Vaihe 3: Microsoft 365 -käyttäjätilien suojaaminen
Tutustu kaikkeen pienyritysten sisältöön artikkelissa Pienyritysten ohje ja oppiminen.
Voit parantaa käyttäjien kirjautumisten suojausta seuraavasti:
- Käytä Windows Hello yrityksille
- Microsoft Entra salasanasuojauksen käyttäminen
- Monimenetelmäistä todentamista (MFA) käyttämällä
- Käyttäjätietojen ja laitteiden käyttömääritysten käyttöönotto
- Suojaa tunnistetietojen vaarantumiselta Microsoft Entra ID -tunnuksien suojaus avulla
Windows Hello yrityksille
Windows Hello yrityksille in Windows 11 Enterprise korvaa salasanat vahvalla kaksivaiheisen todennuksella, kun kirjaudut Windows-laitteella. Nämä kaksi tekijää ovat uudenlainen käyttäjän tunnistetietotyyppi, joka on sidottu laitteeseen ja biometriseen tai PIN-koodiin.
Lisätietoja on kohdassa Windows Hello yrityksille Yleiskatsaus.
Microsoft Entra salasanasuojaus
Microsoft Entra salasanasuojaus tunnistaa ja estää tunnetut heikot salasanat ja niiden muunnokset. Se voi myös estää muita organisaatioosi liittyviä heikkoja termejä. Yleisen kiellon salasanaluettelot otetaan automaattisesti käyttöön kaikille Microsoft Entra vuokraajan käyttäjille. Voit määrittää lisää merkintöjä mukautettuun estettyjen salasanojen luetteloon. Kun käyttäjät vaihtavat tai nollaavat salasanansa, nämä kiellettyjen salasanojen luettelot tarkistetaan vahvojen salasanojen käytön pakottamiseksi.
Lisätietoja on artikkelissa Microsoft Entra salasanasuojauksen määrittäminen.
MFA
Monimenetelmäinen todentaminen edellyttää, että käyttäjän kirjautumisiin tehdään lisävahvistus käyttäjätilin salasanan lisäksi. Vaikka pahantahtoinen käyttäjä määrittäisi käyttäjätilin salasanan, hänen täytyy pystyä myös vastaamaan lisävahvistukseen, kuten älypuhelimeen lähetettävään tekstiviestiin, ennen kuin käyttöoikeus myönnetään.
Ensimmäinen vaihe monimenetelmäistä todentamista käytettäessä on vaatia sitä kaikilta järjestelmänvalvojatileiltä, joita kutsutaan myös etuoikeutetuiksi tileiksi. Tämän ensimmäisen vaiheen jälkeen Microsoft suosittelee monimenetelmäistä todentamista kaikille käyttäjille.
On kolme tapaa vaatia käyttäjiä käyttämään monimenetelmäistä todentamista Microsoft 365 -palvelupakettisi perusteella.
| Palvelupaketti | Suositus |
|---|---|
| Kaikki Microsoft 365 -palvelupaketit (ilman Microsoft Entra ID P1- tai P2-käyttöoikeuksia) | Ota oletusarvoiset suojausasetukset käyttöön Microsoft Entra ID. Microsoft Entra ID oletusarvoiset suojausasetukset sisältävät monimenetelmäistä todentamista käyttäjille ja järjestelmänvalvojille. |
| Microsoft 365 E3 (sisältää Microsoft Entra ID P1 -käyttöoikeudet) | Määritä seuraavat käytännöt yleisten ehdollisten käyttöoikeuksien käytäntöjen avulla: - Edellytä monimenetelmäinen todentaminen järjestelmänvalvojille - Edellytä monimenetelmäinen todentaminen kaikille käyttäjille - Estä vanha todennus |
| Microsoft 365 E5 (sisältää Microsoft Entra ID P2-käyttöoikeudet) | Hyödyntämällä Microsoft Entra ID -tunnuksien suojaus aloita Microsoftin suositeltujen ehdollisten käyttöoikeuksien ja niihin liittyvien käytäntöjen käyttöönotto luomalla nämä kaksi käytäntöä: - Edellytä monimenetelmäistä todentamista, kun kirjautumisriski on keskitasoinen tai suuri - Suuren riskin käyttäjien on vaihdettava salasana |
Oletusarvoiset suojausasetukset
Oletusarvoiset suojausasetukset ovat Microsoft 365:n uusi ominaisuus, ja Office 365 21.10.2019 jälkeen luodut maksetut tilaukset tai kokeiluversiotilaukset. Näiden tilausten oletusarvoiset suojausasetukset on otettu käyttöön, mikä edellyttää, että kaikki käyttäjät käyttävät monimenetelmäistä todentamista Microsoft Authenticator -sovelluksen kanssa.
Käyttäjillä on 14 päivää aikaa rekisteröityä monimenetelmäisesti Microsoft Authenticator -sovellukseen älypuhelimistaan, mikä alkaa ensimmäisestä sisäänkirjautumis kerrasta, kun oletusarvoiset suojausasetukset on otettu käyttöön. Kun 14 päivää on kulunut, käyttäjä ei voi kirjautua sisään, ennen kuin monimenetelmäinen todentaminen on rekisteröitynyt.
Oletusarvoiset suojausasetukset varmistavat, että kaikilla organisaatioilla on käyttäjien kirjautumisen perussuojaustaso, joka on oletusarvoisesti käytössä. Voit poistaa oletusarvoiset suojausasetukset käytöstä ehdollisten käyttöoikeuskäytäntöjen tai yksittäisten tilien monimenetelmäisen todentamisen hyväksi.
Lisätietoja on tietoturvan oletusarvojen yleiskatsauksessa.
Ehdolliset käyttöoikeuskäytännöt
Ehdolliset käyttöoikeuskäytännöt ovat joukko sääntöjä, jotka määrittävät ehdot, joiden mukaisesti kirjautumisia arvioidaan ja käyttöoikeuksia myönnetään. Voit esimerkiksi luoda ehdollisen käyttöoikeuden käytännön, jossa ilmoitetaan:
- Jos käyttäjätilin nimi on sellaisen käyttäjän ryhmän jäsen, jolle on määritetty Exchange-, käyttäjä-, salasana-, suojaus-, SharePoint-, Exchange-järjestelmänvalvoja-, SharePoint-järjestelmänvalvoja- tai Yleinen järjestelmänvalvoja -roolit, edellytä monimenetelmäistä todentamista ennen käytön sallimista.
Tämän käytännön avulla voit vaatia monimenetelmäistä todentamista ryhmän jäsenyyden perusteella sen sijaan, että yrittäisit määrittää yksittäiset käyttäjätilit monimenetelmäistä todentamista varten, kun ne on määritetty tai niitä ei ole määritetty näille järjestelmänvalvojarooleille.
Voit käyttää ehdollisen käytön käytäntöjä myös kehittyneempiin ominaisuuksiin, kuten kirjautumisen edellyttämiseen yhteensopivasta laitteesta, kuten kannettavasta tietokoneesta, jossa on Windows 11.
Ehdollinen käyttö edellyttää Microsoft Entra ID P1 -käyttöoikeuksia, jotka sisältyvät Microsoft 365 E3 ja E5:een.
Lisätietoja on ehdollisten käyttöoikeuksien yleiskatsauksessa.
Näiden menetelmien käyttäminen yhdessä
Pidä mielessä seuraavat asiat:
- Et voi ottaa oletusarvoisia suojausasetuksia käyttöön, jos ehdollisten käyttöoikeuksien käytännöt ovat käytössä.
- Ehdollisia käyttöoikeuskäytäntöjä ei voi ottaa käyttöön, jos suojauksen oletusarvot ovat käytössä.
Jos oletusarvoiset suojauksen oletusarvot ovat käytössä, kaikkia uusia käyttäjiä pyydetään MFA-rekisteröintiin ja Microsoft Authenticator -sovelluksen käyttöön.
Tässä taulukossa näytetään tulokset monimenetelmäisen todentamisen käyttöönotosta suojauksen oletusarvoilla ja ehdollisten käyttöoikeuksien käytännöillä.
| Menetelmä | Käytössä | Poistettu käytöstä | Lisätodennusmenetelmä |
|---|---|---|---|
| Oletusarvoiset suojausasetukset | Ehdollisten käyttöoikeuksien käytäntöjä ei voi käyttää | Voi käyttää ehdollisia käyttöoikeuskäytäntöjä | Microsoft Authenticator -sovellus |
| Ehdolliset käyttöoikeuskäytännöt | Jos niitä on käytössä, et voi ottaa oletusarvoisia suojausasetuksia käyttöön | Jos kaikki on poistettu käytöstä, voit ottaa oletusarvoiset suojausasetukset käyttöön | Käyttäjä määrittää MFA-rekisteröinnin aikana |
Zero Trust -suojausmallin käyttäjätietojen ja laitteiden käyttöoikeusmääritykset
Zero Trust -suojausmalli käyttäjätietojen ja laitteiden käyttöasetuksia ja käytäntöjä suositellaan edellytettävien ominaisuuksien ja niiden asetusten sekä ehdollisten käyttöoikeuksien, Intune ja Microsoft Entra ID -tunnuksien suojaus käytäntöjen kanssa, jotka määrittävät, onko tietty käyttöoikeuspyyntö myönnettävä ja millä ehdoilla. Tämä määritys perustuu kirjautumisen käyttäjätiliin, käytettävään laitteeseen, sovellukseen, jota käyttäjä käyttää käyttöä varten, sijaintiin, josta käyttöoikeuspyyntö tehdään, sekä arvioon pyynnön riskistä. Tämä ominaisuus auttaa varmistamaan, että vain hyväksytyt käyttäjät ja laitteet voivat käyttää kriittisiä resurssejasi.
Huomautus
Microsoft Entra ID -tunnuksien suojaus edellyttää Microsoft 365 E5 sisältyviä Microsoft Entra ID P2 -käyttöoikeuksia.
Käyttäjätietojen ja laitteiden käyttökäytännöt on määritetty käytettäviksi kolmessa tasossa:
- Perusaikataulun suojaus on vähimmäissuojaustaso käyttäjätieduksillesi ja laitteillesi, jotka käyttävät sovelluksiasi ja tietojasi.
- Arkaluontoinen suojaus tarjoaa lisäsuojausta tietyille tiedoille. Käyttäjätietoja ja laitteita koskevat korkeammat suojaus- ja laitekuntovaatimukset.
- Hyvin säänneltyjä tai salaisia tietoja sisältävien ympäristöjen suojaus koskee yleensä pieniä määriä tietoja, jotka ovat erittäin salaisia, sisältävät liikesalaisuuksia tai joihin sovelletaan tietomääräyksiä. Käyttäjätiedot ja laitteet ovat paljon korkeampien suojaus- ja laitekuntovaatimusten alaisia.
Nämä tasot ja niitä vastaavat määritykset tarjoavat yhdenmukaisen suojaustason kaikissa tiedoissa, käyttäjätiedoilla ja laitteissa.
Microsoft suosittelee määrittämään ja ottamaan käyttöön Zero Trust -suojausmalli käyttäjätietojen ja laitteiden käyttöoikeuskäytäntöjä organisaatiossasi, mukaan lukien Microsoft Teamsin, Exchange Online ja SharePointin asetukset. Lisätietoja on artikkelissa Zero Trust -suojausmalli käyttäjätiedot ja laitteen käyttömääritykset.
Microsoft Entra ID -tunnuksien suojaus
Tässä osiossa opit määrittämään käytäntöjä, jotka suojaavat tunnistetietojen vaarantumiselta ja joissa hyökkääjä määrittää käyttäjän tilin nimen ja salasanan päästäkseen käsiksi organisaation pilvipalveluihin ja tietoihin. Microsoft Entra ID -tunnuksien suojaus tarjoaa useita tapoja estää hyökkääjää vaarantamasta käyttäjätilin tunnistetietoja.
Microsoft Entra ID -tunnuksien suojaus avulla voit tehdä seuraavaa:
| Valmiudet | Kuvaus |
|---|---|
| Organisaation käyttäjätietojen mahdollisten heikkouksien määrittäminen ja korjaaminen | Microsoft Entra ID havaitsee koneoppimisen avulla poikkeavuuksia ja epäilyttävää toimintaa, kuten kirjautumista ja kirjautumisen jälkeistä toimintaa. Näiden tietojen avulla Microsoft Entra ID -tunnuksien suojaus luo raportteja ja hälytyksiä, joiden avulla voit arvioida ongelmia ja ryhtyä toimiin. |
| Tunnista epäilyttävät toiminnot, jotka liittyvät organisaatiosi henkilöllisyyksiin, ja vastaa niihin automaattisesti | Voit määrittää riskipohjaisia käytäntöjä, jotka vastaavat automaattisesti havaittuihin ongelmiin, kun määritetty riskitaso on saavutettu. Nämä käytännöt voivat muiden Microsoft Entra ID ja Microsoft Intune tarjoamien ehdollisten käyttöoikeuksien ohjausobjektien lisäksi joko estää käytön automaattisesti tai ryhtyä korjaaviin toimiin, kuten salasanojen palauttamiseen ja Microsoft Entra monimenetelmäisen todentamisen edellyttämiseen myöhempää kirjautumista varten. |
| Epäilyttävien tapausten tutkiminen ja niiden ratkaiseminen hallinnollisilla toimilla | Voit tutkia riskitapahtumia suojaustapauksen tietojen avulla. Perustyönkulkuja on käytettävissä tutkimusten seuraamiseen ja korjaustoimien, kuten salasanan palauttamisen, aloittamiseen. |
Lisätietoja Microsoft Entra ID -tunnuksien suojaus.
Katso ohjeet Microsoft Entra ID -tunnuksien suojaus käyttöönottoon.
Hallinta monimenetelmäisen todentamisen ja suojattujen kirjautumisten teknisiä resursseja
- MFA for Microsoft 365
- Microsoft 365:n käyttäjätietojen käyttöönotto
- Azure Academy Microsoft Entra ID koulutusvideot
- Määritä Microsoft Entra monimenetelmäinen todentamisen rekisteröintikäytäntö
- Käyttäjätietojen ja laitteen käyttömääritykset
Seuraavat vaiheet
Jatka vaiheesta 4, jotta voit ottaa käyttöön käyttäjätietoinfrastruktuurin valitsemasi käyttäjätietomallin perusteella:
Palaute
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä: https://aka.ms/ContentUserFeedback.
Lähetä ja näytä palaute kohteelle