PowerPoint | OneNote | OneDrive 應用程式 | SharePoint 應用程式 | OneDrive 同步處理用戶端 |
---|---|---|---|---|---|
Windows 11 或 Windows 10 | 支援 | 支援 | N/A | N/A | 支援 |
Windows 8.1 | 支援 | 支援 | N/A | N/A | 支援 |
Android | 支援 | 支援 | 支援 | 支援 | N/A |
iOS | 支援 | 支援 | 支援 | 支援 | N/A |
macOS | 支援 | 支援 | N/A | N/A | 不支援 |
Linux | 不支援 | 不支援 | 不支援 | 不支援 | 不支援 |
Microsoft 365 用戶端支援
如需 Microsoft 365 中用戶端支援的詳細資訊,請參閱下列文章:
保護系統管理員帳戶
針對 Microsoft 365 E3 或 E5,或具有個別的 Microsoft Entra ID P1 或 P2 授權,您可以使用手動建立的條件式存取原則來要求系統管理員帳戶使用 MFA。 如需詳細資訊,請參閱 條件式存取:需要系統管理員 的 MFA。
針對不支持條件式存取的 Microsoft 365 或 Office 365 版本,您可以啟用 安全性預設值 來要求所有帳戶的 MFA。
以下是一些其他建議:
- 使用 Microsoft Entra Privileged Identity Management 來減少持續性系統管理帳戶的數目。
- 使用特殊許可權存取管理 來保護貴組織免於違反使用現有特殊許可權系統管理員帳戶與敏感數據的常設存取權,或存取重要組態設定。
- 僅針對系統管理Microsoft 365 系統管理員角色,建立和使用個別帳戶。 系統管理員應該有自己的用戶帳戶,才能使用一般非系統管理用途,並在必要時才使用系統管理帳戶來完成與其角色或作業功能相關聯的工作。
- 請遵循 在 Entra 識別碼 Microsoft中保護特殊許可權帳戶的最佳做法 。