nulltillit identitets- og enhetstilgangskonfigurasjoner
Dagens arbeidsstyrke krever tilgang til programmer og ressurser som eksisterer utover tradisjonelle bedriftsnettverksgrenser. Sikkerhetsarkitekturer som er avhengige av nettverksbrannmurer og virtuelle private nettverk (VPN-er) for å isolere og begrense tilgangen til ressurser, er ikke lenger tilstrekkelige.
For å løse denne nye verdenen av databehandling anbefaler Microsoft den nulltillit sikkerhetsmodellen, som er basert på disse veiledende prinsippene:
- Bekreft eksplisitt: Godkjenn og godkjenn alltid basert på alle tilgjengelige datapunkter. Denne bekreftelsen er der nulltillit identitets- og enhetstilgangspolicyer er avgjørende for pålogging og pågående validering.
- Bruk minst tilgang til rettigheter: Begrens brukertilgang med Just-In-Time og Just-Enough-Access (JIT/JEA), risikobaserte adaptive policyer og databeskyttelse.
- Anta brudd: Minimer eksplosjonsradius og segmenttilgang. Bekreft ende-til-ende-kryptering og bruk analyse for å få synlighet, drive trusselregistrering og forbedre forsvar.
Her er den generelle arkitekturen til nulltillit:
nulltillit identitets- og enhetstilgangspolicyer adresserer det eksplisitt veiledende prinsippet for:
- Identiteter: Når en identitet prøver å få tilgang til en ressurs, må du kontrollere identiteten med sterk godkjenning og sikre at forespurt tilgang er kompatibel og typisk.
- Enheter (også kalt endepunkter): Overvåk og fremtving krav til enhetstilstand og samsvar for sikker tilgang.
- Programmer: Bruk kontroller og teknologier på:
- Sikre riktige appinterne tillatelser.
- Kontroller tilgang basert på sanntidsanalyser.
- Overvåk for unormal atferd
- Kontroller brukerhandlinger.
- Valider alternativer for sikker konfigurasjon.
Denne serien med artikler beskriver et sett med konfigurasjoner og policyer for identitets- og enhetstilgang ved hjelp av Microsoft Entra ID, betinget tilgang, Microsoft Intune og andre funksjoner. Disse konfigurasjonene og policyene gir nulltillit tilgang til Microsoft 365 for skyapper og -tjenester for bedrifter, andre SaaS-tjenester og lokale programmer som publiseres med Microsoft Entra programproxy.
nulltillit identitets- og enhetstilgangsinnstillinger og policyer anbefales i tre nivåer:
- Utgangspunkt.
- Enterprise.
- Spesialisert sikkerhet for miljøer med svært regulerte eller klassifiserte data.
Disse nivåene og de tilsvarende konfigurasjonene gir konsekvente nivåer av nulltillit beskyttelse på tvers av data, identiteter og enheter. Disse funksjonene og deres anbefalinger:
- Støttes i Microsoft 365 E3 og Microsoft 365 E5.
- Samsvarer med Microsofts sikre poengsum og identitetspoengsum i Microsoft Entra ID. Når du følger anbefalingene, økes disse resultatene for organisasjonen.
- Hjelp deg med å implementere disse fem trinnene for å sikre identitetsinfrastrukturen.
Hvis organisasjonen har unike krav eller kompleksiteter, kan du bruke disse anbefalingene som utgangspunkt. De fleste organisasjoner kan imidlertid implementere disse anbefalingene som foreskrevet.
Se denne videoen for en rask oversikt over identitets- og enhetstilgangskonfigurasjoner for Microsoft 365 for bedrifter.
Obs!
Microsoft selger også Enterprise Mobility + Security (EMS)-lisenser for Office 365 abonnementer. EMS E3- og EMS E5-funksjoner tilsvarer funksjonene i Microsoft 365 E3 og Microsoft 365 E5. Hvis du vil ha mer informasjon, kan du se EMS-planer.
Tiltenkt målgruppe
Disse anbefalingene er ment for bedriftsarkitekter og IT-teknikere som er kjent med Microsoft 365-skyproduktivitets- og sikkerhetstjenester. Disse tjenestene omfatter Microsoft Entra ID (identitet), Microsoft Intune (enhetsbehandling) og Microsoft Purview informasjonsbeskyttelse (databeskyttelse).
Kundemiljø
De anbefalte policyene gjelder for bedriftsorganisasjoner som opererer både i Microsoft-skyen og for kunder med hybrid identitetsinfrastruktur. En hybrid identitetsstruktur er en lokal Active Directory skog som er synkronisert med Microsoft Entra ID.
Mange av våre anbefalinger er avhengige av tjenester som bare er tilgjengelige med følgende lisenser:
- Microsoft 365 E5.
- Microsoft 365 E3 med E5 Security-tillegget.
- EMS E5.
- Microsoft Entra ID P2-lisenser.
For organisasjoner som ikke har disse lisensene, anbefaler vi at du i det minste implementerer sikkerhetsstandarder, som er inkludert i alle Microsoft 365-abonnementer.
Advarsler
Organisasjonen kan være underlagt forskriftsmessige eller andre krav til forskriftssamsvar, inkludert spesifikke anbefalinger som krever at du bruker policyer som avviker fra disse anbefalte konfigurasjonene. Disse konfigurasjonene anbefaler brukskontroller som ikke historisk har vært tilgjengelige. Vi anbefaler disse kontrollene fordi vi mener de representerer en balanse mellom sikkerhet og produktivitet.
Vi har gjort vårt beste for å ta hensyn til en rekke organisatoriske beskyttelseskrav, men vi kan ikke ta hensyn til alle mulige krav eller for alle de unike aspektene ved organisasjonen.
Tre beskyttelsesnivåer
De fleste organisasjoner har spesifikke krav til sikkerhet og databeskyttelse. Disse kravene varierer etter bransjesegment og jobbfunksjoner i organisasjoner. Den juridiske avdelingen og administratoren kan for eksempel kreve ekstra sikkerhets- og informasjonsbeskyttelseskontroller rundt e-postkorrespondansen som ikke kreves for andre forretningsenheter.
Hver bransje har også sitt eget sett med spesialiserte forskrifter. Vi prøver ikke å gi en liste over alle mulige sikkerhetsalternativer eller en anbefaling per bransjesegment eller jobbfunksjon. I stedet gir vi anbefalinger for tre nivåer av sikkerhet og beskyttelse som kan brukes basert på detaljnivået til dine behov.
- Utgangspunkt: Vi anbefaler at alle kunder etablerer og bruker en minimumsstandard for å beskytte data, samt identitetene og enhetene som får tilgang til dataene dine. Du kan følge disse anbefalingene for å gi sterk standardbeskyttelse som utgangspunkt for alle organisasjoner.
- Virksomhet: Noen kunder har et delsett med data som må beskyttes på høyere nivåer, eller alle data må beskyttes på et høyere nivå. Du kan bruke økt beskyttelse på alle eller spesifikke datasett i Microsoft 365-miljøet. Vi anbefaler at du beskytter identiteter og enheter som får tilgang til sensitive data med sammenlignbare sikkerhetsnivåer.
- Spesialisert sikkerhet: Etter behov har noen få kunder en liten mengde data som er høyt klassifisert, utgjør forretningshemmeligheter eller er regulert. Microsoft tilbyr funksjoner for å hjelpe disse kundene med å oppfylle disse kravene, inkludert ekstra beskyttelse for identiteter og enheter.
Denne veiledningen viser deg hvordan du implementerer nulltillit beskyttelse for identiteter og enheter for hvert av disse beskyttelsesnivåene. Bruk denne veiledningen som et minimum for organisasjonen, og juster policyene for å oppfylle organisasjonens spesifikke krav.
Det er viktig å bruke konsekvente beskyttelsesnivåer på tvers av identiteter, enheter og data. Beskyttelse for brukere med prioriterte kontoer, for eksempel ledere, ledere og andre, bør for eksempel inneholde samme beskyttelsesnivå for identitetene, enhetene og dataene de har tilgang til.
Se i tillegg distribuer informasjonsbeskyttelse for løsningen for personvernforordninger for å beskytte informasjon som er lagret i Microsoft 365.
Avveininger om sikkerhet og produktivitet
Implementering av sikkerhetsstrategier krever avveininger mellom sikkerhet og produktivitet. Det er nyttig å vurdere hvordan hver beslutning påvirker balansen mellom sikkerhet, funksjonalitet og brukervennlighet.
Anbefalingene er basert på følgende prinsipper:
- Kjenn brukerne dine og vær fleksibel mot deres sikkerhets- og funksjonskrav.
- Bruk en sikkerhetspolicy akkurat i tide, og sørg for at den er meningsfull.
Tjenester og konsepter for nulltillit identitets- og enhetstilgangsbeskyttelse
Microsoft 365 for bedrifter er utformet for store organisasjoner for å gi alle mulighet til å være kreative og samarbeide på en sikker måte.
Denne delen gir en oversikt over Microsoft 365-tjenester og -funksjoner som er viktige for nulltillit identitet og enhetstilgang.
Microsoft Entra ID
Microsoft Entra ID har en komplett pakke med funksjoner for identitetsbehandling. Vi anbefaler at du bruker disse funksjonene til å sikre tilgang.
| Funksjon eller funksjon | Beskrivelse | Lisenser |
|---|---|---|
| Godkjenning med flere faktorer (MFA) | MFA krever at brukerne oppgir to former for bekreftelse, for eksempel et brukerpassord pluss et varsel fra Microsoft Authenticator-appen eller en telefonsamtale. MFA reduserer risikoen for at stjålet legitimasjon kan brukes til å få tilgang til miljøet ditt. Microsoft 365 bruker Microsoft Entra godkjenningstjeneste med flere faktorer for MFA-baserte pålogginger. | Microsoft 365 E3 eller E5 |
| Betinget tilgang | Microsoft Entra ID evaluerer betingelsene for brukerens pålogging og bruker policyer for betinget tilgang til å bestemme tillatt tilgang. I denne veiledningen viser vi deg for eksempel hvordan du oppretter en policy for betinget tilgang for å kreve enhetssamsvar for tilgang til sensitive data. Dette reduserer risikoen for at en hacker med sin egen enhet og stjålet legitimasjon kan få tilgang til sensitive data. Den beskytter også sensitive data på enhetene, fordi enhetene må oppfylle spesifikke krav til helse og sikkerhet. | Microsoft 365 E3 eller E5 |
| Microsoft Entra grupper | Policyer for betinget tilgang, enhetsbehandling med Intune og til og med tillatelser til filer og nettsteder i organisasjonen er avhengige av tilordningen til brukerkontoer eller Microsoft Entra grupper. Vi anbefaler at du oppretter Microsoft Entra grupper som samsvarer med beskyttelsesnivåene du implementerer. De ansatte i ledelsen er for eksempel sannsynligvis mål for hackere med høyere verdi. Det er derfor fornuftig å legge til brukerkontoene til disse ansatte i en Microsoft Entra gruppe og tilordne denne gruppen til policyer for betinget tilgang og andre policyer som håndhever et høyere beskyttelsesnivå for tilgang. | Microsoft 365 E3 eller E5 |
| Enhetsregistrering | Du registrerer en enhet i Microsoft Entra ID for å opprette en identitet for enheten. Denne identiteten brukes til å godkjenne enheten når en bruker logger på og bruker policyer for betinget tilgang som krever domenetilknyttede eller kompatible PC-er. For denne veiledningen bruker vi enhetsregistrering til automatisk å registrere domenetilføyede Windows-datamaskiner. Enhetsregistrering er en forutsetning for å administrere enheter med Intune. | Microsoft 365 E3 eller E5 |
| Microsoft Entra ID-beskyttelse | Gjør det mulig for deg å oppdage potensielle sårbarheter som påvirker organisasjonens identiteter, og konfigurere automatiserte utbedringspolicyer til lav, middels og høy påloggingsrisiko og brukerrisiko. Denne veiledningen er avhengig av denne risikoevalueringen for å bruke policyer for betinget tilgang for godkjenning med flere faktorer. Denne veiledningen inneholder også en policy for betinget tilgang som krever at brukere endrer passordet hvis det oppdages en aktivitet med høy risiko for kontoen. | Microsoft 365 E5, Microsoft 365 E3 med E5 Security-tillegget, EMS E5- eller Microsoft Entra ID P2-lisensene |
| Selvbetjent tilbakestilling av passord (SSPR) | Tillat at brukerne tilbakestiller passordene sine sikkert og uten brukerstøtteintervensjon, ved å gi bekreftelse av flere godkjenningsmetoder som administratoren kan kontrollere. | Microsoft 365 E3 eller E5 |
| Microsoft Entra passordbeskyttelse | Oppdag og blokker kjente svake passord og deres varianter og ytterligere svake termer som er spesifikke for organisasjonen. Standard lister over globale forbudte passord brukes automatisk for alle brukere i en Microsoft Entra leier. Du kan definere flere oppføringer i en egendefinert liste over forbudte passord. Når brukere endrer eller tilbakestiller passordene sine, kontrolleres disse listene over forbudte passord for å håndheve bruken av sterke passord. | Microsoft 365 E3 eller E5 |
Her er komponentene i nulltillit identitet og enhetstilgang, inkludert Intune og Microsoft Entra objekter, innstillinger og undertjenester.
Microsoft Intune
Intune er Microsofts skybaserte administrasjonstjeneste for mobilenheter. Denne veiledningen anbefaler enhetsbehandling av Windows-PC-er med Intune og anbefaler konfigurasjoner for enhetssamsvarspolicyer. Intune bestemmer om enhetene er kompatible og sender disse dataene til Microsoft Entra ID som skal brukes når du bruker policyer for betinget tilgang.
Intune appbeskyttelse
Intune appbeskyttelsespolicyer kan brukes til å beskytte organisasjonens data i mobilapper, med eller uten å registrere enheter i administrasjon. Intune bidrar til å beskytte informasjon, sørge for at de ansatte fremdeles kan være produktive og forhindre tap av data. Ved å implementere policyer på appnivå kan du begrense tilgangen til firmaressurser og holde data innenfor it-avdelingens kontroll.
Denne veiledningen viser deg hvordan du oppretter anbefalte policyer for å håndheve bruken av godkjente apper og bestemme hvordan disse appene kan brukes med forretningsdataene dine.
Microsoft 365
Denne veiledningen viser deg hvordan du implementerer et sett med policyer for å beskytte tilgang til Microsoft 365-skytjenester, inkludert Microsoft Teams, Exchange, SharePoint og OneDrive. I tillegg til å implementere disse policyene, anbefaler vi at du også øker beskyttelsesnivået for leieren ved hjelp av disse ressursene:
Windows 11 eller Windows 10 med Microsoft 365 Apps for enterprise
Windows 11 eller Windows 10 med Microsoft 365 Apps for enterprise er det anbefalte klientmiljøet for PC-er. Vi anbefaler Windows 11 eller Windows 10 fordi Microsoft Entra er utformet for å gi den smidigste opplevelsen som er mulig for både lokale og Microsoft Entra ID. Windows 11 eller Windows 10 inneholder også avanserte sikkerhetsfunksjoner som kan administreres gjennom Intune. Microsoft 365 Apps for enterprise inkluderer de nyeste versjonene av Office-programmer. Disse bruker moderne godkjenning, som er sikrere og et krav for betinget tilgang. Disse appene inkluderer også forbedrede samsvars- og sikkerhetsverktøy.
Bruke disse funksjonene på tvers av de tre beskyttelsesnivåene
Tabellen nedenfor oppsummerer våre anbefalinger for bruk av disse funksjonene på tvers av de tre beskyttelsesnivåene.
| Beskyttelsesmekanisme | Utgangspunkt | Enterprise | Spesialisert sikkerhet |
|---|---|---|---|
| Gjennomfør MFA | Ved middels eller høyere påloggingsrisiko | Ved lav eller høyere påloggingsrisiko | På alle nye økter |
| Fremtving passordendring | For brukere med høy risiko | For brukere med høy risiko | For brukere med høy risiko |
| Fremtving Intune programbeskyttelse | Ja | Ja | Ja |
| Fremtving Intune registrering for organisasjonseid enhet | Krev en kompatibel eller domenetilkoblet PC, men tillat byod-telefoner og -nettbrett (bring-your-own devices) | Krev en kompatibel eller domenetilkoblet enhet | Krev en kompatibel eller domenetilkoblet enhet |
Enhetseierskap
Tabellen ovenfor gjenspeiler trenden for mange organisasjoner til å støtte en blanding av organisasjonseide enheter og personlige enheter eller BYODer for å muliggjøre mobil produktivitet på tvers av arbeidsstyrken. Intune beskyttelsespolicyer for apper sikrer at e-post er beskyttet mot å eksfiltrere ut av Outlook-mobilappen og andre Office-mobilapper, både på organisasjonseide enheter og BYODer.
Vi anbefaler at organisasjonseide enheter administreres av Intune eller domenetilkoblet for å ta i bruk ekstra beskyttelse og kontroll. Avhengig av datafølsomhet kan organisasjonen velge å ikke tillate BYODer for bestemte brukerpopulasjoner eller bestemte apper.
Distribusjon og apper
Før du konfigurerer og ruller ut nulltillit identitets- og enhetstilgangskonfigurasjon for Microsoft Entra integrerte apper, må du:
Bestem hvilke apper som brukes i organisasjonen du vil beskytte.
Analyser denne listen over apper for å bestemme settene med policyer som gir riktige beskyttelsesnivåer.
Du bør ikke opprette separate sett med policyer for hver app, fordi administrasjon av dem kan bli tungvint. Microsoft anbefaler at du grupperer appene som har de samme beskyttelseskravene for de samme brukerne.
Du kan for eksempel ha ett sett med policyer som inkluderer alle Microsoft 365-apper for alle brukere for startpunktbeskyttelse. Ha et annet sett med policyer for alle sensitive apper, for eksempel de som brukes av personalavdelingene eller finansavdelingene, og bruk dem på disse gruppene.
Når du har funnet policysettet for appene du vil sikre, ruller du policyene ut til brukerne trinnvist og løser problemer underveis. Eksempel:
- Konfigurer policyene du har tenkt å bruke for alle Microsoft 365-apper.
- Legg til bare Exchange med de nødvendige endringene, rull ut policyene til brukerne og arbeid gjennom eventuelle problemer.
- Legg til Teams med de nødvendige endringene, rull ut policyene til brukerne og arbeid gjennom eventuelle problemer.
- Legg til SharePoint med de nødvendige endringene, rull ut policyene til brukerne og arbeid gjennom eventuelle problemer.
- Fortsett å legge til resten av appene til du trygt kan konfigurere disse policyene for startpunkt til å inkludere alle Microsoft 365-apper.
På samme måte kan du opprette policysettet for sensitive apper og legge til én app om gangen. Arbeid gjennom eventuelle problemer til alle er inkludert i det sensitive apppolicysettet.
Microsoft anbefaler at du ikke oppretter policysett som gjelder for alle apper, fordi det kan resultere i noen utilsiktede konfigurasjoner. Policyer som blokkerer alle apper, kan for eksempel låse administratorene ute av Microsoft Entra administrasjonssenter, og utelatelser kan ikke konfigureres for viktige endepunkter, for eksempel Microsoft Graph.
Fremgangsmåte for å konfigurere nulltillit identitet og enhetstilgang
- Konfigurer nødvendige identitetsfunksjoner og tilhørende innstillinger.
- Konfigurer vanlige policyer for identitet og tilgang til betinget tilgang.
- Konfigurer policyer for betinget tilgang for gjester og eksterne brukere.
- Konfigurer policyer for betinget tilgang for Microsoft 365-skyapper, for eksempel Microsoft Teams, Exchange og SharePoint, og Microsoft Defender for Cloud Apps policyer.
Når du har konfigurert nulltillit identitet og enhetstilgang, kan du se Microsoft Entra veiledningen for funksjonsdistribusjon for en faset sjekkliste over tilleggsfunksjoner du bør vurdere, og Microsoft Entra ID-styring for å beskytte, overvåke og overvåke tilgang.
Neste trinn:
Forutsetningsarbeid for å implementere nulltillit identitets- og enhetstilgangspolicyer
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for