Конфигурации удостоверений и доступа к устройствам zero Trust

Область применения

Архитектур безопасности, которые используют сетевые брандмауэры и виртуальные частные сети (VPN) для изоляции и ограничения доступа к технологическим ресурсам и службам организации, больше недостаточно для сотрудников, которые регулярно требуют доступа к приложениям и ресурсам, которые существуют за пределами традиционных корпоративных сетевых границ.

Чтобы решить этот новый мир вычислений, Корпорация Майкрософт настоятельно рекомендует модель безопасности Zero Trust, основанную на этих руководящих принципах:

  • Проверка явно

    Всегда проверка подлинности и авторизации на основе всех доступных точек данных. Здесь политики удостоверений и доступа к устройствам Zero Trust имеют решающее значение для регистрации и текущей проверки.

  • Использование доступа к наименьшим привилегиям

    Ограничить доступ пользователей с помощью политик простого времени и простого доступа (JIT/JEA), адаптивной политики на основе рисков и защиты данных.

  • Предположить нарушение

    Свести к минимуму радиус взрыва и доступ к сегменту. Проверьте сквозное шифрование и используйте аналитику, чтобы получить представление о ситуации, выявить угрозы и улучшить защиту.

Вот общая архитектура Zero Trust.

Архитектура Microsoft Zero Trust

Политики удостоверений и доступа к устройствам Zero Trust адресовывался явно руководящий принцип Проверки:

  • Удостоверения

    Когда удостоверение пытается получить доступ к ресурсу, убедитесь, что удостоверение с сильной проверкой подлинности и убедитесь, что запрашиваемого доступа является совместимым и типичным.

  • Устройства (также называемые конечными точками)

    Мониторинг и соблюдение требований к состоянию и требованиям соответствия требованиям для безопасного доступа.

  • Приложения

    Применение элементов управления и технологий для обнаружения теневых ИТ, обеспечения соответствующих разрешений в приложении, доступа к воротам на основе аналитики в режиме реального времени, мониторинга ненормального поведения, управления действиями пользователя и проверки параметров безопасной конфигурации.

В этой серии статей описывается набор необходимых конфигураций доступа к удостоверениям и устройствам, а также набор условного доступа Azure Active Directory (Azure AD), Microsoft Intune и других политик для доступа к Microsoft 365 для корпоративных облачных приложений и служб, других служб SaaS и локального приложения, опубликованных с помощью прокси-сервера Azure AD Application.

Параметры и политики доступа к удостоверениям и устройствам zero Trust рекомендуется использовать в трех уровнях: отправная точка, корпоративная и специализированная безопасность для сред с высокорегулируемой или секретной информацией. Эти уровни и соответствующие конфигурации обеспечивают согласованные уровни защиты Zero Trust в ваших данных, удостоверениях и устройствах.

Эти возможности и их рекомендации:

Если в организации есть уникальные требования к среде или сложности, используйте эти рекомендации в качестве отправной точки. Однако большинство организаций могут выполнять эти рекомендации по назначению.

Просмотрите это видео для быстрого обзора конфигураций доступа к удостоверениям и устройствам для Microsoft 365 для предприятия.


Примечание

Корпорация Майкрософт также продает Enterprise Mobility + Security (EMS) для Office 365 подписки. Возможности EMS E3 и EMS E5 эквивалентны возможностям в Microsoft 365 E3 и Microsoft 365 E5. Подробные сведения см. в планах EMS.

Целевая аудитория

Эти рекомендации предназначены для корпоративных архитекторов и ИТ-специалистов, знакомых с Microsoft 365 облачными службами и службами безопасности, которые включают Azure AD (identity), Microsoft Intune (управление устройствами) и Microsoft Information Protection (защита данных).

Клиентская среда

Рекомендуемые политики применимы к корпоративным организациям, работающим как полностью в облаке Майкрософт, так и для клиентов с гибридной инфраструктурой удостоверений, которая является локальной лесовой служб домена Active Directory, синхронизируемым с клиентом Azure AD.

Многие из предоставленных рекомендаций зависят от служб, доступных только Microsoft 365 E5, Microsoft 365 E3 с надстройки E5 Security, EMS E5 или Azure AD Premium P2 лицензиями.

Для тех организаций, у которых нет этих лицензий, Корпорация Майкрософт рекомендует по крайней мере реализовать по умолчанию безопасность,которая включена во все Microsoft 365 планов.

Оговорки

К вашей организации могут применяться нормативные или другие требования, в том числе конкретные рекомендации, которые могут потребовать применения политик, которые отличаются от этих рекомендуемых конфигураций. В этих конфигурациях рекомендуется использовать элементы управления, которые исторически недоступны. Мы рекомендуем использовать эти элементы управления, так как считаем, что они представляют собой баланс между безопасностью и производительностью.

Мы сделали все возможное, чтобы учитывать самые разнообразные требования к организационной защите, но мы не можем учитывать все возможные требования или все уникальные аспекты вашей организации.

Три уровня защиты

Большинство организаций предъявляет особые требования, касающиеся безопасности и защиты данных. Эти требования зависят от отраслевого сегмента и должностных обязанностей в организации. Например, вашему юридическому отделу и администраторам могут потребоваться дополнительные средства контроля безопасности и защиты информации в их электронной переписке, которые не требуются для других подразделений бизнеса.

Кроме того, в каждой отрасли существует собственный набор специализированных нормативных предписаний. Вместо предоставления списка всех возможных вариантов безопасности или рекомендации для каждого сегмента отрасли или функции задания предоставляются рекомендации для трех различных уровней безопасности и защиты, которые могут применяться в зависимости от детализации ваших потребностей.

  • Отправная точка. Мы рекомендуем всем клиентам установить и использовать минимальный стандарт для защиты данных, а также удостоверений и устройств, которые имеют доступ к вашим данным. Вы можете следовать этим рекомендациям, чтобы обеспечить сильную защиту по умолчанию в качестве отправной точки для всех организаций.
  • Enterprise. Некоторые клиенты имеют подмножество данных, которые должны быть защищены на более высоких уровнях, или они могут требовать защиты всех данных на более высоком уровне. Вы можете применять повышенную защиту для всех или определенных наборов данных в Microsoft 365 среде. Рекомендуется защищать удостоверения и устройства, обращающиеся к конфиденциальным данным, с помощью сравнимых уровней безопасности.
  • Специализированная безопасность. При необходимости несколько клиентов имеют небольшое количество данных, которые высоко классифицируются, представляют собой секреты торговли или регулируются. Корпорация Майкрософт предоставляет возможности, которые помогут этим клиентам выполнить эти требования, включая добавленную защиту удостоверений и устройств.

Конус безопасности — все > некоторые клиенты > несколько клиентов

В этом руководстве показано, как реализовать защиту Zero Trust для удостоверений и устройств для каждого из этих уровней защиты. Используйте это руководство как минимум для организации и отрегулируете политики, чтобы соответствовать определенным требованиям организации.

Важно использовать согласованные уровни защиты между удостоверениями, устройствами и данными. Например, защита пользователей с приоритетными учетными записями, такими как руководители, руководители, руководители и другие, должна включать одинаковый уровень защиты для их удостоверений, устройств и данных, к которые они — — имеют доступ.

Кроме того, см. в инструкции Deploy information protection for data privacy regulations solution to protect information stored in Microsoft 365.

Баланс между безопасностью и производительностью

Реализация любой стратегии безопасности требует компромиссов между безопасностью и производительностью. Полезно оценить, как каждое решение влияет на баланс безопасности, функциональности и простоты использования.

Триада безопасности, балансирующая безопасность, функциональность и простоту использования.

Предоставляемые рекомендации основаны на следующих принципах:

  • Знайте пользователей и будьте гибкими к их требованиям безопасности и функциональным требованиям.
  • Применяем политику безопасности как раз вовремя и убедитесь, что она имеет смысл.

Службы и концепции для удостоверений zero Trust и защиты доступа к устройствам

Microsoft 365 для предприятий предназначена для крупных организаций, чтобы дать всем возможность быть творческими и безопасно работать вместе.

В этом разделе представлен обзор Microsoft 365 служб и возможностей, важных для удостоверения Zero Trust и доступа к устройствам.

Azure AD

Azure AD предоставляет полный набор возможностей управления удостоверениями. Мы рекомендуем использовать эти возможности для обеспечения доступа.

Возможность или функция Описание Лицензирование
многофакторная проверка подлинности (MFA); MFA требует, чтобы пользователи предоставили две формы проверки, например пароль пользователя, а также уведомление из приложения Microsoft Authenticator или телефонного звонка. MFA значительно снижает риск использования украденных учетных данных для доступа к среде. Microsoft 365 служба многофакторной проверки подлинности Azure AD для входных входов на основе MFA. Microsoft 365 E3 или E5
Условный доступ Azure AD оценивает условия входных данных пользователя и использует политики условного доступа для определения разрешенного доступа. Например, в этом руководстве мы покажем, как создать политику условного доступа, требуемую соответствия устройств доступу к конфиденциальным данным. Это значительно снижает риск того, что хакер с собственным устройством и украденными учетными данными может получить доступ к конфиденциальным данным. Он также защищает конфиденциальные данные на устройствах, так как устройства должны соответствовать определенным требованиям к безопасности и безопасности. Microsoft 365 E3 или E5
Группы Azure AD Политики условного доступа, управление устройствами с помощью Intune и даже разрешения на файлы и сайты в организации зависят от назначения учетным записям пользователей или группам Azure AD. Рекомендуется создавать группы Azure AD, соответствующие уровням защиты, которые вы реализуете. Например, у ваших сотрудников, скорее всего, более высокие целевые значения для хакеров. Поэтому имеет смысл добавить учетные записи этих сотрудников в группу Azure AD и назначить эту группу политикам условного доступа и другим политикам, которые обеспечивает более высокий уровень защиты для доступа. Microsoft 365 E3 или E5
Регистрация устройства Чтобы создать удостоверение для устройства, необходимо зарегистрить устройство в Azure AD. Этот идентификатор используется для проверки подлинности устройства при входе пользователя и применения политик условного доступа, которые требуют компьютеров, присоединенных к домену или совместимых с ним. В этом руководстве мы используем регистрацию устройств для автоматической регистрации на компьютерах с Windows доменами. Регистрация устройств является обязательным условием для управления устройствами с помощью Intune. Microsoft 365 E3 или E5
Защита идентификации Azure AD Позволяет обнаруживать потенциальные уязвимости, влияющие на удостоверения организации, и настраивать автоматизированную политику восстановления с низким, средним и высоким уровнем риска и риска для пользователей. Это руководство опирается на эту оценку риска для применения политик условного доступа для многофакторной проверки подлинности. В этом руководстве также содержится политика условного доступа, которая требует от пользователей изменить пароль, если обнаружена высокая активность для учетной записи. Microsoft 365 E5 Microsoft 365 E3 с надстройки E5 Security, EMS E5 или Azure AD Premium P2 лицензий
Сброс пароля самообслуживаемого (SSPR) Разрешить пользователям безопасно и без вмешательства службы поддержки сбросить пароли, предоставив проверку нескольких методов проверки подлинности, которые может контролировать администратор. Microsoft 365 E3 или E5
Защита паролей Azure AD Обнаружение и блокировка известных слабых паролей и их вариантов и дополнительных слабых терминов, которые являются специфическими для вашей организации. Общие списки заблокированных паролей по умолчанию автоматически применяются ко всем пользователям в клиенте Azure AD. Дополнительные элементы можно определить в настраиваемом списке заблокированных паролей. При изменении или сбросе паролей пользователями эти списки заблокированных паролей проверяются с целью обеспечения использования надежных паролей. Microsoft 365 E3 или E5

Ниже компоненты удостоверений и доступа к устройствам Zero Trust, включая объекты Intune и Azure AD, параметры и подсервисы.

Компоненты идентификатора Zero Trust и доступа к устройствам.

Microsoft Intune

Intune — это облачная служба управления мобильными устройствами Майкрософт. В этом руководстве рекомендуется управление устройствами Windows компьютеров с Помощью Intune, а также рекомендуется конфигурация политик соответствия требованиям устройств. Intune определяет соответствие устройств требованиям и отправляет эти данные в Azure AD для использования при применении политик условного доступа.

Защита приложений intune

Политики защиты приложений intune можно использовать для защиты данных организации в мобильных приложениях, с помощью или без регистрации устройств в управление. Intune помогает защитить информацию, убедившись, что ваши сотрудники по-прежнему могут быть продуктивными и предотвратить потерю данных. Реализуя политики на уровне приложений, вы можете ограничить доступ к ресурсам компании и хранить данные в пределах управления ИТ-отделом.

В этом руководстве показано, как создавать рекомендуемые политики для обеспечения использования утвержденных приложений и определения возможности использования этих приложений с бизнес-данными.

Microsoft 365

В этом руководстве показано, как реализовать набор политик для защиты доступа к облачным службам Microsoft 365, включая Microsoft Teams, Exchange, SharePoint и OneDrive. В дополнение к реализации этих политик мы рекомендуем также повысить уровень защиты клиента с помощью этих ресурсов:

Windows 11 или Windows 10 с Приложения Microsoft 365 для предприятий

Windows 11 или Windows 10 с Приложения Microsoft 365 для предприятий является рекомендуемой клиентской средой для компьютеров. Мы рекомендуем Windows 11 или Windows 10, так как Azure предназначена для обеспечения максимально плавного использования как локального, так и Azure AD. Windows 11 или Windows 10 также включает расширенные возможности безопасности, которые можно управлять через Intune. Приложения Microsoft 365 для предприятий включает в себя последние версии Office приложений. В них используется современная проверка подлинности, которая является более безопасной и необходимой для условного доступа. Эти приложения также включают расширенные средства обеспечения соответствия требованиям и безопасности.

Применение этих возможностей на трех уровнях защиты

В следующей таблице обобщены рекомендации по использованию этих возможностей на трех уровнях защиты.

Механизм защиты Отправная точка Корпоративный Специализированная безопасность
Применять MFA При среднем или более высоком уровне риска при входе При низком или более высоком уровне риска при входе Для всех новых сеансов
Принудительное изменение пароля Для пользователей с высоким уровнем риска Для пользователей с высоким уровнем риска Для пользователей с высоким уровнем риска
Обеспечение защиты приложений Intune Да Да Да
Обеспечение регистрации Intune для устройства, наемного в организации Требуется совместимый или присоединились к домену ПК, но позволяют принести собственные устройства (BYOD) телефоны и планшеты Требуются совместимые или присоединимые к домену устройства Требуются совместимые или присоединимые к домену устройства

Владение устройствами

В этой таблице отражена тенденция многих организаций поддерживать сочетание устройств, которые принадлежат организации, а также персональных или BYOD для обеспечения производительности мобильных устройств в рабочей силе. Политики защиты приложений intune гарантируют защиту электронной почты от exfiltrating из мобильного приложения Outlook и других Office мобильных приложений как на устройствах организации, так и в byOD.

Мы рекомендуем управлять устройствами, управляемыми intune или с помощью домена, для применения дополнительных средств защиты и управления. В зависимости от конфиденциальности данных организация может не разрешать byODs для определенных групп пользователей или определенных приложений.

Развертывание и приложения

Перед настройкой и развертывание идентификатора Zero Trust и конфигурации доступа к устройствам для приложений, интегрированных в Azure AD, необходимо:

  • Определите, какие приложения, используемые в организации, необходимо защитить.

  • Анализ этого списка приложений, чтобы определить наборы политик, которые обеспечивают соответствующие уровни защиты.

    Не следует создавать отдельные наборы политик для каждого приложения, так как управление ими может стать громоздким. Корпорация Майкрософт рекомендует группу приложений с одинаковыми требованиями к защите для тех же пользователей.

    Например, можно использовать один набор политик, которые включают все приложения Microsoft 365 для всех пользователей для защиты отправных точек, а второй набор политик для всех конфиденциальных приложений, например тех, которые используются отделами кадров или финансов, и применить их к этим группам.

После того как вы определите набор политик для приложений, которые необходимо обезопасить, выкатите политики для пользователей постепенно, решая проблемы по пути.

Например, настройте политики, которые будут использоваться для всех приложений Microsoft 365 только для Exchange с дополнительными изменениями для Exchange. Выкатите эти политики для пользователей и проработать любые проблемы. Затем добавьте Teams с его дополнительными изменениями и выкатите это пользователям. Затем добавьте SharePoint с его дополнительными изменениями. Продолжайте добавлять остальные приложения, пока вы не сможете уверенно настроить эти политики начальной точки, чтобы включить все Microsoft 365 приложения.

Аналогичным образом, для конфиденциальных приложений создайте набор политик и добавьте по одному приложению одновременно и проработать все проблемы, пока все они не будут включены в набор конфиденциальной политики приложений.

Корпорация Майкрософт рекомендует не создавать наборы политик, применимые к всем приложениям, так как это может привести к непреднамеренным конфигурациям. Например, политики, которые блокируют все приложения, могут блокировать администраторов на портале Azure, и исключения не могут быть настроены для важных конечных точек, таких как Microsoft Graph.

Действия по настройке идентификатора Zero Trust и доступа к устройствам

Действия по настройке идентификатора Zero Trust и доступа к устройству.

  1. Настройка необходимых функций удостоверений и их параметров.
  2. Настройка общих политик удостоверений и доступа к условному доступу.
  3. Настройка политик условного доступа для гостевых и внешних пользователей.
  4. Настройте политики условного доступа для Microsoft 365 облачных приложений, таких как Microsoft Teams, Exchange и SharePoint и Microsoft Defender для политик — — облачных приложений.

После настройки идентификатора Zero Trust и доступа к устройствам см. в руководстве по развертыванию компонентов Azure AD для поэтапного контрольного списка дополнительных функций, которые необходимо рассмотреть, и Azure AD Identity Governance для защиты, мониторинга и аудита доступа.

Следующий шаг

Необходимые условия для реализации политик удостоверений и доступа к устройствам Zero Trust