Nasazení infrastruktury identit pro Microsoft 365

V Microsoft 365 pro podniky připravuje dobře naplánovaná a spouštěná infrastruktura identit cestu k silnějšímu zabezpečení, včetně omezení přístupu k úlohám produktivity a jejich dat pouze na ověřené uživatele a zařízení. Zabezpečení identit je klíčovým prvkem nasazení nulová důvěra (Zero Trust), ve kterém jsou ověřeny a autorizovány všechny pokusy o přístup k prostředkům v místním prostředí i v cloudu.

Informace o funkcích identit jednotlivých Microsoft 365 pro velké organizace, roli Azure Active Directory (Azure AD), místních a cloudových komponentách a nejběžnějších konfiguracích ověřování najdete na plakátu o infrastruktuře identit.

Plakát o infrastruktuře identit

Projděte si tento dvoustránkový plakát, který vám pomůže rychle se seznámit s koncepty a konfiguracemi identit pro Microsoft 365 pro podniky.

Tento plakát si můžete stáhnout a vytisknout ho ve formátu dopisu, práva nebo tabloidu (11 x 17).

Toto řešení je prvním krokem k vytvoření zásobníku nasazení Microsoft 365 nulová důvěra (Zero Trust).

Zásobník nasazení Microsoft 365 nulová důvěra (Zero Trust)

Další informace najdete v plánu nasazení Microsoft 365 nulová důvěra (Zero Trust).

Co je v tomto řešení

Toto řešení vás provede nasazením infrastruktury identit pro vašeho tenanta Microsoft 365, abyste zaměstnancům poskytli přístup a zajistili ochranu před útoky založenými na identitách.

Nasazení infrastruktury identit pro Microsoft 365

Postup v tomto řešení:

  1. Určete svůj model identity.
  2. Chraňte své Microsoft 365 privilegované účty.
  3. Chraňte své Microsoft 365 uživatelské účty.
  4. Nasaďte model identity.

Toto řešení podporuje klíčové principy nulová důvěra (Zero Trust):

  • Ověřte explicitně: Vždy ověřovat a autorizovat na základě všech dostupných datových bodů.
  • Použijte přístup s nejnižšími oprávněními: Omezte přístup uživatelů pomocí funkcí Just-In-Time a Just-Enough-Access (JIT/JEA), adaptivních zásad založených na rizicích a ochrany dat.
  • Předpokládat porušení zabezpečení: Minimalizujte poloměr výbuchu a segmentový přístup. Ověřte komplexní šifrování a využijte analýzu k získání přehledu, detekci hrozeb a vylepšení ochrany.

Na rozdíl od konvenčního intranetového přístupu, který důvěřuje všemu za bránou firewall organizace, nulová důvěra (Zero Trust) zachází s každým přihlášením a přístupem, jako by pocházel z nekontrolované sítě, ať už se nachází za bránou firewall organizace nebo na internetu. nulová důvěra (Zero Trust) vyžaduje ochranu sítě, infrastruktury, identit, koncových bodů, aplikací a dat.

možnosti a funkce Microsoft 365

Azure AD poskytuje úplnou sadu možností správy identit a zabezpečení pro vašeho tenanta Microsoft 365.

Schopnost nebo funkce Popis Licencování
Vícefaktorové ověřování (MFA) Vícefaktorové ověřování vyžaduje, aby uživatelé zadali dva způsoby ověření, například heslo uživatele a oznámení z aplikace Microsoft Authenticator nebo telefonního hovoru. Vícefaktorové ověřování výrazně snižuje riziko, že kradené přihlašovací údaje lze použít pro přístup k vašemu prostředí. Microsoft 365 používá službu Azure AD Multi-Factor Authentication pro přihlašování na základě vícefaktorového ověřování. Microsoft 365 E3 nebo E5
Podmíněný přístup Azure AD vyhodnotí podmínky přihlášení uživatele a pomocí zásad podmíněného přístupu určí povolený přístup. V těchto pokynech vám například ukážeme, jak vytvořit zásadu podmíněného přístupu, která vyžaduje dodržování předpisů zařízením pro přístup k citlivým datům. To výrazně snižuje riziko, že hacker s vlastním zařízením a odcizenými přihlašovacími údaji bude mít přístup k citlivým datům. Chrání také citlivá data na zařízeních, protože zařízení musí splňovat specifické požadavky na stav a zabezpečení. Microsoft 365 E3 nebo E5
Skupiny Azure AD Zásady podmíněného přístupu, správa zařízení s Intune a dokonce i oprávnění k souborům a webům ve vaší organizaci spoléhají na přiřazení uživatelských účtů nebo skupin Azure AD. Doporučujeme vytvořit skupiny Azure AD, které odpovídají úrovním ochrany, kterou implementujete. Například pracovníci vedení jsou pro hackery pravděpodobně vyššími cíli. Proto je vhodné přidat uživatelské účty těchto zaměstnanců do skupiny Azure AD a přiřadit tuto skupinu k zásadám podmíněného přístupu a dalším zásadám, které vynucují vyšší úroveň ochrany přístupu. Microsoft 365 E3 nebo E5
Azure AD Identity Protection Umožňuje detekovat potenciální ohrožení zabezpečení, která mají vliv na identity vaší organizace, a nakonfigurovat zásady automatizované nápravy na nízké, střední a vysoké riziko přihlášení a riziko uživatele. Tyto pokyny závisí na tomto vyhodnocení rizik, aby se zásady podmíněného přístupu použily pro vícefaktorové ověřování. Tyto pokyny také zahrnují zásady podmíněného přístupu, které vyžadují, aby si uživatelé změnili heslo, pokud se pro jejich účet zjistí vysoká riziková aktivita. Microsoft 365 E5 Microsoft 365 E3 s licencemi doplňku E5 Security, EMS E5 nebo Azure AD Premium P2
Samoobslužné resetování hesla (SSPR) Umožněte uživatelům bezpečně a bez zásahu helpdesku resetovat hesla tím, že ověříte více metod ověřování, které může správce řídit. Microsoft 365 E3 nebo E5
Ochrana hesel Azure AD Zjišťujte a blokujte známá slabá hesla a jejich varianty a další slabé termíny, které jsou specifické pro vaši organizaci. Výchozí globální seznamy zakázaných hesel se automaticky použijí na všechny uživatele v tenantovi Azure AD. Další položky můžete definovat ve vlastním seznamu zakázaných hesel. Když si uživatelé změní nebo resetují hesla, budou tyto seznamy zakázaných hesel zaškrtnuté, aby se vynucovaly používání silných hesel. Microsoft 365 E3 nebo E5

Další kroky

Pomocí těchto kroků nasadíte model identity a infrastrukturu ověřování pro vašeho tenanta Microsoft 365:

  1. Určete model cloudové identity.
  2. Chraňte své Microsoft 365 privilegované účty.
  3. Chraňte své Microsoft 365 uživatelské účty.
  4. Nasazení modelu cloudové identity: výhradně v cloudu nebo hybridní.

Určení modelu identity, který se má použít pro vašeho tenanta Microsoft 365

Další prostředky cloudové identity Microsoftu

Správa

Pokud chcete spravovat nasazení cloudové identity Microsoftu, projděte si následující témata:

Jak Microsoft používá identitu pro Microsoft 365

Zjistěte, jak it specialisté v Microsoftu spravují identity a zabezpečený přístup.

Poznámka

Tento prostředek IT Showcase je k dispozici pouze v angličtině.

Jak společnost Contoso udělala identitu pro Microsoft 365

Příklad toho, jak fiktivní, ale reprezentativní nadnárodní organizace nasadila infrastrukturu hybridních identit pro Microsoft 365 cloudové služby, najdete v tématu Identita společnosti Contoso.