Plan wdrożenia platformy Microsoft 365 Zero Trust

Ten artykuł zawiera plan wdrożenia na potrzeby tworzenia zabezpieczeń Zero Trust przy użyciu Microsoft 365. Zero Trust to nowy model zabezpieczeń, który zakłada naruszenie zabezpieczeń i weryfikuje każde żądanie tak, jakby pochodziło z niekontrolowanej sieci. Niezależnie od tego, skąd pochodzi żądanie i do jakiego zasobu uzyskuje dostęp, model Zero Trust uczy nas,aby "nigdy nie ufać, zawsze weryfikować".

Użyj tego artykułu razem z tym plakatem.

Element Opis
Ilustracja planu wdrożenia Microsoft 365 Zero Trust.
PDF | Visio
Zaktualizowano marzec 2022 r.
Powiązane przewodniki po rozwiązaniach

architektura zabezpieczeń Zero Trust

Podejście Zero Trust rozciąga się na całą infrastrukturę cyfrową i służy jako zintegrowana filozofia bezpieczeństwa i kompleksowa strategia.

Ta ilustracja przedstawia reprezentację podstawowych elementów, które współtworzą Zero Trust.

Architektura zabezpieczeń Zero Trust

Na ilustracji:

  • Wymuszanie zasad zabezpieczeń znajduje się w centrum architektury Zero Trust. Obejmuje to uwierzytelnianie wieloskładnikowe z dostępem warunkowym, które uwzględnia ryzyko konta użytkownika, stan urządzenia oraz inne ustawione kryteria i zasady.
  • Tożsamości, urządzenia, dane, aplikacje, sieć i inne składniki infrastruktury są skonfigurowane z odpowiednimi zabezpieczeniami. Zasady skonfigurowane dla każdego z tych składników są skoordynowane z ogólną strategią Zero Trust. Na przykład zasady urządzeń określają kryteria dla urządzeń w dobrej kondycji, a zasady dostępu warunkowego wymagają urządzeń w dobrej kondycji w celu uzyskania dostępu do określonych aplikacji i danych.
  • Ochrona przed zagrożeniami i analiza monitoruje środowisko, zwiększa bieżące zagrożenia i podejmuje zautomatyzowane działania w celu skorygowania ataków.

Aby uzyskać więcej informacji na temat Zero Trust, zobacz Centrum wskazówek Zero Trust firmy Microsoft.

Wdrażanie Zero Trust dla Microsoft 365

Microsoft 365 jest celowo kompilowana z wieloma funkcjami zabezpieczeń i ochrony informacji, które ułatwiają tworzenie Zero Trust w środowisku. Wiele możliwości można rozszerzyć, aby chronić dostęp do innych aplikacji SaaS używanych przez organizację i danych w tych aplikacjach.

Ta ilustracja przedstawia pracę wdrażania Zero Trust możliwości. Ta praca jest podzielona na jednostki pracy, które można skonfigurować razem, zaczynając od dołu i pracując na górze, aby upewnić się, że praca wymagania wstępnego została ukończona.

Stos wdrażania Microsoft 365 Zero Trust

Na tej ilustracji:

  • Zero Trust zaczyna się od podstawy tożsamości i ochrony urządzeń.
  • Możliwości ochrony przed zagrożeniami są oparte na tych podstawach, aby zapewnić monitorowanie i korygowanie zagrożeń bezpieczeństwa w czasie rzeczywistym.
  • Ochrona informacji i ład zapewniają zaawansowane mechanizmy kontroli ukierunkowane na określone typy danych w celu ochrony najcenniejszych informacji i zapewnienia zgodności ze standardami zgodności, w tym ochrony danych osobowych.

W tym artykule przyjęto założenie, że masz już skonfigurowaną tożsamość w chmurze. Jeśli potrzebujesz wskazówek dotyczących tego celu, zobacz Wdrażanie infrastruktury tożsamości dla Microsoft 365.

Krok nr 1. Konfigurowanie Zero Trust tożsamości i ochrony dostępu do urządzeń — zasady punktu początkowego

Pierwszym krokiem jest utworzenie podstawy Zero Trust przez skonfigurowanie ochrony tożsamości i dostępu do urządzeń.

Proces konfigurowania tożsamości Zero Trust i ochrony dostępu do urządzeń

Przejdź do Zero Trust ochrony tożsamości i dostępu do urządzeń, aby uzyskać wskazówki nakazowe, aby to osiągnąć. W tej serii artykułów opisano zestaw konfiguracji wymagań wstępnych dotyczących tożsamości i dostępu do urządzeń oraz zestaw Azure Active Directory (Azure AD) dostępu warunkowego, Microsoft Intune i innych zasad w celu zabezpieczenia dostępu do Microsoft 365 dla aplikacji i usług w chmurze dla przedsiębiorstw, innych usług SaaS i aplikacji lokalnych opublikowanych za pomocą Azure AD serwer proxy aplikacji.

Zawiera Wymagania wstępne Nie obejmuje
Zalecane zasady dostępu do tożsamości i urządzeń dla trzech warstw ochrony:
  • Punkt początkowy
  • Enterprise (zalecane)
  • Specjalistyczne

Dodatkowe zalecenia dotyczące:
  • Użytkownicy zewnętrzni (goście)
  • Microsoft Teams
  • SharePoint Online
  • Microsoft Defender for Cloud Apps
Microsoft E3 lub E5

Azure Active Directory w każdym z tych trybów:
  • Tylko w chmurze
  • Uwierzytelnianie hybrydowe z uwierzytelnianiem synchronizacji skrótów haseł (PHS)
  • Hybrydowe z uwierzytelnianiem przekazywanym (PTA)
  • Federacyjnych
Rejestrowanie urządzeń dla zasad, które wymagają urządzeń zarządzanych. Zobacz Krok 2. Zarządzanie punktami końcowymi przy użyciu Intune do rejestrowania urządzeń

Rozpocznij od zaimplementowania warstwy punktu początkowego. Te zasady nie wymagają rejestrowania urządzeń do zarządzania.

Zasady Zero Trust tożsamości i dostępu do urządzeń — warstwa punktu początkowego

Krok nr 2. Zarządzanie punktami końcowymi za pomocą Intune

Następnie zarejestruj urządzenia w systemie zarządzania i rozpocznij ich ochronę za pomocą bardziej zaawansowanych kontrolek.

Zarządzanie punktami końcowymi za pomocą elementu Intune

Przejdź do obszaru Zarządzanie urządzeniami za pomocą Intune, aby uzyskać nakazowe wskazówki, aby to osiągnąć.

Zawiera Wymagania wstępne Nie obejmuje
Rejestrowanie urządzeń przy użyciu Intune:
  • Urządzenia należące do firmy
  • Rozwiązanie Autopilot/zautomatyzowane
  • Rejestracji

Konfigurowanie zasad:
  • Zasady ochrony aplikacji
  • Zasady zgodności
  • Zasady profilu urządzenia
Rejestrowanie punktów końcowych za pomocą Azure AD Konfigurowanie możliwości ochrony informacji, w tym:
  • Typy informacji poufnych
  • Etykiety
  • Zasady DLP

Aby uzyskać te możliwości, zobacz Krok 5. Ochrona poufnych danych i zarządzanie nimi (w dalszej części tego artykułu).

Krok nr 3. Dodawanie tożsamości Zero Trust i ochrony dostępu do urządzeń — zasady Enterprise

Dzięki urządzeniom zarejestrowanym w zarządzaniu można teraz zaimplementować pełny zestaw zalecanych Zero Trust zasad dotyczących tożsamości i dostępu do urządzeń, które wymagają zgodnych urządzeń.

Zasady Zero Trust tożsamości i dostępu za pomocą zarządzania urządzeniami

Wróć do typowych zasad dostępu do tożsamości i urządzeń i dodaj zasady w warstwie Enterprise.

Zero Trust zasad tożsamości i dostępu — Enterprise (zalecane)

Krok nr 4. Ocena, pilotaż i wdrażanie Microsoft 365 Defender

Microsoft 365 Defender to rozszerzone rozwiązanie do wykrywania i reagowania (XDR), które automatycznie zbiera, koreluje i analizuje dane sygnału, zagrożeń i alertów z całego środowiska Microsoft 365, w tym punkty końcowe, pocztę e-mail, aplikacje i tożsamości.

Proces dodawania Microsoft 365 Defender do architektury Zero Trust

Przejdź do tematu Evaluate and pilot Microsoft 365 Defender (Ocena i pilotażowe Microsoft 365 Defender), aby zapoznać się z przewodnikiem metodycznym dotyczącym pilotażu i wdrażania składników Microsoft 365 Defender.

Zawiera Wymagania wstępne Nie obejmuje
Skonfiguruj środowisko ewaluacji i pilotażu dla wszystkich składników:
  • Defender for Identity
  • Ochrona usługi Office 365 w usłudze Defender
  • Ochrona punktu końcowego w usłudze Microsoft Defender
  • Microsoft Defender for Cloud Apps

Ochrona przed zagrożeniami

Badanie zagrożeń i odpowiadanie na nie
Zapoznaj się ze wskazówkami, aby zapoznać się z wymaganiami dotyczącymi architektury dla każdego składnika Microsoft 365 Defender. Azure AD usługa Identity Protection nie jest uwzględniona w tym przewodniku po rozwiązaniach. Jest on uwzględniony w kroku 1. Skonfiguruj Zero Trust tożsamości i ochrony dostępu do urządzeń.

Krok nr 5. Ochrona poufnych danych i zarządzanie nimi

Zaimplementuj Microsoft Purview Information Protection, aby ułatwić odnajdywanie, klasyfikowanie i ochronę poufnych informacji wszędzie tam, gdzie się znajdują lub podróżują.

Microsoft Purview Information Protection możliwości są dołączone do Microsoft Purview i udostępniają narzędzia do poznania danych, ochrony danych i zapobiegania utracie danych.

Funkcje ochrony informacji chroniące dane poprzez wymuszanie zasad

Chociaż ta praca jest reprezentowana w górnej części stosu wdrażania zilustrowanego wcześniej w tym artykule, możesz rozpocząć tę pracę w dowolnym momencie.

Microsoft Purview Information Protection zapewnia strukturę, proces i możliwości, których można użyć do realizacji określonych celów biznesowych.

Microsoft Purview Information Protection

Aby uzyskać więcej informacji na temat planowania i wdrażania ochrony informacji, zobacz Wdrażanie rozwiązania Microsoft Purview Information Protection.

Jeśli wdrażasz ochronę informacji dla przepisów dotyczących prywatności danych, ten przewodnik po rozwiązaniach zawiera zalecaną strukturę dla całego procesu: Wdrażanie ochrony informacji dla przepisów dotyczących prywatności danych za pomocą Microsoft 365.