Distributionsplan för Microsoft 365 Noll förtroende

Den här artikeln innehåller en distributionsplan för att skapa Zero Trust Security med Microsoft 365. Zero Trust är en ny säkerhetsmodell som förutsätter intrång och verifierar varje begäran som om den kommer från ett översebart nätverk. Oavsett var begäran kommer ifrån eller vilken resurs den kommer åt får vi lära oss i modellen noll trust att "aldrig lita på, alltid verifiera".

Säkerhetsarkitekturen Zero Trust

En metod med noll förtroende utökas över hela digitala egendomen och fungerar som en integrerad säkerhetsstrategi.

I den här bilden visas de primära elementen som bidrar till nollförtroende.

Säkerhetsarkitekturen Zero Trust

På bilden:

  • Tillämpning av säkerhetspolicyn är i mitten av en nollförtroendearkitektur. Detta omfattar multifaktorautentisering med villkorsstyrd åtkomst som tar hänsyn till risker för användarkonton, enhetsstatus och andra villkor och principer som du anger.
  • Identiteter, enheter, data, appar, nätverk och andra infrastrukturkomponenter är konfigurerade med lämplig säkerhet. Principer som har konfigurerats för var och en av dessa komponenter koordineras med din övergripande nollförtroendestrategi. Enhetsprinciperna bestämmer till exempel kriterierna för felfria enheter och villkorsstyrda åtkomstprinciper kräver felfria enheter för åtkomst till specifika appar och data.
  • Skydd mot hot och information övervakar miljön, visar aktuella risker och vidtar automatiska åtgärder för att åtgärda attacker.

Mer information om Zero Trust finns i Informationscenter för Microsofts nollförtroende.

Distribuera nollförtroende för Microsoft 365

Microsoft 365 har skapats avsiktligt med många funktioner för säkerhets- och informationsskydd så att du kan bygga in Zero Trust i din miljö. Många av funktionerna kan utökas för att skydda åtkomsten till andra SaaS-appar som din organisation använder och data i dessa appar.

Den här bilden representerar arbetet med att distribuera nollförtroendefunktioner. Det här arbetet delas in i arbetsenheter som kan konfigureras tillsammans, med början längst ned och längst upp för att säkerställa att arbetet som krävs är slutfört.

Distributionsgrupp för Microsoft 365-Noll förtroende

I den här illustrationen:

  • Zero Trust börjar med en grund för identitet och enhetsskydd.
  • Funktionerna för skydd mot hot bygger på denna grund för att tillhandahålla övervakning i realtid och åtgärda säkerhetshot.
  • Informationsskydd och styrning ger avancerade kontroller som är riktade till vissa typer av data för att skydda din mest värdefulla information och för att hjälpa dig att uppfylla efterlevnadsstandarder, inklusive för att skydda personlig information.

Steg 1. Konfigurera nollförtroendeidentitet och enhetsåtkomstskydd – startprinciper

Det första steget är att skapa din Zero Trust Foundation genom att konfigurera identitets- och enhetsåtkomstskydd.

Konfigurera nollförtroendeidentitet och enhetsåtkomstskydd

Gå till Noll förtroende-identitet och enhetåtkomstskydd för anvisningar om hur du gör detta. Den här serien med artiklar beskriver en uppsättning konfigurationer för identitets- och enhetsåtkomstkrav och en uppsättning konfigurationer av Azure Active Directory villkorsstyrd åtkomst (Azure AD), Microsoft Intune och andra principer för att skydda åtkomst till Microsoft 365 för företagsmolnappar och -tjänster, andra SaaS-tjänster och lokala program som publicerats med Azure AD-programproxy.

Inkluderar Förutsättningar Inkluderar inte
Rekommenderade identitets- och enhetsåtkomstprinciper för tre nivåer av skydd:
- Startpunkt
- Enterprise (rekommenderas)
- Specialiserade

Ytterligare rekommendationer för:
- Externa användare (gäster)
- Microsoft Teams
- SharePoint Online
- Microsoft Defender för molnappar
Microsoft E3 eller E5

Azure Active Directory i något av följande lägen:
- Endast molnet
- Hybrid med synkronisering av lösenordshashar (PHS)
- Hybrid med direktautentisering (PTA)
- Federerad
Enhetsregistrering för principer som kräver hanterade enheter. Se "Hantera slutpunkter med Intune" för att registrera enheter

Börja med att implementera startnivån. De här principerna kräver inte att enheter registreras i hantering.

Noll förtroende-identitet och principer för enhetsåtkomst – startnivå

Steg 2. Hantera slutpunkter med Intune

Sedan kan du registrera dina enheter och börja skydda dem med mer avancerade kontroller.

Hantera slutpunkter med Intune

Gå till Hantera enheter med Intune för anvisningar om hur du gör detta.

Inkluderar Förutsättningar Inkluderar inte
Registrera enheter med Intune
- Företagsägda enheter
- Auto Autopilot/automatiserad
- registrering

Konfigurera principer
- Principer för appskydd
- Efterlevnadsprinciper
- Principer för enhetsprofiler
Registrera slutpunkter med Azure AD Konfigurera funktioner för informationsskydd, till exempel:
- Typer av känslig information
- Etiketter
- DLP-principer
Information om de här funktionerna finns i Steg 5. Skydda och reglera data (senare i den här artikeln).

Steg 3. Lägg till nollförtroendeidentitet och enhetsskydd – Företagsprinciper

Med enheter som har registrerats för hantering kan du nu implementera en fullständig uppsättning rekommenderade principer för nollförtroendeidentitet och enhetsåtkomst, vilket kräver kompatibla enheter.

Principer för noll förtroendeidentitet och åtkomst med enhetshantering

Återgå till Common-identitets- och enhetsåtkomstprinciper och lägg till principerna på företagsnivå.

Principer för noll förtroendeidentitet och åtkomst – företagsnivå (rekommenderas)

Steg 4. Utvärdera, pilottesta och distribuera Microsoft 365 Defender

Microsoft 365 Defender är en utökad lösning för identifiering och svar (XDR) som automatiskt samlar in, korrelerar och analyserar signal-, hot- och aviseringsdata från din Microsoft 365-miljö, inklusive slutpunkt, e-post, program och identiteter.

Lägga Microsoft 365 Defender i arkitekturen Zero Trust

Gå till Utvärdera och pilottesta Microsoft 365 Defender en metodisk guide för att pilottesta och distribuera Microsoft 365 Defender komponenter.

Inkluderar Förutsättningar Inkluderar inte
Konfigurera utvärderings- och pilotmiljön för alla komponenter:
- Defender för identitet
- Defender för Office 365
- Defender för Slutpunkt
- Microsoft Defender för molnappar

Skydda mot hot

Undersöka och svara på hot
Läs i så fall igenom arkitekturkraven för de olika komponenterna i Microsoft 365 Defender. Azure AD Identity Protection ingår inte i den här lösningsguiden. Det ingår i steg 1: Konfigurera nollförtroendeidentitet och enhetsåtkomstskydd.

Steg 5: Skydda och reglera känsliga data

Implementera Microsoft Information Protection (MIP) som hjälper dig att upptäcka, klassificera och skydda känslig information var du än befinner dig eller på språng.

MIP-funktioner ingår i Microsoft 365 Efterlevnad och ger dig verktygen för att känna till dina data, skydda dina dataoch förhindra dataförlust.

Informationsskyddsfunktioner skyddar data genom tillämpning av policyer

Även om det här arbetet visas högst upp i distributionsstacken som visas tidigare i den här artikeln kan du börja det här arbetet när som helst.

Microsoft Information Protection ett ramverk, en process och funktioner som du kan använda för att uppnå dina specifika affärsmål.

Microsoft Information Protection (MIP)

Mer information om hur du planerar och distribuerar informationsskydd finns i Distribuera en Microsoft Information Protection lösning.

Om du distribuerar informationsskydd för bestämmelser om datasekretess ger den här lösningsguiden ett rekommenderat ramverk för hela processen: Distribuera informationsskydd för bestämmelser om datasekretess med hjälp av Microsoft 365.