共用方式為


Microsoft 365 組織的常見安全策略

組織對於為組織部署Microsoft 365 時,有許多顧慮。 本文所參考的條件式存取、應用程式保護和裝置合規性原則是以Microsoft的建議和三個 零信任 指導方針為基礎:

  • 明確驗證
  • 使用最低權限
  • 假設缺口

組織可以依目前方式採用這些原則,或加以自定義以符合其需求。 可能的話,請先在非生產環境中測試您的原則,再向生產使用者推出。 測試對於識別並傳達任何可能的影響對您用戶至關重要。

我們會根據您在部署旅程中的位置,將這些原則分組為三個保護層級:

  • 起點 - 引進多重要素驗證、安全密碼變更和應用程式保護原則的基本控件。
  • 企業 - 引進裝置合規性的增強控件。
  • 特製化安全性 - 每次針對特定數據集或使用者要求多重要素驗證的原則。

下圖顯示每個原則適用的保護層級,以及原則適用於計算機或手機和平板計算機,或這兩種裝置類別。

此圖顯示支援 零信任 原則的常見身分識別和裝置原則。

您可以將此圖表下載為 PDF 檔案。

提示

在 Intune 中註冊裝置之前,建議使用多重要素驗證 (MFA),以確保裝置擁有預期的使用者。 您必須先在 Intune 中註冊裝置,才能強制執行裝置合規性政策。

必要條件

權限

如需角色和許可權的詳細資訊,請參閱Microsoft Entra 內建角色一文

使用者註冊

請確認您的使用者先註冊多因素驗證,再要求其使用。 如果您有包含 Microsoft Entra ID P2 的授權,您可以使用 Microsoft Entra ID Protection 內的 MFA 註冊原則來要求該用戶註冊。 我們提供 溝通範本,您可以下載和自訂,以促進註冊。

群組

作為這些建議一部分的所有Microsoft Entra 群組,都必須建立為 Microsoft 365 群組 ,而不是安全組。 在稍後保護 Microsoft Teams 和 SharePoint 中的檔時,此需求對於部署敏感度標籤很重要。 如需詳細資訊,請參閱瞭解 Microsoft Entra 標識碼中的群組和訪問許可權一文

指派原則

條件式存取原則可以指派給使用者、群組和系統管理員角色。 Intune 應用程式保護和裝置合規性原則只能指派給 群組,。 設定原則之前,請先識別應該包含和排除的人員。 一般而言,起點保護層級原則會套用至組織中的每個人。

以下是在使用者完成 用戶註冊後,設定需要 MFA 的群組指派及排除的範例。

  Microsoft Entra 條件式存取原則 包括​​ 排除
起點 需要多重要素驗證以取得中或高登入風險 所有使用者
  • 緊急存取帳戶
  • 條件式存取排除群組
企業 需要低、中或高登入風險的多重要素驗證 主管人員群組
  • 緊急存取帳戶
  • 條件式存取排除群組
特製化安全性 一律需要多重要素驗證 最高機密專案巴克耶群組
  • 緊急存取帳戶
  • 條件式存取排除群組

將較高層級的保護套用至群組和使用者時,請小心。 安全性的目標是不會在用戶體驗中增加不必要的摩擦 。 例如,最高機密專案 Buckeye 群組的成員 每次登入時都必須使用多因素驗證 (MFA),即使他們未處理專案中的特製化安全性內容也一樣。 過度的安全性摩擦可能會導致疲勞。

您應該考慮啟用 的保值驗證方法,例如 Windows Hello 企業版或 FIDO2 安全性密鑰,以減少某些安全性控件所建立的一些摩擦。

緊急存取帳戶

所有組織都應該至少有一個緊急存取帳戶受到監視,以供使用並排除在原則之外。 只有在所有其他系統管理員帳戶和驗證方法遭到鎖定或無法使用時,才會使用這些帳戶。 如需詳細資訊,請參閱在 Microsoft Entra ID 中管理緊急存取帳戶一文。

排除

建議的做法是為條件式存取排除專案建立Microsoft Entra 群組。 此群組可讓您在針對存取問題進行疑難解答時,提供使用者存取權的方法。

警告

建議使用此群組,僅作為暫存解決方案。 持續監視和稽核此群組是否有變更,並確定排除群組僅供預期使用。

若要將此排除群組新增至任何現有的原則:

  1. 至少以條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [保護]>[條件式存取]
  3. 選取現有的原則。
  4. 在 [指派] 底下,選取 [使用者或工作負載識別]
    1. 在 [排除],選取 [使用者和群組],然後選擇您組織的緊急存取或中斷帳戶和條件式存取排除群組。

部署

建議您依照下表所列的順序來實 作起點 原則。 不過,您可以隨時實作適用於 企業特殊化保護層級 的 MFA 原則。

起點

原則 其他相關資訊 授權
登入風險為 高時需要 MFA 只有在偵測到風險時,才使用來自 Microsoft Entra ID Protection 的風險數據來要求 MFA 使用 E5 安全性附加元件Microsoft 365 E5 或 Microsoft 365 E3
封鎖不支援新式驗證的用戶端 不使用新式驗證的用戶端可以略過條件式存取原則,因此請務必加以封鎖。 Microsoft 365 E3 或 E5
高風險的用戶必須變更密碼 如果偵測到帳戶的高風險活動,強制使用者在登入時變更其密碼。 使用 E5 安全性附加元件Microsoft 365 E5 或 Microsoft 365 E3
套用資料保護的應用程式保護原則 每個平臺一個 Intune 應用程式保護原則(Windows、iOS/iPadOS、Android)。 Microsoft 365 E3 或 E5
需要核准的應用程式和應用程式保護原則 使用 iOS、iPadOS 或 Android 為手機和平板電腦強制執行行動應用程式保護原則。 Microsoft 365 E3 或 E5

Enterprise

原則 其他相關資訊 授權
登入風險低高時需要 MFA 只有在偵測到風險時,才使用來自 Microsoft Entra ID Protection 的風險數據來要求 MFA 使用 E5 安全性附加元件Microsoft 365 E5 或 Microsoft 365 E3
定義裝置合規性原則 設定最低設定需求。 每個平臺都有一個原則。 Microsoft 365 E3 或 E5
需要符合規範的計算機和行動裝置 強制執行存取您組織的裝置的設定需求 Microsoft 365 E3 或 E5

特殊化安全性

原則 其他相關資訊 授權
一律 需要 MFA 每當使用者登入您的組織服務時,都必須執行 MFA Microsoft 365 E3 或 E5

應用程式防護 原則

應用程式防護 原則會定義允許哪些應用程式,以及這些應用程式可以採取哪些動作與貴組織的數據。 有許多選擇可供選擇,可能會讓某些人感到困惑。 下列基準是Microsoft建議的設定,可根據您的需求量身打造。 我們提供三個要遵循的範本,但認為大多數組織都選擇層級 2 和 3。

層級 2 對應至我們考慮 起點或 企業 層級安全性,層級 3 對應至 特殊 安全性。

  • 層級 1 企業基本數據保護 – Microsoft 建議此設定作為企業裝置的最低數據保護組態。

  • 層級 2 企業增強數據保護 – Microsoft 針對使用者存取敏感性或機密資訊的裝置建議此設定。 這個設定適用於存取公司或學校資料的大部分行動使用者。 某些控制件可能會影響用戶體驗。

  • 層級 3 企業高數據保護 – Microsoft 針對具有較大或更複雜安全性小組的組織所執行的裝置,或針對具有獨特高風險的特定使用者或群組,建議此設定(在未經授權洩漏時處理高度機密數據的使用者會造成組織相當重大的物質損失)。 可能被資金充足且技術高超的對手鎖定的組織應力求達到此類配置。

建立應用程式保護原則

使用資料保護架構設定,在 Microsoft Intune 內為每個平臺 (iOS 和 Android) 建立新的應用程式保護原則:

裝置相容性原則

Intune 裝置合規性政策會定義裝置必須符合才能判斷為符合規範的需求。

您必須為每個電腦、手機或平板電腦平臺建立原則。 本文涵蓋下列平台的建議:

建立裝置合規性原則

若要建立裝置合規性政策,請登入 Microsoft Intune 系統管理中心,然後流覽至 [裝置>合規性原則>原則]。 選取 [建立原則]

如需在 Intune 中建立合規性原則的逐步指引,請參閱 在 Microsoft Intune 中建立合規性政策。

iOS/iPadOS 的註冊和合規性設定

iOS/iPadOS 支援數個註冊案例,其中兩個案例涵蓋在此架構中:

使用 零信任 身分識別和裝置存取設定中所述的原則:

  • 起點和企業保護層級會與層級 2 增強式安全性設定緊密對應。
  • 製化 安全性保護層級會密切對應至層級 3 高安全性設定。
個人註冊裝置的合規性設定
  • 個人基本安全性 (層級 1) – Microsoft 建議此設定作為使用者存取公司或學校數據的個人裝置的最低安全性設定。 此設定是藉由強制執行密碼原則、裝置鎖定特性,以及停用某些裝置功能來完成,例如不受信任的憑證。
  • 個人增強式安全性 (層級 2) – Microsoft 針對使用者存取敏感性或機密資訊的裝置建議此設定。 此設定會制定數據共用控制件。 此設定適用於存取裝置上公司或學校數據的大部分行動使用者。
  • 個人高安全性 (層級 3) – Microsoft 針對特定使用者或群組所使用的裝置建議此設定,這些裝置具有獨特的高風險(在未經授權洩漏的情況下處理高度敏感數據的使用者會導致組織相當重大的物質損失)。 此設定會制定更強大的密碼原則、停用特定裝置功能,並強制執行額外的數據傳輸限制。
自動化裝置註冊的合規性設定
  • 受監督的基本安全性 (層級 1) – Microsoft 建議此設定作為使用者存取公司或學校數據之受監督裝置的最低安全性設定。 此設定是藉由強制執行密碼原則、裝置鎖定特性,以及停用某些裝置功能來完成,例如不受信任的憑證。
  • 受監督的增強式安全性 (層級 2) – Microsoft建議使用者存取敏感性或機密資訊的裝置使用此設定。 此設定會制定數據共用控件,並封鎖對USB裝置的存取。 此設定適用於存取裝置上公司或學校數據的大部分行動使用者。
  • 受監督的高安全性 (層級 3) – Microsoft 針對特定使用者或群組所使用的裝置建議此設定,這些裝置具有獨特的高風險(在未經授權洩漏的情況下處理高度敏感數據的使用者會導致組織大量重大損失)。 此設定會制定更強大的密碼原則、停用特定裝置功能、強制執行額外的數據傳輸限制,並要求應用程式透過Apple的大量採購方案安裝。

Android 的註冊和合規性設定

Android Enterprise 支持數個註冊案例,其中兩個案例涵蓋在此架構中:

  • Android Enterprise 工作配置檔 – 此註冊模型通常用於個人擁有的裝置,IT 想要在工作與個人資料之間提供明確的分隔界限。 IT 所控制的原則可確保工作數據無法傳輸至個人配置檔。
  • Android Enterprise 完全受控裝置 – 這些裝置是公司擁有的、與單一使用者相關聯的,並專門用於工作,而不是個人用途。

Android Enterprise 安全性設定架構會組織成數個不同的組態案例,提供工作配置檔和完全受控案例的指引。

使用 零信任 身分識別和裝置存取設定中所述的原則:

  • 起點和企業保護層級會與層級 2 增強式安全性設定緊密對應。
  • 製化 安全性保護層級會密切對應至層級 3 高安全性設定。
Android Enterprise 工作配置檔裝置的合規性設定
  • 由於個人擁有工作配置檔裝置可用的設定,因此沒有基本安全性 (層級 1) 供應專案。 可用的設定無法證明層級 1 與層級 2 之間的差異。
  • 工作配置文件增強安全性 (層級 2)– Microsoft建議此設定作為使用者存取公司或學校數據的個人裝置的最低安全性設定。 此設定引進密碼需求、分隔工作和個人資料,以及驗證 Android 裝置證明。
  • 工作配置檔高安全性 (層級 3) – Microsoft 針對特定使用者或群組所使用的裝置建議此設定,這些裝置具有獨特的高風險(在未經授權洩漏的情況下處理高度敏感數據的使用者會導致組織遭受大量重大損失)。 此設定引進行動威脅防禦或 適用於端點的 Microsoft Defender、設定最低 Android 版本、制定更強大的密碼原則,以及進一步限制工作和個人隔離。
Android Enterprise 完全受控裝置的合規性設定
  • 完全受控的基本安全性 (層級 1) – Microsoft 建議此設定作為企業裝置的最低安全性設定。 這個設定適用於存取公司或學校資料的大部分行動使用者。 此設定引進密碼需求、設定最低 Android 版本,並制定特定裝置限制。
  • 完全受控增強式安全性 (層級 2) – Microsoft 針對使用者存取敏感性或機密資訊的裝置建議此設定。 此設定會制定更強大的密碼原則,並停用使用者/帳戶功能。
  • 完全受控的高安全性 (層級 3) - Microsoft 建議特定使用者或群組特別高風險的裝置使用此設定。 這些使用者可能會處理高度敏感的數據,其中未經授權的洩漏可能會造成組織相當重大的物質損失。 此設定會增加最低 Android 版本、引進行動威脅防禦或 適用於端點的 Microsoft Defender,並強制執行額外的裝置限制。

在步驟 2:合規性設定設定了 Windows 10 和更新版本裝置的合規性政策建立程式。 這些設定符合 零信任 身分識別和裝置存取組態中所述的原則。

如需 裝置健康情況 > Windows 健康情況證明服務評估規則,請參閱下表。

屬性
需要 BitLocker 必要
需要在裝置上啟用安全開機 必要
需要程式代碼完整性 必要

針對 [ 裝置屬性],根據您的IT和安全策略,為作業系統版本指定適當的值。

針對 Configuration Manager 合規性,如果您是使用 Configuration Manager 共同管理的環境,請選取 [需要],否則請選取 [未設定]。

如需 系統安全性,請參閱下表。

屬性
需要密碼來解除鎖定行動裝置 必要
簡單密碼 封鎖
密碼類型 裝置預設值
密碼長度下限 6
需要密碼之前閑置的分鐘數上限 15 分鐘
密碼到期 (天) 41
防止重複使用的先前密碼數目 5
當裝置從閒置狀態傳回時需要密碼 (行動裝置和全像攝影版) 必要
需要裝置上的數據記憶體加密 必要
防火牆 必要
防毒 必要
Antispyware 必要
Microsoft Defender Antimalware 必要
Microsoft Defender Antimalware 最低版本 Microsoft建議從最新版本落後 5 個以上的版本。
Microsoft Defender 反惡意代碼簽章最新 必要
即時保護 必要

針對 適用於端點的 Microsoft Defender

屬性
要求裝置處於計算機風險分數或低於計算機風險分數

條件式存取原則

在 Intune 中建立應用程式保護和裝置合規性原則之後,您可以使用條件式存取原則來啟用強制執行。

需要以登入風險為基礎的 MFA

請遵循本文第 節「要求提高登入風險的多重要素驗證」中的指引, 以根據登入風險要求多重要素驗證來制定政策。

設定原則時,請使用下列風險層級。

保護層級 所需的風險層級值 動作
起點 高、中等 檢查兩者。
Enterprise 高、中、低 檢查這三個。

封鎖不支援多重要素驗證的用戶端

請遵循文章 《使用條件式存取來封鎖舊版驗證》中的指引,以封鎖舊版驗證。

高風險的用戶必須變更密碼

請遵循文章 的指導,要求安全密碼變更以應對提高的用戶風險,並要求憑證遭入侵的使用者變更其密碼。

使用此原則以及 Microsoft Entra 密碼保護,除了貴組織特定的字詞之外,還偵測並封鎖已知的弱式密碼及其變體。 使用 Microsoft Entra 密碼保護可確保變更的密碼更強。

需要核准的應用程式或應用程式保護策略

您必須建立條件式存取原則 ,以強制執行在 Intune 中建立的應用程式保護原則。 強制執行應用程式保護原則需要條件式存取原則 對應的應用程式保護原則。

若要建立需要核准應用程式或應用程式保護的條件式存取原則,請遵循 需要核准的用戶端應用程式或應用程式保護原則中的步驟。 此原則只允許受應用程式保護原則保護的行動應用程式內的帳戶存取Microsoft 365 個端點。

封鎖 iOS 和 Android 裝置上其他用戶端應用程式的舊版驗證,可確保這些客戶端無法略過條件式存取原則。 如果您遵循本文中的指引,您已設定 封鎖不支援新式驗證的用戶端。

需要符合規範的計算機和行動裝置

請遵循文章中的指引,要求裝置符合條件式存取,要求裝置存取資源標示為符合您組織的 Intune 合規性政策。

警告

啟用此原則之前,請確定您的裝置符合規範。 否則,您可以遭到鎖定,需要 緊急存取帳戶持有者 才能復原存取權。

注意

即使您選取 [要求裝置標示為符合原則中的所有使用者] 和 [所有雲端應用程式],您仍可將新裝置註冊至 Intune。 [裝置需要標記為符合規範] 控制項不會封鎖 Intune 註冊,以及Microsoft Intune Web 公司入口網站應用程式的存取。

訂用帳戶啟用

使用 訂用帳戶啟用 功能讓使用者從一個 Windows 版本「升級進階版」到另一個版本的組織,應將聯合市集服務 API 和 Web 應用程式(AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f)排除在其裝置合規性政策之外。

一律需要 MFA

請依照文章 <要求所有用戶進行多重要素驗證> 中的指引, 要求使用者執行此操作。

下一步

步驟 3:來賓和外部用戶的原則。

瞭解來賓和外部用戶的原則建議