שלב 3: הגנה על חשבונות המשתמש שלך ב- Microsoft 365
עיין בכל התוכן שלנו לעסקים קטנים בעזרה לעסקים קטנים בעזרה ולימוד לעסקים קטנים.
כדי להגביר את האבטחה של פרטי כניסה של משתמשים:
- השתמש Windows Hello לעסקים
- שימוש Microsoft Entra סיסמה
- השתמש באימות רב-גורמי (MFA)
- פריסת תצורות של זהות וגישה למכשיר
- הגנה מפני פשרה באישור באמצעות הגנה למזהה Microsoft Entra
Windows Hello לעסקים
Windows Hello לעסקים ב Windows 11 מיזם של מחליף סיסמאות באימות דו-גורמי חזק בעת כניסה למכשיר Windows. שני הגורמים הם סוג חדש של אישור משתמש שמקושר למכשיר וביומטרי או PIN.
לקבלת מידע נוסף, ראה Windows Hello לעסקים מבט כולל.
Microsoft Entra הגנה באמצעות סיסמה
Microsoft Entra הגנה באמצעות סיסמה מזהה וחוסם סיסמאות חלשות ידועות ואת המשתנה שלהן, והוא יכול גם לחסום מונחים חלשים נוספים הספציפיים לארגון שלך. רשימות סיסמאות כלליות שנאסרו המהוות ברירת מחדל מוחלות באופן אוטומטי על כל המשתמשים Microsoft Entra שלך. באפשרותך להגדיר ערכים נוספים ברשימת סיסמאות מורחקת מותאמת אישית. כאשר משתמשים משתנים או מאפסים את הסיסמאות שלהם, רשימות הסיסמאות המורחקות הללו נבדקות כדי לאכוף את השימוש בסיסמאות חזקות.
לקבלת מידע נוסף, ראה קביעת תצורה Microsoft Entra סיסמה.
MFA
MFA דורש שהכניסה של המשתמש תהיה כפופה לאימות נוסף מעבר לסיסמה של חשבון המשתמש. גם אם משתמש זדוני קובע סיסמה של חשבון משתמש, עליו גם להיות מסוגל להגיב לאימות נוסף, כגון הודעת טקסט הנשלחת לטלפון חכם לפני שהגישה מוענקת.
השלב הראשון בשימוש ב- MFA הוא לדרוש אותו עבור כל חשבונות המנהלים, הידועים גם כחשבונות הרשאות. מעבר לשלב הראשון, Microsoft ממליצה על MFA עבור כל המשתמשים.
קיימות שלוש דרכים לדרוש מהמשתמשים להשתמש ב- MFA בהתבסס על תוכנית Microsoft 365 שלך.
| תוכנית | המלצה |
|---|---|
| כל תוכניות Microsoft 365 (ללא Microsoft Entra מזהה P1 או P2) | הפוך ברירות מחדל של אבטחה לזמינות Microsoft Entra מזהה. ברירות המחדל של Microsoft Entra מזהה כוללות MFA עבור משתמשים ומנהלי מערכת. |
| Microsoft 365 E3 (כולל Microsoft Entra מזהה P1) | השתמש במדיניות הגישה המותנה הנפוצה כדי לקבוע את תצורת המדיניות הבאה: - דרוש MFA עבור מנהלי מערכת - דרוש MFA עבור כל המשתמשים - חסום אימות מדור קודם |
| Microsoft 365 E5 (כולל Microsoft Entra מזהה P2) | אם תנצל את הגנה למזהה Microsoft Entra, התחל ליישם את ערכת הגישה המותנה והמדיניות הקשורה של Microsoft על-ידי יצירת שני פריטי מדיניות אלה: - דרוש MFA כאשר סיכון הכניסה הוא בינוני או גבוה - משתמשים בסיכון גבוה חייבים לשנות סיסמה |
ברירות מחדל של אבטחה
ברירות מחדל של אבטחה היא תכונה חדשה עבור Microsoft 365 Office 365 מינויים בתשלום או גירסאות ניסיון שנוצרו לאחר 21 באוקטובר 2019. מנויים אלה מפעילים ברירות מחדל של אבטחה, דבר הדורש מכל המשתמשים להשתמש ב- MFA עם האפליקציה Microsoft Authenticator.
למשתמשים יש 14 ימים להירשם ל- MFA באמצעות האפליקציה Microsoft Authenticator מהטלפונים החכמים שלהם, המתחילה מה בפעם הראשונה שהם מתחברים לאחר ש ברירות המחדל של האבטחה הופעלו. לאחר 14 ימים, המשתמש לא יוכל להיכנס עד להשלמת רישום MFA.
ברירות מחדל של אבטחה מבטיחות של כל הארגונים יש רמת אבטחה בסיסית עבור כניסה של משתמשים שזמינה כברירת מחדל. באפשרותך להפוך ברירות מחדל של אבטחה ללא זמינות לטובת MFA באמצעות מדיניות גישה מותנית או עבור חשבונות בודדים.
לקבלת מידע נוסף, עיין במבט כולל על ברירות מחדל של אבטחה.
פריטי מדיניות גישה מותנית
פריטי מדיניות גישה מותנית הם קבוצה של כללים המצינים את התנאים שבהם הכניסה מוערכת והגישה מוענקת. לדוגמה, באפשרותך ליצור מדיניות גישה מותנית המציינת:
- אם שם חשבון המשתמש הוא חבר בקבוצה עבור משתמשים שהוקצו להם תפקידי Exchange, משתמש, סיסמה, אבטחה, SharePoint, מנהל Exchange, מנהל SharePoint או מנהל מערכת כללי, דרוש MFA לפני שתאפשר גישה.
מדיניות זו מאפשרת לך לדרוש MFA בהתבסס על חברות בקבוצה, במקום לנסות לקבוע את התצורה של חשבונות משתמשים בודדים עבור MFA כאשר הם מוקצים או שלא הוקצו לתפקידי מנהל מערכת אלה.
באפשרותך גם להשתמש במדיניות גישה מותנית לקבלת יכולות מתקדמות יותר, כגון דרישה שהכניסה מתבצעת ממכשיר תואם, כגון המחשב הנישא שפועל בו Windows 11.
גישה מותנית דורשת Microsoft Entra מזהה P1, הכלולים ב- Microsoft 365 E3 ו- E5.
לקבלת מידע נוסף, עיין בסקירה של גישה מותנית.
שימוש בשיטות אלה יחד
זכור את הנקודות הבאות:
- לא ניתן להפוך ברירות מחדל של אבטחה לזמינות אם פריטי מדיניות כלשהם של גישה מותנית זמינים.
- לא ניתן להפוך פריטי מדיניות של גישה מותנית לזמינים אם ברירות המחדל של האבטחה זמינות.
אם ברירות המחדל של האבטחה זמינות, כל המשתמשים החדשים מתבקשים להזין רישום MFA ואת השימוש באפליקציה Microsoft Authenticator.
טבלה זו מציגה את התוצאות של הפיכת MFA לזמין עם ברירות מחדל של אבטחה ומדיניות גישה מותנית.
| השיטה | מופעלת | לא זמין | שיטת אימות נוספת |
|---|---|---|---|
| ברירות מחדל של אבטחה | אין אפשרות להשתמש במדיניות גישה מותנית | יכול להשתמש במדיניות גישה מותנית | אפליקציית Microsoft Authenticator |
| פריטי מדיניות גישה מותנית | אם זמינים, לא ניתן להפוך ברירות מחדל של אבטחה לזמינות | אם כולם אינם זמינים, באפשרותך להפוך ברירות מחדל של אבטחה לזמינות | המשתמש מציין במהלך רישום MFA |
זהות אפס אמון ותצורות גישה למכשירים
אפס אמון ומדיניות מומלצות עבור זהות וגישה למכשירים, והן מומלצות עבור תכונות המהוות דרישה מוקדמת וההגדרות שלהן בשילוב עם פריטי מדיניות של גישה מותנית, Intune ו- הגנה למזהה Microsoft Entra הקובעים אם יש להעניק בקשת גישה נתונה ותחת אילו תנאים. קביעה זו מבוססת על חשבון המשתמש של הכניסה, המכשיר הנמצא בשימוש, היישום שבו המשתמש משתמש לצורך גישה, המיקום ממנו מתבצעת בקשת הגישה והערכה של הסיכון לבקשה. יכולת זו עוזרת להבטיח שרק משתמשים והתקנים שאושרו יוכלו לגשת למשאבים הקריטיים שלך.
הערה
הגנה למזהה Microsoft Entra דורש Microsoft Entra מזהה P2, הכלולים ב- Microsoft 365 E5.
מדיניות גישה לזהות ולמכשיר מוגדרת לשימוש בשלוש רמות:
- הגנה בסיסית היא רמת אבטחה מינימלית עבור הזהויות והמכשירים שלך שלגשת לאפליקציות ולנתונים שלך.
- הגנה רגישה מספקת אבטחה נוספת עבור נתונים ספציפיים. זהויות ומכשירים כפופים לרמות גבוהות יותר של דרישות אבטחה ותקינות מכשירים.
- הגנה על סביבות עם נתונים מסווגים או מווסתים במיוחד מיועדת לכמויות קטנות בדרך כלל של נתונים המסווגים במיוחד, מכילות סודות מסחריים או כפופות לתקנות הנתונים. זהויות ומכשירים כפופים לרמות גבוהות הרבה יותר של דרישות אבטחה ותקינות מכשירים.
רמות אלה ותצורות התואמות שלהן מספקות רמות הגנה עקביות בכל הנתונים, הזהויות והמכשירים שלך.
Microsoft ממליצה בחום להגדיר ולפרס אפס אמון מדיניות גישה לזהות ולמכשיר בארגון שלך, כולל הגדרות ספציפיות עבור Microsoft Teams, Exchange Online ו- SharePoint. לקבלת מידע נוסף, ראה אפס אמון תצורות הגישה לזהות ולמכשיר.
הגנה למזהה Microsoft Entra
בסעיף זה, תלמד כיצד לקבוע את התצורה של פריטי מדיניות שמגנים מפני פשרות אישור, כאשר תוקף קובע את שם החשבון והסיסמה של משתמש כדי לקבל גישה לשירותי ענן ולנתונים של הארגון. הגנה למזהה Microsoft Entra מספק מספר דרכים כדי לסייע במניעת תוקף לפגוע באישורים של חשבון משתמש.
באמצעות הגנה למזהה Microsoft Entra, באפשרותך:
| יכולת | תיאור |
|---|---|
| קביעת פגיעויות אפשריות בזהויות הארגון שלך וכתובתן | Microsoft Entra מזהה משתמש בלמידת מכונה כדי לזהות חריגות ופעילות חשודה, כגון כניסה ופעילויות לאחר הכניסה. באמצעות נתונים אלה, הגנה למזהה Microsoft Entra יוצר דוחות והתראות שיעזרו לך להעריך את הבעיות ולבצע פעולה. |
| זהה פעולות חשודות הקשורות לזהויות של הארגון שלך והשב להן באופן אוטומטי | באפשרותך לקבוע תצורה של פריטי מדיניות מבוססי סיכונים המגיבים באופן אוטומטי לבעיות שזוהו כאשר המערכת הגיעה לרמת סיכון שצוינה. פריטי מדיניות אלה, בנוסף לפקדי גישה מותנית אחרים המסופקים על-ידי Microsoft Entra מזהה ו- Microsoft Intune, יכולים לחסום באופן אוטומטי גישה או לבצע פעולות מתקן, כולל איפוסי סיסמאות ודרישה אימות רב גורמי של Microsoft Entra עבור הכניסות הבאות. |
| חקור אירועים חשודים ופתור אותם באמצעות פעולות ניהוליות | באפשרותך לחקור אירועי סיכון באמצעות מידע אודות מקרה האבטחה. זרימות עבודה בסיסיות זמינות למעקב אחר חקירות ולאתחול פעולות תיקון, כגון איפוס סיסמה. |
ראה מידע נוסף אודות הגנה למזהה Microsoft Entra.
עיין בשלבים כדי להפוך את הגנה למזהה Microsoft Entra.
מרכז הניהול משאבים טכניים עבור MFA ותחברות מאובטחות
- MFA עבור Microsoft 365
- פריסת זהות עבור Microsoft 365
- סרטוני הדרכה Microsoft Entra מזהה Azure Academy
- קביעת תצורה Microsoft Entra של אימות רב גורמי
- תצורות גישה לזהות ולמכשיר
השלב הבא
המשך לשלב 4 כדי לפרוס את תשתית הזהויות בהתבסס על מודל הזהויות שבחרת:
משוב
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה: https://aka.ms/ContentUserFeedback.
שלח והצג משוב עבור