Běžné zásady zabezpečení pro organizace Microsoft 365
Organizace mají při nasazování Microsoftu 365 pro svoji organizaci spoustu starostí. Zásady podmíněného přístupu, ochrany aplikací a dodržování předpisů zařízením, na které odkazuje tento článek, vycházejí z doporučení Microsoftu a tří hlavních principů nulová důvěra (Zero Trust):
- Explicitní ověření
- Použít nejnižší oprávnění
- Předpokládat porušení zabezpečení
Organizace můžou tyto zásady používat tak, jak jsou, nebo je přizpůsobit svým potřebám. Pokud je to možné, otestujte zásady v neprodukčním prostředí a teprve potom je zavádět pro uživatele v produkčním prostředí. Testování je velmi důležité k identifikaci a informování uživatelů o všech možných dopadech.
Tyto zásady seskupujeme do tří úrovní ochrany podle toho, kde se na cestě nasazení nacházíte:
- Výchozí bod – základní ovládací prvky, které zavádějí vícefaktorové ověřování, zabezpečené změny hesel a zásady ochrany aplikací.
- Enterprise – vylepšené ovládací prvky, které zavádějí dodržování předpisů zařízením.
- Specializované zabezpečení – zásady, které vyžadují vícefaktorové ověřování pokaždé pro konkrétní datové sady nebo uživatele.
Následující diagram ukazuje, na jakou úroveň ochrany se jednotlivé zásady vztahují a jestli se zásady vztahují na počítače, telefony a tablety nebo na obě kategorie zařízení.
Tento diagram si můžete stáhnout jako soubor PDF .
Tip
Před registrací zařízení v Intune se doporučuje vyžadovat použití vícefaktorového ověřování (MFA), aby bylo zajištěno, že zařízení je v držení zamýšleného uživatele. Abyste mohli vynutit zásady dodržování předpisů zařízením, musíte zařízení v Intune registrovat.
Požadavky
Oprávnění
- Uživatelé, kteří budou spravovat zásady podmíněného přístupu, se musí mít možnost přihlásit k Azure Portal jako správce podmíněného přístupu, správce zabezpečení nebo globální správce.
- Uživatelé, kteří budou spravovat zásady ochrany aplikací a dodržování předpisů zařízením, se musí k Intune přihlásit jako správce Intune nebo globální správce.
- Uživatelům, kteří potřebují jenom zobrazit konfigurace, je možné přiřadit role Čtenář zabezpečení nebo Globální čtenář .
Další informace o rolích a oprávněních najdete v článku Microsoft Entra předdefinovaných rolí.
Registrace uživatele
Před vyžadováním použití vícefaktorového ověřování se ujistěte, že se vaši uživatelé zaregistrují k vícefaktorovému ověřování. Pokud máte licence, které zahrnují Microsoft Entra ID P2, můžete použít zásady registrace vícefaktorového ověřování v rámci Microsoft Entra ID Protection a vyžadovat, aby se uživatelé zaregistrovali. Poskytujeme komunikační šablony, které si můžete stáhnout a přizpůsobit, pro zvýšení úrovně registrace.
Skupiny
Všechny Microsoft Entra skupiny použité v rámci těchto doporučení musí být vytvořené jako skupina Microsoftu 365, nikoli jako skupina zabezpečení. Tento požadavek je důležitý pro nasazení popisků citlivosti při pozdějším zabezpečení dokumentů v Microsoft Teams a SharePointu. Další informace najdete v článku Informace o skupinách a přístupových právech v Microsoft Entra ID
Přiřazování zásad
Zásady podmíněného přístupu se dají přiřadit uživatelům, skupinám a rolím správce. Zásady ochrany aplikací Intune a dodržování předpisů zařízením se dají přiřadit jenom ke skupinám. Před konfigurací zásad byste měli určit, kdo by měl být zahrnutý a vyloučený. Zásady úrovně ochrany výchozích bodů se obvykle vztahují na všechny v organizaci.
Tady je příklad přiřazení skupin a vyloučení pro vyžadování vícefaktorového ověřování po dokončení registrace uživatelů.
Microsoft Entra zásad podmíněného přístupu | Zahrnout | Vyloučit | |
---|---|---|---|
Bodem | Vyžadovat vícefaktorové ověřování kvůli střednímu nebo vysokému riziku přihlášení | Všichni uživatelé: |
|
Enterprise | Vyžadovat vícefaktorové ověřování pro nízké, střední nebo vysoké riziko přihlášení | Skupina vedoucích zaměstnanců |
|
Specializované zabezpečení | Vyžadovat vždy vícefaktorové ověřování | Skupina Top Secret Project Buckeye |
|
Při používání vyšších úrovní ochrany skupin a uživatelů buďte opatrní. Cílem zabezpečení není zbytečně třecí plochy uživatelského prostředí. Například členové skupiny Přísně tajného projektu Buckeye budou muset používat vícefaktorové ověřování při každém přihlášení, i když nepracují na specializovaném obsahu zabezpečení pro svůj projekt. Nadměrné bezpečnostní třecí plochy mohou vést k únavě.
Můžete zvážit povolení metod ověřování bez hesla, jako jsou klíče zabezpečení Windows Hello pro firmy nebo FIDO2, abyste omezili určité třecí plochy způsobené určitými bezpečnostními prvky.
Účty pro nouzový přístup
Všechny organizace by měly mít aspoň jeden účet pro nouzový přístup, který je monitorovaný pro použití a vyloučený ze zásad. Tyto účty se používají pouze v případě, že jsou všechny ostatní účty správce a metody ověřování uzamčeny nebo jinak nedostupné. Další informace najdete v článku Správa účtů pro nouzový přístup v Microsoft Entra ID.
Vyloučení
Doporučeným postupem je vytvořit skupinu Microsoft Entra pro vyloučení podmíněného přístupu. Tato skupina vám umožňuje poskytnout přístup uživateli při řešení potíží s přístupem.
Upozornění
Tato skupina se doporučuje používat pouze jako dočasné řešení. Průběžně monitorujte a auditujte změny této skupiny a ujistěte se, že se skupina vyloučení používá jenom podle očekávání.
Přidání této skupiny vyloučení do všech existujících zásad:
- Přihlaste se k Azure Portal jako správce podmíněného přístupu, správce zabezpečení nebo globální správce.
- Přejděte na Microsoft Entra ID>Zabezpečení>Podmíněného přístupu.
- Vyberte existující zásadu.
- V části Přiřazení vyberte Uživatelé nebo identity úloh.
- V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty tísňového přístupu nebo účty a skupinu vyloučení podmíněného přístupu ve vaší organizaci.
Nasazení
Doporučujeme implementovat zásady počátečních bodů v pořadí uvedeném v této tabulce. Zásady vícefaktorového ověřování pro podnikové a specializované úrovně zabezpečení se ale dají implementovat kdykoli.
Bodem
Zásad | Další informace | Licencování |
---|---|---|
Vyžadování vícefaktorového ověřování, pokud je riziko přihlášení střední nebo vysoké | Použití dat o riziku z Microsoft Entra ID Protection k vyžadování vícefaktorového ověřování pouze v případech, kdy se zjistí riziko | Microsoft 365 E5 nebo Microsoft 365 E3 s doplňkem Zabezpečení E5 |
Blokování klientů, kteří nepodporují moderní ověřování | Klienti, kteří nepoužívají moderní ověřování, můžou obejít zásady podmíněného přístupu, takže je důležité je zablokovat. | Microsoft 365 E3 nebo E5 |
Vysoce rizikoví uživatelé musí změnit heslo | Vynutí, aby si uživatelé při přihlašování změnili heslo, pokud je u jejich účtu zjištěna vysoce riziková aktivita. | Microsoft 365 E5 nebo Microsoft 365 E3 s doplňkem Zabezpečení E5 |
Použití zásad ochrany aplikací pro ochranu dat | Jedna zásada ochrany aplikací Intune pro každou platformu (Windows, iOS/iPadOS, Android) | Microsoft 365 E3 nebo E5 |
Vyžadovat schválené aplikace a zásady ochrany aplikací | Vynucuje zásady ochrany mobilních aplikací pro telefony a tablety s iOSem, iPadOS nebo Androidem. | Microsoft 365 E3 nebo E5 |
Enterprise
Zásad | Další informace | Licencování |
---|---|---|
Vyžadovat vícefaktorové ověřování, pokud je riziko přihlášení nízké, střední nebo vysoké | Použití dat o riziku z Microsoft Entra ID Protection k vyžadování vícefaktorového ověřování pouze v případech, kdy se zjistí riziko | Microsoft 365 E5 nebo Microsoft 365 E3 s doplňkem Zabezpečení E5 |
Definování zásad dodržování předpisů zařízením | Nastavte minimální požadavky na konfiguraci. Jedna zásada pro každou platformu | Microsoft 365 E3 nebo E5 |
Vyžadování vyhovujících počítačů a mobilních zařízení | Vynucuje požadavky na konfiguraci pro zařízení, která přistupují k vaší organizaci. | Microsoft 365 E3 nebo E5 |
Specializované zabezpečení
Zásad | Další informace | Licencování |
---|---|---|
Vždy vyžadovat vícefaktorové ověřování | Uživatelé musí provést vícefaktorové ověřování pokaždé, když se přihlásí ke službám vaší organizace. | Microsoft 365 E3 nebo E5 |
zásady Ochrana aplikací
Ochrana aplikací zásady definují, které aplikace jsou povolené a jaké akce můžou s daty vaší organizace provádět. K dispozici je mnoho možností, což může být pro některé matoucí. Následující směrné plány jsou doporučené konfigurace Microsoftu, které můžou být přizpůsobené vašim potřebám. Nabízíme tři šablony, které je potřeba sledovat, ale myslíme si, že většina organizací zvolí úrovně 2 a 3.
Úroveň 2 se mapuje na to, co považujeme za výchozí bod nebo zabezpečení na podnikové úrovni, úroveň 3 se mapuje na specializované zabezpečení.
Základní ochrana podnikových dat úrovně 1 – Microsoft doporučuje tuto konfiguraci jako minimální konfiguraci ochrany dat pro podnikové zařízení.
Rozšířená ochrana podnikových dat úrovně 2 – Microsoft doporučuje tuto konfiguraci pro zařízení, kde uživatelé přistupují k citlivým nebo důvěrným informacím. Tato konfigurace je použitelná pro většinu mobilních uživatelů, kteří přistupují k pracovním nebo školním datům. Některé ovládací prvky můžou mít vliv na uživatelské prostředí.
Vysoká ochrana dat na úrovni 3 – Microsoft doporučuje tuto konfiguraci pro zařízení, která provozuje organizace s větším nebo sofistikovanějším týmem zabezpečení, nebo pro konkrétní uživatele nebo skupiny, kteří jsou vystaveni jedinečně vysokému riziku (uživatelům, kteří zpracovávají vysoce citlivá data, když neoprávněné zpřístupnění způsobí organizaci značné podstatné ztráty). Organizace, která bude pravděpodobně cílem dobře financovaných a sofistikovaných protivníků, by měla usilovat o tuto konfiguraci.
Vytvoření zásad ochrany aplikací
Vytvořte nové zásady ochrany aplikací pro každou platformu (iOS a Android) v rámci Microsoft Intune pomocí nastavení architektury ochrany dat:
- Zásady vytvořte ručně podle kroků v tématu Vytvoření a nasazení zásad ochrany aplikací pomocí Microsoft Intune.
- Importujte ukázkové šablony JSON intune App Protection Policy Configuration Framework pomocí skriptů PowerShellu intune.
Zásady dodržování předpisů u zařízení
Zásady dodržování předpisů pro zařízení v Intune definují požadavky, které zařízení musí splňovat, aby se určilo jako vyhovující.
Musíte vytvořit zásadu pro každou platformu počítače, telefonu nebo tabletu. Tento článek se zabývá doporučeními pro následující platformy:
Vytvoření zásad dodržování předpisů zařízením
Pokud chcete vytvořit zásady dodržování předpisů zařízením, přihlaste se do Centra pro správu Microsoft Intune a přejděte naZásady>dodržování předpisůpro zařízení>. Vyberte Vytvořit zásadu.
Podrobné pokyny k vytváření zásad dodržování předpisů v Intune najdete v tématu Vytvoření zásad dodržování předpisů v Microsoft Intune.
Nastavení registrace a dodržování předpisů pro iOS/iPadOS
iOS/iPadOS podporuje několik scénářů registrace, z nichž dva jsou součástí této architektury:
- Registrace zařízení pro zařízení v osobním vlastnictví – tato zařízení jsou v osobním vlastnictví a používají se pro pracovní i osobní použití.
- Automatická registrace zařízení pro zařízení vlastněná společností – tato zařízení jsou vlastněná společností, jsou přidružená k jednomu uživateli a používají se výhradně pro práci, a ne pro osobní použití.
Použití principů popsaných v nulová důvěra (Zero Trust) identitě a konfiguraci přístupu k zařízením:
- Výchozí bod a podnikové úrovně ochrany se úzce mapuje s nastavením rozšířeného zabezpečení úrovně 2.
- Specializovaná úroveň ochrany zabezpečení se úzce mapuje na nastavení vysokého zabezpečení úrovně 3.
Nastavení dodržování předpisů pro osobně zaregistrovaná zařízení
- Základní osobní zabezpečení (úroveň 1) – Microsoft doporučuje tuto konfiguraci jako minimální konfiguraci zabezpečení pro osobní zařízení, kde uživatelé přistupují k pracovním nebo školním datům. Tato konfigurace se provádí vynucením zásad hesel, charakteristik zámku zařízení a zákazem určitých funkcí zařízení, jako jsou nedůvěryhodné certifikáty.
- Rozšířené osobní zabezpečení (úroveň 2) – Microsoft doporučuje tuto konfiguraci pro zařízení, kde uživatelé přistupují k citlivým nebo důvěrným informacím. Tato konfigurace určuje ovládací prvky sdílení dat. Tato konfigurace je použitelná pro většinu mobilních uživatelů, kteří na zařízení přistupují k pracovním nebo školním datům.
- Vysoké osobní zabezpečení (úroveň 3) – Microsoft doporučuje tuto konfiguraci pro zařízení používaná konkrétními uživateli nebo skupinami, kteří jsou jedinečně vysoce riziková (uživatelé, kteří zpracovávají vysoce citlivá data, u kterých neautorizované zpřístupnění způsobuje organizaci značné podstatné ztráty). Tato konfigurace uplatňuje silnější zásady hesel, zakazuje určité funkce zařízení a vynucuje další omezení přenosu dat.
Nastavení dodržování předpisů pro automatizovanou registraci zařízení
- Základní zabezpečení pod dohledem (úroveň 1) – Microsoft doporučuje tuto konfiguraci jako minimální konfiguraci zabezpečení pro zařízení pod dohledem, kde uživatelé přistupují k pracovním nebo školním datům. Tato konfigurace se provádí vynucením zásad hesel, charakteristik zámku zařízení a zákazem určitých funkcí zařízení, jako jsou nedůvěryhodné certifikáty.
- Zvýšené zabezpečení pod dohledem (úroveň 2) – Microsoft doporučuje tuto konfiguraci pro zařízení, kde uživatelé přistupují k citlivým nebo důvěrným informacím. Tato konfigurace zařidí ovládací prvky sdílení dat a blokuje přístup k zařízením USB. Tato konfigurace je použitelná pro většinu mobilních uživatelů, kteří na zařízení přistupují k pracovním nebo školním datům.
- Vysoké zabezpečení pod dohledem (úroveň 3) – Microsoft doporučuje tuto konfiguraci pro zařízení používaná konkrétními uživateli nebo skupinami, kteří jsou jedinečně vysoce rizikoví (uživatelé, kteří zpracovávají vysoce citlivá data, u kterých neautorizované zpřístupnění způsobuje organizaci značné podstatné ztráty). Tato konfigurace uplatňuje silnější zásady hesel, zakazuje určité funkce zařízení, vynucuje další omezení přenosu dat a vyžaduje instalaci aplikací prostřednictvím programu hromadných nákupů společnosti Apple.
Nastavení registrace a dodržování předpisů pro Android
Android Enterprise podporuje několik scénářů registrace, z nichž dva jsou součástí této architektury:
- Pracovní profil Androidu Enterprise – tento model registrace se obvykle používá pro zařízení v osobním vlastnictví, kde chce oddělení IT zajistit jasnou hranici oddělení mezi pracovními a osobními daty. Zásady řízené IT zajišťují, že pracovní data nelze přenést do osobního profilu.
- Plně spravovaná zařízení s Androidem Enterprise – tato zařízení jsou ve vlastnictví firmy, jsou přidružená k jednomu uživateli a používají se výhradně pro práci, a ne pro osobní použití.
Architektura konfigurace zabezpečení Android Enterprise je uspořádaná do několika různých scénářů konfigurace, které poskytují pokyny pro pracovní profil a plně spravované scénáře.
Použití principů popsaných v nulová důvěra (Zero Trust) identitě a konfiguraci přístupu k zařízením:
- Výchozí bod a podnikové úrovně ochrany se úzce mapuje s nastavením rozšířeného zabezpečení úrovně 2.
- Specializovaná úroveň ochrany zabezpečení se úzce mapuje na nastavení vysokého zabezpečení úrovně 3.
Nastavení dodržování předpisů pro zařízení s pracovním profilem Androidu Enterprise
- Vzhledem k dostupným nastavením pro zařízení s pracovním profilem v osobním vlastnictví neexistuje žádná nabídka základního zabezpečení (úroveň 1). Dostupná nastavení neodůvodňují rozdíl mezi úrovní 1 a úrovní 2.
- Rozšířené zabezpečení pracovního profilu (úroveň 2) – Microsoft doporučuje tuto konfiguraci jako minimální konfiguraci zabezpečení pro osobní zařízení, kde uživatelé přistupují k pracovním nebo školním datům. Tato konfigurace zavádí požadavky na heslo, odděluje pracovní a osobní data a ověřuje ověření identity zařízení s Androidem.
- Vysoké zabezpečení pracovního profilu (úroveň 3) – Microsoft doporučuje tuto konfiguraci pro zařízení používaná konkrétními uživateli nebo skupinami, kteří jsou jedinečně vysoce rizikoví (uživatelé, kteří zpracovávají vysoce citlivá data, u kterých neautorizované zpřístupnění způsobuje organizaci značné podstatné ztráty). Tato konfigurace zavádí ochranu před mobilními hrozbami nebo Microsoft Defender for Endpoint, nastavuje minimální verzi Androidu, zavádí silnější zásady hesel a dále omezuje pracovní a osobní oddělení.
Nastavení dodržování předpisů pro plně spravovaná zařízení s Androidem Enterprise
- Plně spravované základní zabezpečení (úroveň 1) – Microsoft doporučuje tuto konfiguraci jako minimální konfiguraci zabezpečení pro podnikové zařízení. Tato konfigurace je použitelná pro většinu mobilních uživatelů, kteří přistupují k pracovním nebo školním datům. Tato konfigurace zavádí požadavky na heslo, nastavuje minimální verzi Androidu a zavádí určitá omezení zařízení.
- Plně spravované rozšířené zabezpečení (úroveň 2) – Microsoft doporučuje tuto konfiguraci pro zařízení, kde uživatelé přistupují k citlivým nebo důvěrným informacím. Tato konfigurace zavádějí silnější zásady hesel a zakazují možnosti uživatelů a účtů.
- Plně spravované vysoké zabezpečení (úroveň 3) – Microsoft doporučuje tuto konfiguraci pro zařízení používaná konkrétními uživateli nebo skupinami, kteří jsou jedinečně vysoce riziková. Tito uživatelé můžou zpracovávat vysoce citlivá data v případech, kdy neautorizované zpřístupnění může organizaci způsobit značné podstatné ztráty. Tato konfigurace zvyšuje minimální verzi Androidu, zavádí ochranu před mobilními hrozbami nebo Microsoft Defender for Endpoint a vynucuje další omezení zařízení.
Doporučené nastavení dodržování předpisů pro Windows 10 a novější
Následující nastavení se konfigurují v kroku 2: Nastavení dodržování předpisůprocesu vytváření zásad dodržování předpisů pro Windows 10 a novější zařízení. Tato nastavení jsou v souladu s principy popsanými v konfiguraci nulová důvěra (Zero Trust) identity a přístupu zařízení.
Informace o zkušebních pravidlech služby Windows Health Attestation Service ve stavu > zařízení najdete v této tabulce.
Vlastnost | Hodnota |
---|---|
Vyžadovat nástroj BitLocker | Vyžadují |
Vyžadování povolení zabezpečeného spouštění na zařízení | Vyžadují |
Vyžadovat integritu kódu | Vyžadují |
V části Vlastnosti zařízení zadejte odpovídající hodnoty pro verze operačního systému na základě zásad IT a zabezpečení.
Pro Configuration Manager Dodržování předpisů platí, že pokud se nacházíte ve spoluspravovaném prostředí s Configuration Manager vyberte Vyžadovat, jinak vyberte Nenakonfigurováno.
Informace o zabezpečení systému najdete v této tabulce.
Vlastnost | Hodnota |
---|---|
Vyžadování hesla k odemknutí mobilních zařízení | Vyžadují |
Jednoduchá hesla | Blokování |
Typ hesla | Výchozí nastavení zařízení |
Minimální délka hesla | 6 |
Maximální počet minut nečinnosti před vyžadování hesla | 15 minut |
Vypršení platnosti hesla (dny) | 41 |
Počet předchozích hesel, aby se zabránilo opakovanému použití | 5 |
Vyžadovat heslo při návratu zařízení ze stavu nečinnosti (mobilní zařízení a Holographic) | Vyžadují |
Vyžadovat šifrování úložiště dat na zařízení | Vyžadují |
Brány firewall | Vyžadují |
Antivirus | Vyžadují |
Antispyware | Vyžadují |
Microsoft Defender Antimalware | Vyžadují |
Microsoft Defender minimální verze antimalwaru | Microsoft doporučuje verze, které nejsou od nejnovější verze o více než pět pozadu. |
Microsoft Defender aktuální antimalwarový podpis | Vyžadují |
Ochrana v reálném čase | Vyžadují |
Pro Microsoft Defender for Endpoint
Vlastnost | Hodnota |
---|---|
Vyžadovat, aby zařízení mělo nebo bylo pod rizikovým skóre počítače. | Střední |
Zásady podmíněného přístupu
Po vytvoření zásad ochrany aplikací a dodržování předpisů zařízením v Intune můžete vynucení povolit pomocí zásad podmíněného přístupu.
Vyžadovat vícefaktorové ověřování na základě rizika přihlášení
Postupujte podle pokynů v článku Běžné zásady podmíněného přístupu: Vícefaktorové ověřování založené na riziku přihlášení a vytvořte zásadu, která bude vyžadovat vícefaktorové ověřování na základě rizika přihlášení.
Při konfiguraci zásad použijte následující úrovně rizik.
Úroveň ochrany | Potřebné hodnoty úrovně rizika | Akce |
---|---|---|
Bodem | Vysoká, střední | Zkontrolujte obojí. |
Enterprise | Vysoká, střední, nízká | Zkontrolujte všechny tři. |
Blokování klientů, kteří nepodporují vícefaktorové ověřování
Postupujte podle pokynů v článku Běžné zásady podmíněného přístupu: Blokování starších verzí ověřování a blokování starších verzí ověřování.
Vysoce rizikoví uživatelé musí změnit heslo
Postupujte podle pokynů v článku Běžné zásady podmíněného přístupu: Změna hesla na základě rizika uživatelů vyžaduje, aby si uživatelé s napadenými přihlašovacími údaji změnili své heslo.
Tyto zásady používejte společně s Microsoft Entra ochranou heslem, která kromě termínů specifických pro vaši organizaci detekuje a blokuje známá slabá hesla a jejich varianty. Použití Microsoft Entra ochrany heslem zajistí, že změněná hesla budou silnější.
Vyžadovat schválené aplikace a zásady ochrany aplikací
Pokud chcete vynutit zásady ochrany aplikací vytvořené v Intune, musíte vytvořit zásady podmíněného přístupu. Vynucování zásad ochrany aplikací vyžaduje zásady podmíněného přístupu a odpovídající zásady ochrany aplikací.
Pokud chcete vytvořit zásadu podmíněného přístupu, která vyžaduje schválené aplikace a ochranu aplikací, postupujte podle kroků v tématu Vyžadování schválených klientských aplikací nebo zásad ochrany aplikací u mobilních zařízení. Tato zásada umožňuje přístup ke koncovým bodům Microsoftu 365 jenom účtům v mobilních aplikacích chráněných zásadami ochrany aplikací.
Blokování starší verze ověřování pro jiné klientské aplikace na zařízeních s iOSem a Androidem zajišťuje, že tito klienti nebudou moct obejít zásady podmíněného přístupu. Pokud postupujete podle pokynů v tomto článku, už jste nakonfigurovali blokování klientů, kteří nepodporují moderní ověřování.
Vyžadování vyhovujících počítačů a mobilních zařízení
Následující kroky vám pomůžou vytvořit zásadu podmíněného přístupu, která bude vyžadovat, aby zařízení přistupující k prostředkům byla označena jako vyhovující zásadám dodržování předpisů intune vaší organizace.
Upozornění
Před povolením této zásady se ujistěte, že vaše zařízení dodržuje předpisy. V opačném případě můžete být uzamčeni a nebudete moct tuto zásadu změnit, dokud se váš uživatelský účet nepřidá do skupiny vyloučení podmíněného přístupu.
- Přihlaste se na portál Microsoft Azure.
- Přejděte na Microsoft Entra ID>Zabezpečení>Podmíněného přístupu.
- Vyberte Nová zásada.
- Pojmenujte zásady. Doporučujeme, aby organizace vytvořily smysluplný standard pro názvy svých zásad.
- V části Přiřazení vyberte Uživatelé nebo identity úloh.
- V části Zahrnout vyberte Všichni uživatelé.
- V části Vyloučit vyberte Uživatelé a skupiny a zvolte účty tísňového volání nebo účty tísňového volání vaší organizace.
- V části Cloudové aplikace nebo akce>Zahrnout vyberte Všechny cloudové aplikace.
- Pokud musíte ze zásad vyloučit konkrétní aplikace, můžete je vybrat na kartě Vyloučit v části Vybrat vyloučené cloudové aplikace a zvolit Vybrat.
- V části Řízení> přístupuUdělit.
- Vyberte Vyžadovat, aby zařízení bylo označené jako vyhovující.
- Vyberte Vybrat.
- Potvrďte nastavení a nastavte Povolit zásadu na Zapnuto.
- Pokud chcete zásadu povolit, vyberte Vytvořit .
Poznámka
Nová zařízení můžete zaregistrovat do Intune, i když ve svých zásadách vyberete Vyžadovat, aby zařízení bylo označené jako vyhovujícívšem uživatelům a Všechny cloudové aplikace . Vyžadovat, aby zařízení bylo označené jako kompatibilní, neblokuje registraci Intune a přístup k aplikaci Microsoft Intune Web Portál společnosti.
Aktivace předplatného
Organizace, které používají funkci Aktivace předplatného a umožňují uživatelům "krokovat" z jedné verze Windows na jinou, můžou chtít vyloučit rozhraní API služby Universal Store a webovou aplikaci AppID 45a330b1-b1ec-4cc1-9161-9f03992aa49f ze svých zásad dodržování předpisů zařízením.
Vždy vyžadovat vícefaktorové ověřování
Postupujte podle pokynů v článku Běžné zásady podmíněného přístupu: Vyžadování vícefaktorového ověřování pro všechny uživatele , aby vaši specializovaní uživatelé na úrovni zabezpečení museli vždy provádět vícefaktorové ověřování.
Upozornění
Při konfiguraci zásad vyberte skupinu, která vyžaduje specializované zabezpečení, a použijte ji místo výběru Všichni uživatelé.
Další kroky
Informace o doporučeních zásad pro hosta a externí uživatele
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro