實作 零信任 身分識別和裝置存取原則的必要條件

本文說明系統管理員必須符合的必要條件，才能使用建議的 零信任 身分識別和裝置存取原則，以及使用條件式存取。 它也會討論為客戶端平臺設定最佳單一登錄 （SSO） 體驗的建議預設值。

必要條件

使用建議的 零信任 身分識別和裝置存取原則之前，您的組織必須符合必要條件。 列出的各種身分識別和驗證模型的需求不同：

• 僅雲端
• 混合式與密碼哈希同步處理 （PHS） 驗證
• 混合式與傳遞驗證 （PTA）
• 同盟

下表詳細說明適用於所有身分識別模型的必要條件功能和其設定，但未指出。

組態	例外狀況	授權
設定密碼哈希同步處理 （PHS）。 此功能必須啟用，才能偵測洩露的認證，並針對風險型條件式存取採取行動。 不論您的組織是否使用同盟驗證，都需要此設定。	僅雲端	Microsoft 365 E3 或 E5
啟用無縫單一登錄 ，讓使用者在連線到組織網路的組織裝置上時自動登入。	僅限雲端和同盟	Microsoft 365 E3 或 E5
設定網路位置。 Microsoft Entra ID Protection 會收集並分析所有可用的會話數據，以產生風險分數。 建議您在名為locations組態的 Microsoft Entra ID 中，為您的網路指定組織的公用IP範圍。 來自這些範圍的流量會降低風險分數，而來自組織環境外部的流量則會獲得較高的風險分數。		Microsoft 365 E3 或 E5
註冊所有用戶以進行自助式密碼重設 （SSPR） 和多重要素驗證 （MFA）。 建議您事先執行此步驟。 Microsoft Entra ID Protection 會使用 Microsoft Entra 多重要素驗證來新增安全性驗證。 為了獲得最佳登入體驗，建議您在裝置上使用 Microsoft Authenticator 應用程式 和 Microsoft 公司入口網站應用程式。 用戶可以從其裝置平臺的應用程式市集安裝這些應用程式。		Microsoft 365 E3 或 E5
規劃您的Microsoft Entra 混合式聯結實作。 條件式存取可確保連線到應用程式的裝置已加入網域或相容。 若要在 Windows 計算機上支援這項需求，裝置必須向 Microsoft Entra ID 註冊。 本文討論如何設定自動裝置註冊。	僅雲端	Microsoft 365 E3 或 E5
準備您的支援小組。 為無法執行 MFA 的使用者制定計劃。 例如，將它們新增至原則排除群組，或為其註冊新的 MFA 資訊。 如果您進行安全性敏感性的例外狀況，請確認用戶實際上是提出要求。 要求管理員協助核准使用者是有效的步驟。		Microsoft 365 E3 或 E5
設定密碼回寫至內部部署的 Active Directory 目錄。 密碼回寫可讓Microsoft Entra ID 要求使用者在偵測到高風險帳戶入侵時變更其內部部署密碼。 您可以使用 Microsoft Entra Connect 啟用此功能，方法是透過下列兩種方式之一：在Microsoft Entra Connect 設定的選用功能畫面中啟用 密碼回 寫，或透過 Windows PowerShell 加以啟用。	僅雲端	Microsoft 365 E3 或 E5
設定 Microsoft Entra 密碼保護。 Microsoft Entra Password Protection 會偵測並封鎖已知的弱式密碼及其變體，也可以封鎖貴組織特有的其他弱式字詞。 預設的全域禁用密碼清單會自動套用至Microsoft Entra 組織中的所有使用者。 您可以在自訂禁用密碼清單中定義其他條目。 當使用者變更或重設其密碼時，系統會檢查這些禁用密碼清單，並強制使用強式密碼。		Microsoft 365 E3 或 E5
啟用 Microsoft Entra ID Protection。 Microsoft Entra ID Protection 可讓您偵測可能影響組織身分識別的潛在弱點，並將自動化補救原則設定為低、中、高登入風險和用戶風險。		使用 E5 安全性附加元件Microsoft 365 E5 或 Microsoft 365 E3
啟用Microsoft Entra ID 的持續存取評估 。 持續存取評估會主動終止作用中的用戶會話，並近乎即時地強制執行組織原則變更。		Microsoft 365 E3 或 E5

建議的客戶端設定

本節說明建議的預設平臺用戶端設定，以獲得最佳 SSO 體驗，以及條件式存取的技術必要條件。

Windows 裝置

我們建議使用 Windows 11 或 Windows 10（版本 2004 或更新版本），因為 Azure 的設計目的是為內部部署和Microsoft Entra ID 提供最順暢的 SSO 體驗。 應使用下列其中一個選項來設定組織發行的裝置：

• 直接加入 Microsoft Entra ID。
• 設定已加入網域的內部部署 Active Directory 裝置 ，以自動且靜默地向 Microsoft Entra ID 註冊

針對個人（攜帶您自己的裝置或 BYOD）Windows 裝置，使用者可以使用 新增工作或學校帳戶。 Windows 11 或 Windows 10 裝置上的 Google Chrome 使用者必須 安裝擴充功能，才能取得與 Microsoft Edge 使用者相同的順暢登入體驗。 此外，如果您的組織有已加入網域的 Windows 8 或 8.1 裝置，您可以為非 Windows 10 電腦安裝Microsoft Workplace Join。 下載套件，以Microsoft Entra標識符註冊 裝置。

iOS 裝置

建議您 先在用戶裝置上安裝 Microsoft Authenticator 應用程式 ，再部署條件式存取或 MFA 原則。 如果您無法，請在下列案例中安裝應用程式：

• 當要求使用者透過新增公司或學校帳戶，使用 Microsoft Entra ID 註冊他們的裝置時。
• 當使用者安裝 Intune 公司入口網站應用程式以註冊其裝置進行管理時。

要求取決於已設定的條件式存取原則。

Android 裝置

建議使用者應在部署條件式存取原則之前或在特定的驗證嘗試期間安裝 Intune 公司入口網站應用程式 和 Microsoft Authenticator 應用程式。 安裝應用程式之後，視已設定的條件式存取原則而定，可能會要求使用者向 Microsoft Entra ID 註冊，或向 Intune 註冊其裝置。

我們也建議由組織擁有的裝置支援 Android for Work 或 Samsung Knox，以便透過 Intune 行動裝置管理 (MDM) 原則進行郵件帳戶的管理和保護。

建議的電子郵件客戶程式

下表中的電子郵件客戶程式支援新式驗證和條件式存取：

平台	用戶端	版本/附注
Windows	Outlook	2016 或更新版本 必要的更新
iOS	iOS 版 Outlook	Latest
Android	Android 版 Outlook	Latest
macOS	Outlook	2016 或更新版本
Linux	不支援

保護檔時的建議客戶端平臺

當套用安全文件原則時，我們建議下表中的電子郵件客戶程式：

平台	Word/Excel/PowerPoint	OneNote	OneDrive 應用程式	SharePoint 應用程式	OneDrive 同步處理用戶端
Windows 11 或 Windows 10	支援	支援	N/A	N/A	支援
Windows 8.1	支援	支援	N/A	N/A	支援
Android	支援	支援	支援	支援	N/A
iOS	支援	支援	支援	支援	N/A
macOS	支援	支援	N/A	N/A	不支援
Linux	不支援	不支援	不支援	不支援	不支援

Microsoft 365 用戶端支援

如需 Microsoft 365 中用戶端支援的詳細資訊，請參閱 針對 Microsoft 365部署身分識別基礎結構。

保護系統管理員帳戶

針對 Microsoft 365 E3 或 E5 或擁有個別的 Microsoft Entra ID P1 或 P2 授權，您可以先手動建立條件式存取原則，要求系統管理員帳戶使用防網路釣魚的 MFA。 如需詳細資訊，請參閱 條件式存取：要求系統管理員使用防網路釣魚的多重身份驗證。

針對不支持條件式存取的 Microsoft 365 或 Office 365 版本，您可以啟用 安全性預設值， 要求所有帳戶的 MFA。

以下是一些其他建議：

• 使用 Microsoft Entra Privileged Identity Management 來減少持續性系統管理帳戶的數目。
• 使用特權存取管理 來防止貴組織因使用具有經常性存取權的現有特權系統管理員帳戶，或存取敏感數據及重要組態設定而遭受漏洞攻擊。
• 僅針對系統管理Microsoft 365 系統管理員角色，建立和使用個別帳戶。 系統管理員應該有自己的用戶帳戶以供定期使用。 只有在必要的時候，他們才應該使用系統管理帳戶來完成與其角色或工作功能相關聯的工作。
• 請遵循 在 Entra 識別碼 Microsoft中保護特殊許可權帳戶的最佳做法 。

後續步驟

設定常見的 零信任 身分識別和裝置存取原則