Distributionsplan för Microsoft 365 Noll förtroende

Den här artikeln innehåller en distributionsplan för att skapa Nolltillit säkerhet med Microsoft 365. Nolltillit är en ny säkerhetsmodell som förutsätter intrång och verifierar varje begäran som om den kommer från ett okontrollerat nätverk. Oavsett var begäran kommer från eller vilken resurs den kommer åt lär Nolltillit modellen oss att "aldrig lita på, alltid verifiera".

Använd den här artikeln tillsammans med den här affischen.

Objekt Beskrivning
Bild av distributionsplanen för Microsoft 365 Nolltillit.
PDF | Visio
Uppdaterad mars 2022
Relaterade lösningsguider

Nolltillit säkerhetsarkitektur

Ett Nolltillit tillvägagångssätt sträcker sig över hela den digitala egendomen och fungerar som en integrerad säkerhetsfilosofi och strategi från slutpunkt till slutpunkt.

Den här bilden ger en representation av de primära element som bidrar till Nolltillit.

Säkerhetsarkitekturen för Nolltillit

På bilden:

  • Tvingande säkerhetsprinciper står i centrum för en Nolltillit arkitektur. Detta inkluderar Multi Factor-autentisering med villkorlig åtkomst som tar hänsyn till användarkontorisk, enhetsstatus och andra kriterier och principer som du anger.
  • Identiteter, enheter, data, appar, nätverk och andra infrastrukturkomponenter konfigureras med lämplig säkerhet. Principer som har konfigurerats för var och en av dessa komponenter samordnas med din övergripande Nolltillit strategi. Enhetsprinciper bestämmer till exempel kriterierna för felfria enheter och principer för villkorlig åtkomst kräver felfria enheter för åtkomst till specifika appar och data.
  • Hotskydd och intelligens övervakar miljön, exponerar aktuella risker och vidtar automatiserade åtgärder för att åtgärda attacker.

Mer information om Nolltillit finns i Microsofts Nolltillit Guidance Center.

Distribuera Nolltillit för Microsoft 365

Microsoft 365 skapas avsiktligt med många säkerhets- och informationsskyddsfunktioner som hjälper dig att skapa Nolltillit i din miljö. Många av funktionerna kan utökas för att skydda åtkomsten till andra SaaS-appar som din organisation använder och data i dessa appar.

Den här bilden representerar arbetet med att distribuera Nolltillit funktioner. Det här arbetet är indelat i arbetsenheter som kan konfigureras tillsammans, från nederkant och arbetar längst upp för att säkerställa att det nödvändiga arbetet är klart.

Distributionsstacken för Microsoft 365 Nolltillit

I den här illustrationen:

  • Nolltillit börjar med en grund för identitets- och enhetsskydd.
  • Hotskyddsfunktioner bygger på den här grunden för att tillhandahålla övervakning och reparation av säkerhetshot i realtid.
  • Informationsskydd och styrning ger avancerade kontroller riktade mot specifika typer av data för att skydda din mest värdefulla information och för att hjälpa dig att följa efterlevnadsstandarder, inklusive att skydda personlig information.

Den här artikeln förutsätter att du redan har konfigurerat molnidentitet. Om du behöver vägledning för det här målet kan du läsa Distribuera din identitetsinfrastruktur för Microsoft 365.

Steg 1. Konfigurera Nolltillit identitets- och enhetsåtkomstskydd – startpunktsprinciper

Det första steget är att skapa din Nolltillit grund genom att konfigurera identitets- och enhetsåtkomstskydd.

Processen för att konfigurera Nolltillit identitets- och enhetsåtkomstskydd

Gå till Nolltillit identitets- och enhetsåtkomstskydd för förebyggande vägledning för att åstadkomma detta. Den här serien med artiklar beskriver en uppsättning konfigurationer för krav på identitets- och enhetsåtkomst och en uppsättning Azure Active Directory (Azure AD) villkorlig åtkomst, Microsoft Intune och andra principer för att skydda åtkomsten till Microsoft 365 för företagsmolnappar och -tjänster, andra SaaS-tjänster och lokala program som publicerats med Azure AD Programproxy.

Innehåller Förutsättningar Inkluderar inte
Rekommenderade principer för identitets- och enhetsåtkomst för tre skyddsnivåer:
  • Utgångspunkt
  • Enterprise (rekommenderas)
  • Specialiserade

Ytterligare rekommendationer för:
  • Externa användare (gäster)
  • Microsoft Teams
  • SharePoint Online
  • Microsoft Defender for Cloud Apps
Microsoft E3 eller E5

Azure Active Directory i något av följande lägen:
  • Endast molnet
  • Hybrid med autentisering med synkronisering av lösenordshash (PHS)
  • Hybrid med direktautentisering (PTA)
  • Federerade
Enhetsregistrering för principer som kräver hanterade enheter. Se Steg 2. Hantera slutpunkter med Intune för att registrera enheter

Börja med att implementera startpunktsnivån. Dessa principer kräver inte registrering av enheter i hanteringen.

Nolltillit principer för identitets- och enhetsåtkomst – startpunktsnivå

Steg 2. Hantera slutpunkter med Intune

Registrera sedan dina enheter i hanteringen och börja skydda dem med mer avancerade kontroller.

Elementet Hantera slutpunkter med Intune

Gå till Hantera enheter med Intune för förebyggande vägledning för att åstadkomma detta.

Innehåller Förutsättningar Inkluderar inte
Registrera enheter med Intune:
  • Företagsägda enheter
  • Autopilot/automatiserad
  • Registrering

Konfigurera principer:
  • Appskyddsprinciper
  • Efterlevnadsprinciper
  • Principer för enhetsprofil
Registrera slutpunkter med Azure AD Konfigurera informationsskyddsfunktioner, inklusive:
  • Typer av känslig information
  • Etiketter
  • DLP-principer

De här funktionerna finns i Steg 5. Skydda och styra känsliga data (senare i den här artikeln).

Steg 3. Lägga till Nolltillit identitets- och enhetsåtkomstskydd – Företagsprinciper

När enheter har registrerats för hantering kan du nu implementera den fullständiga uppsättningen rekommenderade Nolltillit principer för identitets- och enhetsåtkomst, vilket kräver kompatibla enheter.

De Nolltillit identitets- och åtkomstprinciperna med enhetshantering

Gå tillbaka till Vanliga principer för identitets- och enhetsåtkomst och lägg till principerna på Enterprise-nivån.

Nivån Nolltillit identitets- och åtkomstprinciper – Företagsnivå (rekommenderas)

Steg 4. Utvärdera, pilottesta och distribuera Microsoft 365 Defender

Microsoft 365 Defender är en XDR-lösning (Extended Detection and Response) som automatiskt samlar in, korrelerar och analyserar signal-, hot- och aviseringsdata från din Microsoft 365 miljö, inklusive slutpunkt, e-post, program och identiteter.

Processen för att lägga till Microsoft 365 Defender i Nolltillit-arkitekturen

Gå till Utvärdera och pilottesta Microsoft 365 Defender för en metodisk guide för att testa och distribuera Microsoft 365 Defender komponenter.

Innehåller Förutsättningar Inkluderar inte
Konfigurera utvärderings- och pilotmiljön för alla komponenter:
  • Defender för identitet
  • Defender förr Office 365
  • Defender för Endpoint
  • Microsoft Defender for Cloud Apps

Skydda mot hot

Undersöka och svara på hot
Se vägledningen för att läsa om arkitekturkraven för varje komponent i Microsoft 365 Defender. Azure AD Identity Protection ingår inte i den här lösningsguiden. Den ingår i steg 1. Konfigurera Nolltillit identitets- och enhetsåtkomstskydd.

Steg 5: Skydda och styra känsliga data

Implementera Microsoft Purview Information Protection som hjälper dig att upptäcka, klassificera och skydda känslig information var den än befinner sig eller reser.

Microsoft Purview Information Protection funktioner ingår i Microsoft Purview och ger dig verktyg för att känna till dina data, skydda dina data och förhindra dataförlust.

Informationsskyddsfunktionerna som skyddar data genom principframtvingande

Även om det här arbetet visas överst i distributionsstacken som illustrerades tidigare i den här artikeln kan du börja det här arbetet när som helst.

Microsoft Purview Information Protection tillhandahåller ett ramverk, en process och funktioner som du kan använda för att uppnå dina specifika affärsmål.

Microsoft Purview Information Protection

Mer information om hur du planerar och distribuerar informationsskydd finns i Distribuera en Microsoft Purview Information Protection lösning.

Om du distribuerar informationsskydd för datasekretessregler tillhandahåller den här lösningsguiden ett rekommenderat ramverk för hela processen: Distribuera informationsskydd för dataskyddsregler med Microsoft 365.