Distributionsplan för Microsoft 365 Noll förtroende
Den här artikeln innehåller en distributionsplan för att skapa Zero Trust Security med Microsoft 365. Zero Trust är en ny säkerhetsmodell som förutsätter intrång och verifierar varje begäran som om den kommer från ett översebart nätverk. Oavsett var begäran kommer ifrån eller vilken resurs den kommer åt får vi lära oss i modellen noll trust att "aldrig lita på, alltid verifiera".
Säkerhetsarkitekturen Zero Trust
En metod med noll förtroende utökas över hela digitala egendomen och fungerar som en integrerad säkerhetsstrategi.
I den här bilden visas de primära elementen som bidrar till nollförtroende.
På bilden:
- Tillämpning av säkerhetspolicyn är i mitten av en nollförtroendearkitektur. Detta omfattar multifaktorautentisering med villkorsstyrd åtkomst som tar hänsyn till risker för användarkonton, enhetsstatus och andra villkor och principer som du anger.
- Identiteter, enheter, data, appar, nätverk och andra infrastrukturkomponenter är konfigurerade med lämplig säkerhet. Principer som har konfigurerats för var och en av dessa komponenter koordineras med din övergripande nollförtroendestrategi. Enhetsprinciperna bestämmer till exempel kriterierna för felfria enheter och villkorsstyrda åtkomstprinciper kräver felfria enheter för åtkomst till specifika appar och data.
- Skydd mot hot och information övervakar miljön, visar aktuella risker och vidtar automatiska åtgärder för att åtgärda attacker.
Mer information om Zero Trust finns i Informationscenter för Microsofts nollförtroende.
Distribuera nollförtroende för Microsoft 365
Microsoft 365 har skapats avsiktligt med många funktioner för säkerhets- och informationsskydd så att du kan bygga in Zero Trust i din miljö. Många av funktionerna kan utökas för att skydda åtkomsten till andra SaaS-appar som din organisation använder och data i dessa appar.
Den här bilden representerar arbetet med att distribuera nollförtroendefunktioner. Det här arbetet delas in i arbetsenheter som kan konfigureras tillsammans, med början längst ned och längst upp för att säkerställa att arbetet som krävs är slutfört.
I den här illustrationen:
- Zero Trust börjar med en grund för identitet och enhetsskydd.
- Funktionerna för skydd mot hot bygger på denna grund för att tillhandahålla övervakning i realtid och åtgärda säkerhetshot.
- Informationsskydd och styrning ger avancerade kontroller som är riktade till vissa typer av data för att skydda din mest värdefulla information och för att hjälpa dig att uppfylla efterlevnadsstandarder, inklusive för att skydda personlig information.
Steg 1. Konfigurera nollförtroendeidentitet och enhetsåtkomstskydd – startprinciper
Det första steget är att skapa din Zero Trust Foundation genom att konfigurera identitets- och enhetsåtkomstskydd.
Gå till Noll förtroende-identitet och enhetåtkomstskydd för anvisningar om hur du gör detta. Den här serien med artiklar beskriver en uppsättning konfigurationer för identitets- och enhetsåtkomstkrav och en uppsättning konfigurationer av Azure Active Directory villkorsstyrd åtkomst (Azure AD), Microsoft Intune och andra principer för att skydda åtkomst till Microsoft 365 för företagsmolnappar och -tjänster, andra SaaS-tjänster och lokala program som publicerats med Azure AD-programproxy.
| Inkluderar | Förutsättningar | Inkluderar inte |
|---|---|---|
| Rekommenderade identitets- och enhetsåtkomstprinciper för tre nivåer av skydd: - Startpunkt - Enterprise (rekommenderas) - Specialiserade Ytterligare rekommendationer för: - Externa användare (gäster) - Microsoft Teams - SharePoint Online - Microsoft Defender för molnappar |
Microsoft E3 eller E5 Azure Active Directory i något av följande lägen: - Endast molnet - Hybrid med synkronisering av lösenordshashar (PHS) - Hybrid med direktautentisering (PTA) - Federerad |
Enhetsregistrering för principer som kräver hanterade enheter. Se "Hantera slutpunkter med Intune" för att registrera enheter |
Börja med att implementera startnivån. De här principerna kräver inte att enheter registreras i hantering.
Steg 2. Hantera slutpunkter med Intune
Sedan kan du registrera dina enheter och börja skydda dem med mer avancerade kontroller.
Gå till Hantera enheter med Intune för anvisningar om hur du gör detta.
| Inkluderar | Förutsättningar | Inkluderar inte |
|---|---|---|
| Registrera enheter med Intune - Företagsägda enheter - Auto Autopilot/automatiserad - registrering Konfigurera principer - Principer för appskydd - Efterlevnadsprinciper - Principer för enhetsprofiler |
Registrera slutpunkter med Azure AD | Konfigurera funktioner för informationsskydd, till exempel: - Typer av känslig information - Etiketter - DLP-principer Information om de här funktionerna finns i Steg 5. Skydda och reglera data (senare i den här artikeln). |
Steg 3. Lägg till nollförtroendeidentitet och enhetsskydd – Företagsprinciper
Med enheter som har registrerats för hantering kan du nu implementera en fullständig uppsättning rekommenderade principer för nollförtroendeidentitet och enhetsåtkomst, vilket kräver kompatibla enheter.
Återgå till Common-identitets- och enhetsåtkomstprinciper och lägg till principerna på företagsnivå.
Steg 4. Utvärdera, pilottesta och distribuera Microsoft 365 Defender
Microsoft 365 Defender är en utökad lösning för identifiering och svar (XDR) som automatiskt samlar in, korrelerar och analyserar signal-, hot- och aviseringsdata från din Microsoft 365-miljö, inklusive slutpunkt, e-post, program och identiteter.
Gå till Utvärdera och pilottesta Microsoft 365 Defender en metodisk guide för att pilottesta och distribuera Microsoft 365 Defender komponenter.
| Inkluderar | Förutsättningar | Inkluderar inte |
|---|---|---|
| Konfigurera utvärderings- och pilotmiljön för alla komponenter: - Defender för identitet - Defender för Office 365 - Defender för Slutpunkt - Microsoft Defender för molnappar Skydda mot hot Undersöka och svara på hot |
Läs i så fall igenom arkitekturkraven för de olika komponenterna i Microsoft 365 Defender. | Azure AD Identity Protection ingår inte i den här lösningsguiden. Det ingår i steg 1: Konfigurera nollförtroendeidentitet och enhetsåtkomstskydd. |
Steg 5: Skydda och reglera känsliga data
Implementera Microsoft Information Protection (MIP) som hjälper dig att upptäcka, klassificera och skydda känslig information var du än befinner dig eller på språng.
MIP-funktioner ingår i Microsoft 365 Efterlevnad och ger dig verktygen för att känna till dina data, skydda dina dataoch förhindra dataförlust.
Även om det här arbetet visas högst upp i distributionsstacken som visas tidigare i den här artikeln kan du börja det här arbetet när som helst.
Microsoft Information Protection ett ramverk, en process och funktioner som du kan använda för att uppnå dina specifika affärsmål.

Mer information om hur du planerar och distribuerar informationsskydd finns i Distribuera en Microsoft Information Protection lösning.
Om du distribuerar informationsskydd för bestämmelser om datasekretess ger den här lösningsguiden ett rekommenderat ramverk för hela processen: Distribuera informationsskydd för bestämmelser om datasekretess med hjälp av Microsoft 365.