Общие рекомендуемые политики доступа для удостоверений и устройствGeneral identity and device access policy recommendations

В этой статье описаны распространенные рекомендуемые политики для защиты Microsoft 365 Enterprise.This article describes the common recommended policies to help you secure Microsoft 365 Enterprise. Кроме того, там рассматриваются рекомендуемые конфигурации клиента платформы по умолчанию, обеспечивающие оптимальный единый вход для пользователей, а также технические требования для условного доступа.Also discussed are the default platform client configurations we recommend to provide the best SSO experience to your users, as well as the technical pre-requisites for conditional access.

В этом руководстве содержатся инструкции по развертыванию рекомендуемых политик в новой подготовленной среде.This guidance discusses how to deploy the recommended policies in a newly provisioned environment. Настройка этих политик в отдельной лабораторной среде позволяет понять и оценить рекомендуемые политики перед выполнением развертывания в средах подготовки и производства.Setting up these policies in a separate lab environment allows you to understand and evaluate the recommended policies before staging the rollout to your pre-production and production environments. Новая подготовленная среда может быть либо только облачной, либо гибридной.Your newly provisioned environment may be cloud-only or Hybrid.

Для успешного развертывания рекомендуемых политик следует выполнить действия на портале Azure, чтобы обеспечить соответствие необходимым условиям, перечисленным выше.To successfully deploy the recommended polices, you need to take actions in the Azure portal to meet the prerequisites stated earlier. В частности, нужно сделать следующее.Specifically, you need to:

  • Настроить именованные сети, чтобы защита идентификации Azure могла правильно определить оценку риска.Configure named networks, to ensure Azure Identity Protection can properly generate a risk score
  • Требовать регистрацию всех пользователей для многофакторной идентификации (MFA).Require all users to register for multi-factor authentication (MFA)
  • Настроить синхронизацию хэша паролей и самостоятельный сброс паролей, чтобы предоставить пользователям возможность самостоятельного сброса паролей.Configure Password Hash Sync and self-service password reset to enable users to be able to reset passwords themselves

Политики Azure AD и Intune можно назначить для конкретных групп пользователей.You can target both Azure AD and Intune policies towards specific groups of users. Мы советуем развертывать определенные ранее политики поэтапно.We suggest rolling out the policies defined earlier in a staged way. Таким образом вы можете постепенно проверять производительность политик и групп поддержки.This way you can validate the performance of the policies and your support teams relative to the policy incrementally.

Предварительные условияPrerequisites

Перед реализацией политик, описанных в оставшейся части этого документа, в организации должен быть выполнен ряд условий.Before implementing the policies described in the remainder of this document, there are several prerequisites that your organization must meet:

  • Настройка синхронизации хеша паролей. Эта функция должна быть включена для обнаружения потерянных учетных данных и включения условного доступа с учетом рисков, связанных с потерей этих данных.Configure Password Hash Sync. This must be enabled to detect leaked credentials and to act on them for risk based Conditional Access. Примечание. Это обязательное условие, даже если ваша организация использует управляемую аутентификацию, например сквозную, или федеративную аутентификацию.Note: This is required, regardless of whether your organization use managed, like Pass Through Authentication (PTA), or federated authentication.
  • Настройка именованных сетей.Configure named networks. Защита идентификации Azure AD осуществляет сбор и анализ всех доступных данных сеансов для создания оценки рисков.Azure AD Identity Protection collects and analyzes all available session data to generate a risk score. В именованной конфигурации сетей в Azure AD рекомендуется указывать диапазоны общедоступных IP-адресов для сети организации.We recommend that you specify your organization's public IP ranges for your network in the Azure AD named networks configuration. Трафику, поступающему из этих диапазонов, присваивается сниженная степень риска, поэтому трафик, поступающий из-за пределов корпоративной среды, рассматривается как имеющий более высокую степень риска.Traffic coming from these ranges is given a reduced risk score, so traffic from outside the corporate environment is treated as higher risk score.
  • Регистрация всех пользователей для многофакторной идентификации (MFA).Register all users with multi-factor authentication (MFA). Защита идентификации Azure AD использует Azure MFA для выполнения дополнительной проверки безопасности.Azure AD Identity Protection makes use of Azure MFA to perform additional security verification. Рекомендуется требовать от всех пользователей заранее зарегистрироваться для Azure MFA.We recommend that you require all users to register for Azure MFA ahead of time.
  • Включение автоматической регистрации устройства в составе присоединенных к домену компьютеров Windows.Enable automatic device registration of domain joined Windows computers. Условный доступ может гарантировать, что устройство, подключенное к службе, является присоединенным к домену или соответствующим требованиям устройством.Conditional access can ensure the device connecting to the service is a domain joined or compliant device. Для поддержки этой возможности на компьютерах Windows устройство должно быть зарегистрировано в Azure AD.To support this on Windows computers, the device must be registered with Azure AD. В этой статье описывается настройка автоматической регистрации устройств.This article discusses how to configure automatic device registration.
  • Подготовка группы поддержки.Prepare your support team. Разработайте план для пользователей, которым не удается пройти многофакторную идентификацию.Have a plan in place for users that cannot complete MFA. Он может заключаться в их добавлении в группу исключения политики или регистрации для них новых сведений о многофакторной идентификации.This can be adding them to a policy exclusion group, or registering new MFA info for them. До выполнения этих важных изменений безопасности необходимо убедиться, что запрос делает реальный пользователь.Before making either of these security sensitive changes, you need to ensure the actual user is making the request. Помощь в утверждении со стороны руководителей является весьма эффективным шагом.Requiring users' managers to help with the approval is an effective step.
  • Настройка компонента обратной записи паролей в локальную среду AD.Configure password writeback to on-premises AD. Благодаря компоненту обратной записи паролей служба Azure AD может требовать, чтобы пользователи меняли свои пароли в локальной среде в случае обнаружения высокого уровня риска компрометации учетной записи.Password Writeback allows Azure AD to require that users change their on-premises passwords when there has been a high risk of account compromise detected. Этот компонент можно включить с помощью Azure AD Connect одним из двух способов.You can enable this feature using Azure AD Connect in one of two ways. Обратную запись паролей можно включить на экране дополнительных компонентов в мастере настройки Azure AD Connect или с помощью Windows PowerShell.You can either enable Password Writeback in the optional features screen of the Azure AD Connect setup wizard, or you can enable it via Windows PowerShell.
  • Включение современной проверки подлинности и защиты устаревших конечных точек.Enable modern authentication and protect legacy endpoints. Условный доступ поддерживается для мобильных и классических приложений, использующих современную проверку подлинности.Conditional access works both with mobile and desktop applications that use modern authentication. Если приложение использует устаревшие протоколы проверки подлинности, оно может получить доступ, несмотря на применяемые условия.If the application uses legacy authentication protocols, it may gain access despite the conditions being applied. Важно знать, какие приложения могут использовать правила условного доступа, и шаги, которые необходимо предпринять для защиты других точки входа приложения.It is important to know which applications can use conditional access rules and the steps that you need to take to secure other application entry points.
  • Включение Azure Information Protection путем активации Rights Management.Enable Azure Information Protection by activating Rights Management. Используйте Azure Information Protection с электронной почтой, чтобы начать классификацию сообщений.Use Azure Information Protection with email to start with classification of emails. Инструкции по настройке и публикации политики можно найти в кратком руководстве.Follow the quick start tutorial to customize and publish policy.

Следующие почтовые клиенты поддерживают современную проверку подлинности и условный доступ.The following email clients support Modern Authentication and Conditional Access. Служба Azure Information Protection пока доступна лишь для некоторых клиентов.Azure Information Protection is not yet available for all clients.

ПлатформаPlatform "Клиент";Client Версии и примечанияVersion/Notes Azure Information ProtectionAzure Information Protection
WindowsWindows OutlookOutlook 2016, 2013 Включение современной проверки подлинности2016, 2013 Enable Modern Auth ДаYes
iOSiOS OutlookOutlook Последняя версияLatest НетNo
AndroidAndroid OutlookOutlook Последняя версияLatest НетNo
macOSmacOS Общедоступная предварительная версияPublic preview НетNo
LinuxLinux Не поддерживаетсяNot supported НетNo

Для доступа к документам, защищенным с помощью Azure Information Protection, может потребоваться дополнительное программное обеспечение.In order to access Azure Information Protection protected documents additional software may be required. Создавать и просматривать документы, защищенные с помощью Azure Information Protection, следует с использованием поддерживаемого ПО и форматов документов.Be sure that you are using supported software and document formats to create and view protected documents with Azure Information Protection.

После применения политики для защиты документов рекомендуется использовать следующие клиенты.The following clients are recommended when a Secure Documents policy has been applied.

ПлатформаPlatform Word, Excel или PowerPointWord/Excel/PowerPoint OneNoteOneNote Приложение OneDriveOneDrive App Приложение SharePointSharePoint App Клиент синхронизации OneDriveOneDrive Sync Client
Windows 7Windows 7 ПоддерживаетсяSupported ПоддерживаетсяSupported Н/ДN/A Н/ДN/A Предварительная версияPreview
Windows 8.1Windows 8.1 ПоддерживаетсяSupported ПоддерживаетсяSupported Н/ДN/A Н/ДN/A Предварительная версияPreview
Windows 10Windows 10 ПоддерживаетсяSupported ПоддерживаетсяSupported Н/ДN/A Н/ДN/A Предварительная версияPreview
Windows Phone 10Windows Phone 10 Не поддерживаетсяNot supported Не поддерживаетсяNot supported ПоддерживаетсяSupported ПоддерживаетсяSupported Н/ДN/A
AndroidAndroid ПоддерживаетсяSupported ПоддерживаетсяSupported ПоддерживаетсяSupported ПоддерживаетсяSupported Н/ДN/A
iOSiOS ПоддерживаетсяSupported ПоддерживаетсяSupported ПоддерживаетсяSupported ПоддерживаетсяSupported Н/ДN/A
macOSmacOS Общедоступная предварительная версияPublic Preview Общедоступная предварительная версияPublic Preview Н/ДN/A Н/ДN/A Не поддерживаетсяNot supported
LinuxLinux Не поддерживаетсяNot supported Не поддерживаетсяNot supported Не поддерживаетсяNot supported Не поддерживаетсяNot supported Не поддерживаетсяNot supported

Дополнительные сведения о предварительной версии клиента синхронизации OneDrive. Learn more about the OneDrive Sync Client Preview.

Примечание

Следующие рекомендации основаны на трех различных уровнях безопасности и защиты электронной почты, которые могут применяться с учетом степени детализации ваших потребностей: базовый, конфиденциальный и строго регулируемый.The following recommendations are based on three different tiers of security and protection for your email that can be applied based on the granularity of your needs: baseline, sensitive, and highly regulated. Дополнительные сведения об этих уровнях безопасности и рекомендуемых клиентских операционных системах, на которые ссылаются эти рекомендации, можно найти в статье с общими сведениями о рекомендуемых политиках и конфигурациях безопасности.You can learn more about these security tiers, and the recommended client operating systems, referenced by these recommendations in the recommended security policies and configurations introduction.

Базовая версияBaseline

В этом разделе описываются рекомендации по базовому уровню защиты данных, удостоверений и устройств.This section describes the recommendations for the baseline tier of data, identity, and device protection. Эти рекомендации должны соответствовать требованиям защиты по умолчанию во многих организациях.These recommendations should meet the default protection needs of many organizations.

Примечание

Приведенные ниже политики являются аддитивными и взаимосвязаны.The policies below are additive and build upon each other. В каждом разделе описываются только дополнения, применяемые к каждому уровню.Each section describes only the additions applied to each tier.

Параметры политики условного доступаConditional access policy settings

Защита идентификацииIdentity protection

Можно предоставить пользователям возможности единого входа (SSO), описанные в предыдущих разделах.You can give users single sign-on (SSO) experience as described in earlier sections. Вмешательство допускается только при возникновении событий рисков.You only need to intervene when necessary based on risk events.

  • Требовать многофакторную идентификацию при среднем или более высоком уровне риска при входеRequire MFA based on medium or above sign-in risk
  • Требовать у пользователей с высоким уровнем риска смену паролейRequire secure password change for high risk users

Важно!

Для этой рекомендуемой политики требуются синхронизация паролей и самостоятельный сброс пароля.Password synchronization and self-service password reset are required for this policy recommendation.

Защита от потери данныхData loss prevention

Политики управления приложениями и устройствами предназначены для защиты от потери данных в случае потери или кражи устройства.The goal for your device and app management policies is to protect data loss in the event of a lost or stolen device. Необходимо защитить доступ к данным с помощью ПИН-кода, шифрования данных на устройстве, а также обеспечить безопасность устройства.You can do this by ensuring that access to data is protected by a PIN, that the data is encrypted on the device, and that the device is not compromised.

Рекомендуемая политикаPolicy recommendation ОписаниеDescription
Требовать управление ПК пользователейRequire user PC management Требовать от пользователей включить ПК Windows в состав домена Active Directory или зарегистрировать ПК для управления с помощью Microsoft Intune или System Center Configuration Manager.Require users to join their Windows PCs to an Active Directory Domain or enroll their PCs into management with Microsoft Intune or System Center Configuration Manager.
Применять параметры безопасности с помощью объектов групповой политики (GPO) или политики Configuration Manager для ПК в составе доменаApply security settings via group policy objects (GPO) or Configuration Manager policies for domain joined PCs Развертывание политики по настройке управляемых ПК для включения BitLocker, антивирусного ПО и брандмауэра.Deploy policies that configure managed PCs to enable BitLocker, enable anti-virus, and enable firewall.
Требовать управление мобильными устройствами пользователейRequire user mobile device management Требовать, чтобы управление устройствами пользователей, используемых для доступа к электронной почте, осуществлялось с помощью Intune или требовать, чтобы доступ к корпоративной электронной почте выполнялся только с помощью мобильных почтовых приложений, защищенных политиками защиты приложений Intune, например Outlook Mobile.Require that user devices used to access email are managed by Intune or company email is accessed only through mobile email apps protected by Intune App Protection policies such as Outlook Mobile.
Применять политику соответствия устройства Intune на управляемых устройствахApply an Intune Device Compliance Policy on managed devices Применение политики соответствия требованиям Intune для управляемых корпоративных мобильных устройств и ПК под управлением Intune, которая требует: ПИН-код с минимальной длиной в 6 символов, шифрование устройств, работоспособные устройства (без снятой защиты, с административным доступом, прошедшие аттестацию работоспособности) и, если доступно, требовать устройства с низким уровнем риска, как определено сторонними MTP, например Lookout или SkyCure.Apply an Intune Device Compliance Policy for managed corporate mobile devices and Intune-managed PCs that requires: a PIN with minimum length 6, device encryption, a healthy device (is not jailbroken, rooted; passes health attestation), and, if available, require devices that are low risk as determined by a third-party MTP like Lookout or SkyCure.
Применять политику защиты приложений Intune для управляемых приложений, работающих на неуправляемых устройствахApply an Intune App Protection Policy for managed apps running on unmanaged devices Применение политики защиты приложений Intune для управляемых приложений, работающих на неуправляемых личных мобильных устройствах, которая требует: ПИН-код с минимальной длиной в 6 символов, шифрование устройств, работоспособные устройства (без снятой защиты, с административным доступом, прошедшие аттестацию работоспособности).Apply an Intune App Protection Policy for managed apps running on unmanaged, personal mobile devices to require: a PIN with minimum length 6, device encryption, and that the device is healthy (is not jailbroken, rooted; passes health attestation).

Воздействие на пользователейUser impact

В большинстве организаций важно обозначить ожидания пользователей относительно моментов и условий входа в Office 365, чтобы получить доступ к электронной почте.For most organizations, it is important to be able to set user expectations around when and for which conditions they will be expected to sign into Office 365 to access their email.

Как правило, пользователи успешно используют единый вход (SSO), за исключением следующих ситуаций:Users typically benefit from single sign-on (SSO) except during the following situations:

  • При запросе маркеров проверки подлинности для Exchange Online:When requesting authentication tokens for Exchange Online:
    • Пользователям может быть предложено пройти многофакторную идентификацию, если обнаружен средний или более высокий уровень риска при входе и они еще не выполнили многофакторную идентификацию в текущих сеансах.Users may be asked to MFA whenever a medium or above sign-in risk is detected and users has not yet performed MFA in their current sessions.
    • Пользователи должны будут либо использовать почтовые приложения, поддерживающие пакет SDK для защиты приложений Intune, либо обращаться к электронной почте с устройств, соответствующих требованиям Intune, или устройств, присоединенных к домену AD.Users will be required to either use email apps that support the Intune App Protection SDK or access emails from Intune compliant or AD domain-joined devices.
  • Пользователю с высоким уровнем риска при входе, успешно прошедшему многофакторную идентификацию, будет предложено сменить пароль.When users at risk sign-in, and successfully complete MFA, they will be asked to change their password.

КонфиденциальныйSensitive

В этом разделе описываются рекомендации по конфиденциальному уровню защиты данных, удостоверений и устройств.This section describes the recommendations for the sensitive tier of data, identity, and device protection. Эти рекомендации предназначены клиентам, располагающим данными, которые должны быть защищены на более высоком уровне, или им необходимо обеспечить высокий уровень защиты всех данных.These recommendations are for customers who have a subset of data that must be protected at higher levels or require all data to be protected at these higher levels.

Можно применить усиленную защиту ко всем или конкретным наборам данных в среде Office 365.You can apply increased protection to all or specific data sets in your Office 365 environment. Например, можно применить политики, обеспечивающие обмен конфиденциальными данными только в защищенных приложениях, чтобы предотвратить потерю данных.For example, you can apply policies to ensure sensitive data is only shared between protected apps to prevent data loss. Рекомендуется защищать удостоверения и устройства, обращающиеся к конфиденциальным данным, с помощью сравнимых уровней безопасности.We recommend protecting identities and devices that access sensitive data with comparable levels of security.

Параметры политики условного доступаConditional access policy settings

Защита идентификацииIdentity protection

Можно предоставить пользователям возможности единого входа (SSO), описанные в предыдущих разделах.You can give users single sign-on (SSO) experience as described in earlier sections. Вмешательство допускается только при возникновении событий рисков.You only need to intervene when necessary based on risk events.

  • Требовать многофакторную идентификацию в сеансах с низким или более высоким уровнем рискаRequire MFA on low or above risk sessions
  • Требовать у пользователей с высоким уровнем риска смену паролейRequire secure password change for high risk users

Важно!

Для этой рекомендуемой политики требуются синхронизация паролей и самостоятельный сброс пароля.Password synchronization and self-service password reset are required for this policy recommendation.

Защита от потери данныхData loss prevention

Политики управления приложениями и устройствами предназначены для защиты от потери данных в случае потери или кражи устройства.The goal for these device and app management policies is to protect data loss in the event of a lost or stolen device. Необходимо защитить доступ к данным с помощью ПИН-кода, шифрования данных на устройстве, а также обеспечить безопасность устройства.You can do this by ensuring that access to data is protected by a PIN, that the data is encrypted on the device, and that the device is not compromised.

Рекомендуемая политикаPolicy recommendation ОписаниеDescription
Требовать управление ПК пользователейRequire user PC management Требовать у пользователей присоединить ПК к домену Active Directory или зарегистрировать ПК для управления с помощью Intune или Configuration Manager и обеспечить соответствие этих устройств политикам, прежде чем разрешить доступ к электронной почте.Require users to join their PCs to an Active Directory Domain or enroll their PCs into management with Intune or Configuration Manager and ensure those devices are compliant with policies before allowing email access.
Применять параметры безопасности с помощью объектов групповой политики (GPO) или политики Configuration Manager для ПК в составе доменаApply security settings via group policy objects (GPO) or Configuration Manager policies for domain joined PCs Развертывание политики по настройке управляемых ПК для включения BitLocker, антивирусного ПО и брандмауэра.Deploy policies that configure managed PCs to enable BitLocker, enable anti-virus, and enable firewall.
Требовать управление мобильными устройствами пользователейRequire user mobile device management Требовать, чтобы управление устройствами пользователей, используемых для доступа к электронной почте, осуществлялось с помощью Intune или требовать, чтобы доступ к корпоративной электронной почте выполнялся только с помощью мобильных почтовых приложений, защищенных политиками защиты приложений Intune, например Outlook Mobile.Require that user devices used to access email are managed by Intune or company email is accessed only through mobile email apps protected by Intune App Protection policies such as Outlook Mobile.
Применять политику соответствия устройства Intune на управляемых устройствахApply an Intune Device Compliance Policy on managed devices Применение политики соответствия требованиям Intune для управляемых корпоративных мобильных устройств и ПК под управлением Intune, которая требует: ПИН-код с минимальной длиной в 6 символов, шифрование устройств, работоспособные устройства (без снятой защиты, с административным доступом, прошедшие аттестацию работоспособности) и, если доступно, требовать устройства с низким уровнем риска, как определено сторонними MTP, например Lookout или SkyCure.Apply an Intune Device Compliance Policy for managed corporate mobile devices and Intune-managed PCs that requires: a PIN with minimum length 6, device encryption, a healthy device (is not jailbroken, rooted; passes health attestation), and if available, require devices that are low risk as determined by a third-party MTP like Lookout or SkyCure.
Применять политику защиты приложений Intune для управляемых приложений, работающих на неуправляемых устройствахApply an Intune App Protection Policy for managed apps running on unmanaged devices Применение политики защиты приложений Intune для управляемых приложений, работающих на неуправляемых личных мобильных устройствах, которая требует: ПИН-код с минимальной длиной в 6 символов, шифрование устройств, работоспособные устройства (без снятой защиты, с административным доступом, прошедшие аттестацию работоспособности).Apply an Intune App Protection Policy for managed apps running on unmanaged, personal mobile devices to require: a PIN with minimum length 6, device encryption, and that the device is healthy (is not jailbroken, rooted; passes health attestation).

Воздействие на пользователейUser impact

В большинстве организаций важно обозначить ожидания пользователей относительно моментов и условий входа в систему электронной почты Office 365.For most organizations, it is important to be able to set expectations for users specific to when and under what conditions they will be expected to sign into Office 365 email.

Как правило, пользователи успешно используют единый вход (SSO), за исключением следующих ситуаций:Users typically benefit from single sign-on (SSO) except under the following situations:

  • При запросе маркеров проверки подлинности для Exchange Online:When requesting authentication tokens for Exchange Online:
    • Пользователям будет предложено пройти многофакторную идентификацию, если обнаружен низкий или более высокий уровень риска при входе и они еще не выполнили многофакторную идентификацию в текущих сеансах.Users will be asked to MFA whenever a low or above sign-in risk is detected and users has not yet performed MFA in their current sessions.
    • Пользователи должны будут либо использовать почтовые приложения, поддерживающие пакет SDK для защиты приложений Intune, либо обращаться к электронной почте с устройств, соответствующих требованиям Intune, или устройств, присоединенных к домену AD.Users will be required to either use email apps that support the Intune App Protection SDK or access emails from Intune compliant or AD domain-joined devices.
  • Пользователю с высоким уровнем риска при входе, успешно прошедшему многофакторную идентификацию, будет предложено сменить пароль.When users at risk sign-in, and successfully complete MFA, they will be asked to change their password.

Строго регулируемый уровеньHighly regulated

В этом разделе описываются рекомендации по строго регулируемому уровню защиты данных, удостоверений и устройств.This section describes the recommendations for the highly regulated tier of data, identity, and device protection. Эти рекомендации предназначены для клиентов с весьма небольшим объемом данных, являющихся строго засекреченными, регулируемыми или представляющими коммерческую тайну.These recommendations are for customers who may have a very small amount of data that is highly classified, trade secret, or regulated data. Корпорация Майкрософт предоставляет возможности, позволяющие организациям соответствовать этим требованиям, включая дополнительную защиту для удостоверений и устройств.Microsoft provides capabilities to help organizations meet these requirements, including added protection for identities and devices.

Параметры политики условного доступаConditional access policy settings

Защита идентификацииIdentity protection

Для строго регулируемого уровня корпорация Майкрософт рекомендует применять многофакторную идентификацию для всех новых сеансов.For the highly regulated tier Microsoft recommends enforcing MFA for all new sessions.

  • Требовать многофакторную идентификацию для всех новых сеансовRequire MFA for all new sessions
  • Требовать у пользователей с высоким уровнем риска смену паролейRequire secure password change for high risk users

Важно!

Для этой рекомендуемой политики требуются синхронизация паролей и самостоятельный сброс пароля.Password synchronization and self-service password reset are required for this policy recommendation.

Предотвращение потери данныхData Loss Prevention

Политики управления приложениями и устройствами предназначены для защиты от потери данных в случае потери или кражи устройства.The goal for these device and app management policies is to prevent data loss in the event of a lost or stolen device. Необходимо защитить доступ к данным с помощью ПИН-кода, шифрования данных на устройстве, а также обеспечить безопасность устройства.This is done by ensuring that access to data is protected by a PIN, that the data is encrypted on the device, and that the device is not compromised.

Для строго регулируемого уровня рекомендуется требовать приложения, которые поддерживают политику защиты приложений Intune, работающие только на устройствах, соответствующих требованиям Intune, или устройствах, присоединенных к домену AD.For the highly regulated tier, we recommend requiring apps that support Intune App Protection policy running only on Intune compliant or domain-joined devices.

Рекомендуемая политикаPolicy recommendation ОписаниеDescription
Требовать управление ПК пользователейRequire user PC management Требовать у пользователей присоединить ПК Windows к домену Active Directory или зарегистрировать ПК для управления с помощью Intune или Configuration Manager и обеспечить соответствие этих устройств политикам, прежде чем разрешить доступ к электронной почте.Require users to join their Windows PCs to an Active Directory Domain, or enroll their PCs into management with Intune or Configuration Manager and ensure those devices are compliant with policies before allowing email access.
Применять параметры безопасности с помощью объектов групповой политики (GPO) или политики Configuration Manager для ПК в составе доменаApply security settings via group policy objects (GPO) or Configuration Manager policies for domain joined PCs Развертывание политики по настройке управляемых ПК для включения BitLocker, антивирусного ПО и брандмауэра.Deploy policies that configure managed PCs to enable BitLocker, enable anti-virus, and enable firewall.
Требовать управление мобильными устройствами пользователейRequire user mobile device management Требовать, чтобы управление устройствами, используемыми для доступа к электронной почте и файлам Office 365, осуществлялось с помощью Intune, или требовать, чтобы доступ к корпоративной электронной почте выполнялся только с помощью мобильных почтовых приложений, защищенных политиками защиты приложений Intune, например Outlook Mobile.Require that devices used to access Office 365 email and files are managed by Intune or company email is accessed only through mobile email apps protected by Intune App Protection policies such as Outlook Mobile.
Применять политику соответствия устройства Intune на управляемых устройствахApply an Intune Device Compliance Policy on managed devices Применение политики соответствия требованиям Intune для управляемых корпоративных мобильных устройств и ПК под управлением Intune, которая требует: ПИН-код с минимальной длиной в 6 символов, шифрование устройств, работоспособные устройства (без снятой защиты, с административным доступом, прошедшие аттестацию работоспособности) и, если доступно, требовать устройства с низким уровнем риска, как определено сторонними MTP, например Lookout или SkyCure.Apply an Intune Device Compliance Policy for managed corporate mobile devices and Intune-managed PCs that requires: a PIN with minimum length 6, device encryption, a healthy device (is not jailbroken, rooted; passes health attestation), and, if available, require devices that are Low risk as determined by a third-party MTP like Lookout or SkyCure.

Воздействие на пользователейUser impact

В большинстве организаций важно обозначить ожидания пользователей относительно моментов и условий входа в файлы Office 365.For most organizations, it is important to be able to set expectations for users specific to when and under what conditions they will be expected to sign into Office 365 files.

  • Пользователям со строго регулируемым уровнем нужно будет повторно проходить многофакторную идентификацию после истечения времени сеанса.Users configured as highly regulated will be required to re-authenticate with MFA after their session expires.
  • Пользователям с высоким уровнем риска при входе, успешно прошедшим многофакторную идентификацию, будет предложено сменить пароли.When users at risk sign-in they will be asked to change their password after completing MFA.
  • При запросе маркеров проверки подлинности для Exchange Online:When requesting authentication tokens for Exchange Online:
    • пользователям будет предложено проходить многофакторную идентификацию при каждом запуске сеанса;Users will be asked to perform MFA whenever they begin a new session.
    • пользователи должны будут использовать почтовые приложения, которые поддерживают пакет SDK для защиты приложений Intune;Users will be required to use email apps that support the Intune App Protection SDK
    • пользователи должны будут обращаться к сообщениям электронной почты с устройств, соответствующих требованиям Intune, или устройств, присоединенных к домену AD.Users will be required to access emails from Intune compliant or AD domain-joined devices.

Дальнейшие действияNext steps

Узнайте о рекомендуемых политиках для защиты электронной почтыLearn about policy recommendations for securing email