使用 零信任 保護遠端和混合式工作
作為 零信任 採用指引的一部分,本文說明保護遠端和混合式工作的商務案例。 請注意,保護您的商務數據和基礎結構是個別商務案例的主題,但不包含在本指引中。
轉向混合式工作型一直迫使組織快速適應。 遠端員工可以透過任何方式完成工作,例如使用個人裝置、透過雲端服務共同作業,以及在公司網路周邊外部共享數據。 混合式員工同時處理公司與家庭網路,在商務和個人裝置之間切換。
當員工的家庭網路延伸公司網路周邊時,隨著加入該網路的不同裝置,安全性威脅會隨著攻擊向量的發展而倍增和變得更複雜。
| 使用網路控制的傳統保護 | 使用 零信任 的新式保護 |
|---|---|
| 傳統保護依賴網路防火牆和虛擬專用網(VPN)來隔離和限制公司資源。 員工實際「將徽章登入」到辦公室,並使用其用戶帳戶和密碼來使用其裝置登入。 用戶帳戶和裝置預設都會受到信任。 |
零信任 模型結合了原則、流程和技術,以建立從雲端到邊緣的信任,無論使用者存取您的網路的位置為何。 零信任 模型不假設任何使用者身分識別或裝置在任何網路上都安全。 此方法會強制您驗證使用者身分識別和裝置,並在辦公室、家中和裝置之間持續監視網路、數據和應用程式安全性時執行此動作。 |
下圖說明從左側網路控制的傳統保護(從有限的已知位置)轉移到使用右側 零信任 的新式保護(到未知位置),無論使用者和裝置位於何處,都會套用保護。
本文中的指引會逐步解說如何開始使用並實作策略來保護遠端和混合式工作。
企業領導者如何考慮保護遠端和混合式工作
開始任何技術工作之前,請務必瞭解投資保護遠端和混合式工作的不同動機,因為這些動機有助於通知策略、目標和成功措施。
下表提供為何整個組織的企業領導者應該投資保護遠端和混合式工作的原因。
| 角色 | 為何保護遠端和混合式工作很重要 |
|---|---|
| 首席執行官(首席執行官) | 無論員工的位置為何,企業都必須有能力達成其戰略目標和目標。 商務靈活度和商務執行不應受到限制。 成功的網路攻擊成本可能比執行安全措施的價格要多得多。 在許多情況下,需要符合網路保險需求或標準或地區法規。 |
| 首席行銷官(CMO) | 企業在內部和外部的感知方式不應受到裝置或情況的限制。 員工福祉是一個高度優先,因為選擇從家或辦公室工作。 成功的攻擊可能會成為公眾知識,可能損害品牌價值。 |
| 資訊長(CIO) | 行動和混合式員工所使用的應用程式必須可供存取,同時保護公司的資料。 安全性應該是可衡量的結果,且符合IT策略。 用戶體驗和生產力很重要。 |
| 資訊安全長(CISO) | 遠端或混合式工作環境會為安全性缺口建立較大的介面區。 隨著環境擴展,組織仍應遵守安全性和數據保護需求、標準和法規。 |
| 首席技術官(CTO) | 必須保護用來支援商務創新的技術與程式。 SecOps 和 DevSecOps 做法可以減少攻擊的影響。 必須採用有助於遠端工作和採用雲端服務的安全技術。 |
| 首席運營官(COO) | 隨著員工變成行動裝置,且使用固定辦公室位置的頻率較低,企業資產必須保持安全且必須管理業務風險。 由於對首席執行官負責日常商務生產,任何因攻擊而對營運或供應鏈的干擾都會影響底線。 |
| 首席財務官(CFO) | 支出優先順序會從固定到敏捷式模型轉變。 固定的數據中心投資和建築物正移至雲端應用程式和從家工作的使用者。 實作安全性功能的成本必須與風險和成本分析進行平衡。 |
除了企業領導者的動機之外,許多員工還期望彈性,並想要隨時隨地、隨時及從任何裝置工作。
Microsoft是許多企業級組織之一,在 COVID-19 疫情開始時採用遠端和混合式工作。 在 2022 年 Microsoft 數位防禦報告 的第 87 頁,Microsoft 強調,此商機會帶來風險,必須與安全性措施配對,以增加攻擊的復原能力:
- 網路安全性是技術成功的關鍵啟用者。 只有引進安全性措施,讓組織能夠盡可能彈性地抵禦新式攻擊,才能實現創新和提升生產力。
- 疫情已挑戰我們樞紐我們的安全做法和技術,以保護Microsoft的員工無論他們在哪裡工作。 在過去的一年裡,威脅執行者繼續利用大流行期間暴露的弱點,並轉向混合式工作環境。
這份報告強調,大部分成功的網路攻擊都可以使用基本安全衛生來預防。
保護遠端和混合式工作的採用週期
使用 零信任 保護遠端和混合式工作,包括部署基本且同時提供複雜保護的安全性保護。 就技術而言,此目標牽涉到原則強制執行和監視,以完整端對端生命週期方法存取貴組織資源的所有存取。
本文會逐步解說此商務案例,使用與 Azure 雲端採用架構 相同的生命週期階段(定義策略、計劃、就緒、採用及控管和管理),但已針對 零信任 進行調整。
下表是圖例的可存取版本。
| 定義策略 | 計畫 | 就緒 | 採用 | 治理和管理 |
|---|---|---|---|---|
| 結果 組織對齊 戰略目標 |
項目關係人小組 技術計劃 技能整備程度 |
評價 測試 試驗 |
以累加方式在您的數字資產中實作 | 追蹤和測量 監視和偵測 反覆運算成熟度 |
在 零信任 採用架構概觀中深入瞭解 零信任 採用週期。
定義策略階段
定義 策略 階段對於定義和正規化我們解決此案例的「原因」的努力至關重要。 在此階段中,我們會透過業務、IT、營運和策略觀點來瞭解案例。
我們會定義在案例中衡量成功的結果,瞭解安全性是累加式和反覆的旅程。
本文建議與許多組織相關的動機和結果。 使用這些建議來根據您獨特的需求來磨練組織的策略。
保護遠端和混合式工作動機
保護遠端和混合式工作的動機很簡單,但貴組織的不同部分對於執行這項工作會有不同的獎勵。 下表摘要說明其中一些動機。
| 區域 | 動機 |
|---|---|
| 商務需求 | 在任何裝置上隨時提供資訊的存取權,而不需要降低安全性標準及管理數據存取風險。 |
| IT 需求 | 符合人類和非人類身分識別需求的標準化身分識別平臺、移除 VPN 的需求,並以符合規範的方式提供公司與 BYOD 裝置的遠端管理,同時提供順暢且積極的用戶體驗。 |
| 作業需求 | 以標準化的方式實作現有的安全性解決方案。 降低實作和維護安全身分識別所需的管理工作。 身分識別控管表示上線和下線使用者、在正確的時間授與資源的存取權,並提供足夠的存取權。 這也表示不再需要時撤銷存取權。 |
| 策略需求 | 實作強大的安全性解決方案,以累加減少網路攻擊投資報酬率。 零信任 假設缺口原則允許規劃將爆破半徑、受攻擊面降到最低,並減少缺口的復原時間。 |
保護遠端和混合式工作案例結果
若要提高生產力,用戶必須能夠使用:
- 其用戶帳戶認證來驗證其身分識別。
- 其端點(裝置),例如電腦、平板電腦或手機。
- 您提供給它們的應用程式。
- 執行其工作所需的數據。
- 裝置與應用程式之間流動流量的網路,無論使用者及其裝置是內部部署或因特網上的流量。
每個元素都是攻擊者的目標,而且必須受到「永不信任、永遠驗證」原則的保護,零信任。
下表提供安全遠端和混合式工作案例的目標及其結果。
| 目標 | 結果 |
|---|---|
| 生產力 | 組織想要安全地將生產力延伸至使用者及其裝置,而不需要根據員工位置限制員工功能。 |
| 安全存取 | 公司數據和應用程式必須以安全的方式存取公司數據和應用程式,以保護公司智慧財產權和個人資料。 |
| 支援終端使用者 | 當組織採用混合式員工心態時,員工需要更多應用程式和平臺功能,才能獲得安全且行動的工作經驗。 |
| 提高安全性 | 需要增加目前或建議工作解決方案的安全性,以協助組織調整行動員工需求。 安全性功能應等於或超過內部部署員工可達成的功能。 |
| 賦予IT能力 | IT 小組想要保護工作場所,其一開始就是保護員工的用戶體驗,而不會過度增加使用者的摩擦。 此外,IT 小組還需要流程和可見度,以支援治理,並啟用網路攻擊的偵測和風險降低。 |
計劃階段
採用計劃會將 零信任 策略的願望目標轉換為可採取動作的計劃。 您的集體小組可以使用採用計劃來引導其技術工作,並配合貴組織的商務策略。
您定義動機和成果,以及您的企業領導者和小組,支援貴組織的「原因」。 這些成為您策略的北星或指導目標。 接下來是實現動機和目標的技術規劃。
使用下列練習來協助您規劃組織技術策略的實作。 這些練習可藉由擷取優先順序的工作來支援 零信任 採用工作。 在此程序結束時,您將有一個雲端採用計劃,其會對應至雲端採用策略中定義的計量和動機。
| 練習 | 描述 |
|---|---|
| 數位資產 | 清查您的數字資產:身分識別、裝置、應用程式。 根據符合組織動機和業務成果的假設,排定數位資產的優先順序。 |
| 初始組織對齊 | 讓您的組織符合技術策略和採用計劃。 策略和計劃是以貴組織的目標為基礎,以及您在清查中識別的優先順序。 |
| 技術技能整備計劃 | 建立一個計劃,以解決貴組織內的技能整備差距。 |
| 雲端採用方案 | 開發雲端採用計劃,以管理技能、數位資產和組織之間的變更。 |
保護遠端和混合式工作的技術採用牽涉到採取已畢業的方法,以確保 零信任 原則會套用至身分識別、裝置和應用程式,方法是要求:
- 具有條件式存取的多重要素驗證 (MFA) 會套用至存取環境的所有使用者身分識別。
- 裝置會在裝置管理中註冊,並監視健康情況。
- 存取應用程式及其數據需要驗證身分識別、狀況良好的裝置,以及適當的數據存取。
下列圖表摘要說明,許多組織可以採用四階段式的部署目標方法。
| 階段 1 | 階段 2 | 階段 3 | 階段 4 |
|---|---|---|---|
| 使用強身份驗證來驗證並保護每個身分識別 整合 SaaS 應用程式與 Microsoft Entra ID 以進行單一登錄 所有新的應用程式都使用新式驗證 |
使用 Microsoft Entra 識別元註冊裝置 實作起點 零信任 身分識別和裝置存取原則 使用 Microsoft Entra 應用程式 Proxy 搭配內部部署應用程式進行單一登錄 |
在裝置管理解決方案中註冊裝置,並套用建議的安全性保護 只允許相容且受信任的裝置存取數據 |
監視裝置設定漂移 實作無密碼驗證 |
如果這個分段方法適用於您的組織,您可以使用:
這個 可下載的PowerPoint投影片組 ,可透過這些階段和目標向企業領導者和其他專案關係人呈現並報告進度。 以下是此商務案例的投影片。
此 Excel 活頁簿 可指派擁有者,並追蹤這些階段、目標和其工作的進度。 以下是此商務案例的工作表。
如果您的組織訂閱特定的治理風險與合規性 (GRC) 或安全性作業中心 (SOC) 策略,技術工作必須納入符合這些需求的設定。
瞭解您的組織
每個組織的需求和組合都不同。 具有許多應用程式和高度標準化安全性的跨國企業,會以不同於敏捷式啟動或中型組織的不同方式實作安全性。
無論您的組織大小和複雜度為何,都適用下列動作:
- 清查使用者、端點、應用程式、數據和網路,以瞭解安全性狀態,並估計轉換資產所需的工作層級。
- 根據優先順序記錄增量採用的目標和計劃。 例如,保護身分識別和Microsoft 365服務,後面接著端點。 接下來,使用新式驗證方法和條件式存取所提供的分割功能來保護應用程式和 SaaS 服務。
- 針對使用最低特殊許可權存取的原則,清查有多少帳戶具有特殊許可權存取權,並將這些帳戶減少到可能最少的帳戶數目。 需要特殊許可權存取權的帳戶應該使用 Just-In-Time 和 Just-enough-access (JIT/JEA)來限制常設系統管理許可權。 如果發生外洩,遭入侵的帳戶會受到限制,這會將爆炸半徑降到最低。 除了「打破」帳戶之外,對於高度特殊許可權的角色,不應允許任何常設系統管理員存取權,其中包括 SharePoint、Exchange 和 Teams 等生產力服務的應用程式管理角色。
組織規劃和對齊
安全存取方法的實作和治理會影響數個重疊區域,通常依下列順序實作:
- 身分識別
- 端點 (裝置)
- 應用程式
- 網路
保護數據對於保護遠端和混合式工作也很重要。 本主題在識別及保護機密商務數據中更徹底地加以解決。
下表摘要說明建置贊助計劃和專案管理階層時建議的角色,以判斷並推動結果。
| 區域 | 計劃領導者 | 技術擁有者角色 |
|---|---|---|
| 身分識別 | CISO、CIO 或身分識別安全性主管 身分識別安全性或身分識別架構師的程序負責人 |
安全性架構師 身分識別安全性或身分識別架構師 身分識別管理員 安全性治理或身分識別管理員 使用者教育小組 |
| 端點 | CISO、CIO 或身分識別安全性主管 身分識別安全性或身分識別架構師的程序負責人 |
安全性架構師 身分識別安全性或基礎結構安全性架構師 行動裝置管理 (MDM) 系統管理員 安全性治理或 MDM 系統管理員 使用者教育小組 |
| 應用程式 | CISO、CIO 或應用程式安全性主管 應用程式管理的程式潛在客戶 |
身分識別架構師 開發人員架構師 網路架構師 雲端網路架構師 安全性治理 |
| 網路 | CISO、CIO 或網路安全性主管 來自網路領導階層的計劃負責人 |
安全性架構師 網路架構師 網路工程師 網路實作者 網路治理 |
此採用內容的PowerPoint投影片組包含下列投影片,其中包含您可以為自己的組織自定義的項目關係人檢視。
技術規劃和技能整備
Microsoft提供資源來協助您排定這項工作的優先順序、開始使用和成熟您的部署。 在這個階段,我們會使用這些資源作為規劃活動,以瞭解建議變更的影響,並建立實作計劃。
這些資源包括可做為您自己的組織建議起點的規範性指引。 根據您的優先順序和需求調整建議。
| 資源 | 描述 |
|---|---|
快速現代化計劃 (RaMP) 檢查清單: 明確驗證所有存取要求的信任  |
這一系列的檢查清單會依優先順序列舉每個安全性部署區域的技術目標,並記載您需要採取才能達成這些目標的步驟。 它也會列出每個區域需要參與的項目成員。 使用此資源可協助您識別快速獲勝。 |
零信任 身分識別和裝置存取設定  |
此解決方案指南建議一組 已一起測試的身分識別和裝置存取原則 。 包括:
|
使用 Intune 管理裝置  |
本解決方案指南會逐步解說管理裝置的階段,從不需要註冊裝置到管理的動作,到完全管理裝置。 這些建議會與上述資源協調。 |
Intune 註冊選項  PDF | Visio 更新日期:2022 年 6 月 |
此海報集提供每個平臺裝置註冊選項的簡單掃描比較。 |
| MFA 部署計劃 | 此部署指南會說明如何規劃並實作 Microsoft Entra 多重要素驗證的推出。 |
除了這些資源之外,下列各節會醒目提示先前所定義四個階段中特定工作的資源。
階段 1
| 部署目標 | 資源 |
|---|---|
| 使用強身份驗證來驗證並保護每個身分識別 | Microsoft Entra ID 中有哪些可用的驗證和驗證方法?(部分機器翻譯) |
| 整合 SaaS 應用程式與 Microsoft Entra ID 以進行單一登錄 | 將 SaaS 應用程式新增至 Microsoft Entra ID 和原則範圍 |
| 新的應用程式使用新式驗證 | 檢查清單- 您如何管理工作負載的身分識別? |
階段 2
| 部署目標 | 資源 |
|---|---|
| 使用 Microsoft Entra 識別元註冊裝置 | 已註冊 Microsoft Entra 的裝置 規劃您的 Microsoft Entra 加入實作 |
| 針對起始點保護層級實作 零信任 身分識別和裝置存取原則 | 零信任 身分識別和裝置存取設定的保護層級 |
| 使用 Microsoft Entra 應用程式 Proxy 搭配內部部署應用程式進行單一登錄 | 如何針對應用程式 Proxy 應用程式設定單一登入 |
階段 3
| 部署目標 | 資源 |
|---|---|
| 將裝置註冊到管理中,並套用建議的安全性保護 | 使用 Intune 概觀管理裝置 零信任身分識別與裝置存取設定 |
| 只允許相容且受信任的裝置存取數據 | 使用 Intune 設定裝置的合規性政策 使用 Intune 需要狀況良好且符合規範的裝置 |
階段 4
| 部署目標 | 資源 |
|---|---|
| 監視裝置設定漂移 | Microsoft Intune 中部署裝置配置檔 監視裝置風險與安全性基準的合規性 |
| 實作無密碼驗證 | 使用無密碼驗證增加登入安全性 |
雲端採用方案
採用計劃是成功採用 零信任 的基本需求。 零信任 採用計劃是一個反覆的項目計劃,可協助公司從傳統安全性方法過渡到更成熟且複雜的策略,包括變更管理和治理。
身分識別、端點、應用程式和網路屬於此規劃階段的範圍。 其中每一項都有保護現有資產的需求,也計劃將安全性延伸至新的實體,作為較大上線程式的一部分。
安全遠端和混合式工作解決方案規劃會考慮組織具有需要保護的現有身分識別,而且必須建立符合安全性標準的新身分識別。
採用方案也包含訓練員工以新方式工作,以瞭解支持貴組織所需的專案,其中包括:
- 訓練系統管理員以取得新工作方式。 特殊許可權存取方法與常設系統管理員存取不同,而且一開始可能會造成摩擦,直到達到普遍接受為止。
- 為各級技術服務人員和IT人員提供相同的權益實現資訊。 增加安全性會增加攻擊者的摩擦,並因安全工作的好處而平衡。 請確定所有層級都能瞭解並傳達此訊息。
- 建立用戶採用和訓練教材。 安全性普遍採用為共同責任,且與商務目標一致的安全性優點必須傳達給使用者。 確保使用者採用安全性達到與新技術用戶採用相同的層級。
如需 雲端採用架構 的詳細資訊,請參閱規劃雲端採用。
就緒階段
![已醒目提示 [就緒] 階段的單一目標或一組目標的採用程序圖表。](../media/adoption-guide/ready-phase.png#lightbox)
此案例(保護遠端和混合式工作)會透過使用它們的網路評估及保護身分識別、裝置和數據。 由於這些技術可能會造成干擾,因此建議使用分段方法,從小型項目開始,提供快速獲勝的小型專案,以利用您現有的授權併產生最少的用戶影響。
從建置計劃開始,然後測試計劃。 然後以累加方式推出新的組態和功能。 這提供在學習課程時改善計劃的機會。 請務必開發通訊計劃,並在擴大部署範圍時宣布變更。
下圖說明使用小型群組啟動專案以評估變更的建議。 這個小組可以是 IT 小組的成員,或投資結果的合作夥伴小組。 然後,使用較大的群組試驗變更。 雖然此圖包含完整部署的第三個階段,但通常會藉由逐漸增加部署的範圍來完成,直到涵蓋整個組織為止。
例如,註冊裝置時,建議使用下列指引。
| 部署階段 | 描述 |
|---|---|
| 評估 | 階段 1:識別 50 個用於測試的端點 |
| 試驗 | 階段 2:識別生產環境中接下來的 50-100 個端點 |
| 完整部署 | 階段3:以較大的增量註冊其餘端點 |
保護身分識別一開始會採用 MFA,並使用 entra 條件式存取Microsoft區隔存取。 這些功能支持明確驗證的原則,但需要增量採用程式。 根據方法,MFA 方法可能需要在切換日期之前推出並傳達給使用者,特別是針對使用密碼的現有員工。
規劃此案例時,請考慮下列元素:
- 根據 MFA 方法,用戶購買可能需要尋求使用以行動應用程式為基礎的 MFA,而不是使用 FIDO2 或其他令牌型方法。 這也適用於 Windows Hello 企業版。
- 條件式存取原則對於其評估和決策準則而言可能相當複雜。 這需要條件式存取在應用程式和用戶環境中以累加方式試驗和推出。
- 條件式存取可能會考慮端點的相對健康情況和修補程序狀態,以及使用者的位置作為條件參數。 如果需要管理端點,才能將端點限定為存取應用程式或服務作為存取條件,則必須將端點註冊到管理中。
- 支援新式驗證方法的新式應用程式,可輕易地與 MFA 型驗證和條件式存取原則整合。 瞭解應用程式數目及其驗證方法非常重要。
當您規劃和暫存要建置 零信任 的保護層級時,請利用Microsoft所提供的資源。 若要保護遠端和混合式工作,Microsoft提供一般 零信任 身分識別和裝置存取原則集。 這是一組經過測試且已知可一起運作的原則。
以下是三種保護層級的原則。
此原則集包含 最低用戶影響的起始點 保護層級。 這組原則不需要註冊裝置以管理。 當您準備好且已註冊裝置時,就可以部署企業層級,這是建議用於 零信任。
除了這些保護層級之外,您還可以以下列方式累加增加原則的範圍:
- 將原則的範圍套用至一小組使用者,以開始,然後增加包含的用戶範圍。 使用者分割允許風險降低,以防止服務中斷或用戶中斷,因為只有目標使用者或裝置受到影響。
- 首先,將Microsoft 365 個應用程式和服務新增至原則的範圍。 然後前進以包含組織使用的其他S應用程式。 當您準備好時,請在原則範圍中包含您在 Azure 中建置的應用程式或其他雲端提供者。
最後,別忘了您的使用者。 實作身分識別的安全性時,用戶採用和通訊非常重要,類似於從數據中心型服務移至 Microsoft 365 的初始用戶採用的重要性。 實作安全性服務時,單一階段方法很少成功。 如果變更干擾性,且溝通和測試不佳,安全性計劃通常會因為使用者摩擦增加而失敗。 這是安全性計劃執行贊助的最佳位置。 當主管在部署階段早期採用 來示範支援時,使用者更容易遵循。
為了協助使用者教育和採用,Microsoft提供您可以下載的終端使用者推出範本和材料。 這些包含如何重新命名這些建議的指示,以及如何與使用者共用這些建議。 請參閱 https://aka.ms/entratemplates。
建置和測試
在組合小組、檢閱建議的技術資源,以及開發計劃來暫存專案和部署之後,您將會有一個記載良好的計劃。 正式採用計劃之前,請務必在測試環境中建置和測試組態。
每個技術區域,例如條件式存取原則集,都可以透過跨租用戶啟用功能來保護。 不過,錯誤設定的原則可能會產生深遠的後果。 例如,撰寫錯誤的條件式存取原則可能會鎖定租使用者中的所有系統管理員。
若要降低風險,請考慮在熟悉測試或 QA 租使用者時部署測試或 QA 租用戶來實作每項功能,或首次推出此功能。 測試或 QA 租使用者應該合理地代表您目前的用戶環境,並足以讓您執行 QA 函式,以測試已啟用的功能是瞭解並支援它所保護的函式。
RAMP 檢查清單可用來追蹤進度。 它會列出規劃和實作步驟。 QA 租使用者是第一次執行實作動作的測試床。
此階段的輸出應該是一個記載的組態,該組態一開始會針對 QA 租使用者進行建置和測試,其計劃接著會轉換至生產租使用者中的採用,而新學習會套用至計劃時,以累加方式推出變更。
當您在生產環境中推出新的設定時,請維持一致的用戶傳訊,並掌握這些變更對您的使用者有何影響。 實作安全性功能可能會對技術造成低影響,例如啟用 Just In Time 存取,但相互影響很高,例如系統管理員需要透過核准工作流程要求存取服務以執行其職責。
同樣地,裝置註冊對用戶體驗的影響很低,而根據裝置合規性和健康情況需求實作條件式存取可能會對使用者基底產生重大影響,因為使用者無法存取服務。
測試每個服務以瞭解服務的影響,並規劃的變更對於成功至關重要。 請注意,在開始在生產環境中試驗之前,某些影響可能並不完全明顯。
追蹤治理和管理變更
零信任 的目標是以累加方式增加安全性,並在環境中實作達成此目標的變更。 這些變更需要變更環境的管理和治理模型。 當測試和部署發生時,請務必記錄管理和治理模型的變更和影響。
採用階段
在採用階段中,您可以累加地跨功能區域實作您的策略和部署計劃。 採用階段是概念證明的較大實作。 部署計劃會執行,而且會根據使用者分割,以及您針對整個數位資產的區域,連續推出。
建議將每個新組態部署至生產租用戶,作為有限的概念證明(下圖中標示為「評估」)。
即使您已在 QA 環境中測試新的組態,但請確定您的生產部署計劃也會記錄您要測試和評估的內容,以及測量每個階段成功率的驗收準則。 在理想情況下,請選擇低影響使用者、端點和應用程式子集,以在擴大部署之前進行測試。 遵循相同的方法,您會從實作的成功和失敗中吸取教訓,並更新計劃。
請注意,某些已部署的功能,即使以有限的對象為目標,仍可能會影響整個服務。 您可以藉由在QA測試期間識別風險,並確保復原計劃存在,以減輕此影響。
成功的部署計劃包含下列元素:
- 採用和推出方案以包含用戶通訊策略
- 執行採用和推出計劃,以確保執行簽署
- 用戶採用和推出方案
- 專案管理和治理成品
- 依業務單位或用戶影響來分割使用者
- 依業務單位或用戶影響的裝置分割
- 依實作的嚴重性和複雜度排名的應用程式
- 每日管理和治理變更的草稿更新
控管和管理階段
安全性治理是反覆的程式。 對於具有管理整個數位資產安全性的現有原則的組織,採用 零信任 策略可提供發展這些原則的激勵措施。 隨著安全性策略和原則隨著時間的成熟,雲端治理流程和原則也是如此。
在規劃階段中,會針對發生管理活動的測試租用戶測試新功能。 請務必注意,實作支援 零信任 原則的功能需要不同的方式來管理產生的結束狀態。
以下是此案例的一些新需求範例:
- 建立程式,視需要核准系統管理存取權,而不是常設系統管理員存取權。
- 在使用者輸入、使用及結束組織時,更新使用者的生命週期管理。
- 更新裝置的生命週期管理。
- 更新新應用程式的發行準則,以確定這些準則包含在條件式存取原則的範圍內。
隨著推出計劃的進展,產生的環境管理會推動管理和治理方法的變更。 由於 零信任 變更,如何監視環境。
由於 零信任 解決環境中的安全性風險,身分識別物件生命週期管理已不再是選擇性專案。 對象證明是物件生命週期的一種表現,可推動對企業的責任,並遠離IT作為物件生命週期的唯一監管人。
零信任 需要增加資產產生的管理成熟度,包括使用者和系統管理員如何與推出結束狀態互動。 請參閱下表作為潛在變更的範例。
| 對象 | 函式 | 參考 |
|---|---|---|
| 使用者 | 用戶型物件證明檢閱 | 使用存取權檢閱管理用戶和來賓使用者存取權 |
| 系統管理員 | Microsoft Entra ID 控管 的身分識別和存取生命週期 | 什麼是 Microsoft Entra ID 控管? |
日常治理和作業的其他資源包括:
-
討論處理數個區域的其他治理區域和工具。 由於組織需求不同,本檔中未指出的所有治理功能都適用於所有組織。
後續步驟
進度追蹤資源
針對任何 零信任 商務案例,您可以使用下列進度追蹤資源。
| 進度追蹤資源 | 這有助於您... | 設計用途 |
|---|---|---|
採用案例方案階段方格可 下載的 Visio 檔案 或 PDF 
|
輕鬆瞭解每個商務案例的安全性增強功能,以及規劃階段階段和目標的工作層級。 | 商務案例項目負責人、商務領導者和其他項目關係人。 |
零信任 採用追蹤器可下載的PowerPoint投影片組 
|
透過計畫階段和目標追蹤進度。 | 商務案例項目負責人、商務領導者和其他項目關係人。 |
商務案例目標和工作可下載的 Excel 活頁簿 
|
指派擁有權並追蹤進度,並完成計劃階段的階段、目標和工作。 | 商務案例專案潛在客戶、IT 潛在客戶和IT實作者。 |
如需其他資源,請參閱 零信任 評量和進度追蹤資源。