Vanliga principer för nollförtroendeidentitet och enhetsåtkomst
Gäller för
I den här artikeln beskrivs de vanliga rekommenderade principerna för nollförtroendeidentitet och enhetsåtkomst för att skydda åtkomsten till Microsoft 365-molntjänster, inklusive lokala program som publicerats med Azure Active Directory -programproxy (Azure AD).
I den här vägledningen beskrivs hur du distribuerar de rekommenderade principerna i en nyetablerade miljö. Genom att konfigurera de här principerna i en separat labbmiljö kan du förstå och utvärdera de rekommenderade principerna innan du förinstallerar utrullningen till dina preproduktions- och produktionsmiljöer. Din nyligen etablerade miljö kan vara molnbaserad eller hybrid för att återspegla dina utvärderingsbehov.
Principuppsättning
I följande diagram visas den rekommenderade uppsättningen principer. Den visar vilken nivå av skydd som varje princip gäller för och om principerna gäller för datorer eller telefoner och surfplattor, eller båda kategorierna av enheter. Den anger också var du konfigurerar de här principerna.
I resten av den här artikeln beskrivs hur du konfigurerar de här principerna.
Anteckning
Du bör kräva multifaktorautentisering (MFA) innan du registrerar enheter i Intune för att försäkra dig om att enheten ligger hos den avsedda användaren. Du måste registrera enheter i Intune innan du kan tillämpa principer för enhetsefterlevnad.
För att ge dig tid att utföra de här uppgifterna rekommenderar vi att du implementerar startprinciperna i den ordning som anges i den här tabellen. Men MFA-principerna för företags- och specialiserade säkerhetsnivåer kan implementeras när som helst.
| Skyddsnivå | Policyer | Mer information | Licensiering |
|---|---|---|---|
| Startpunkt | Kräv MFA när inloggningsrisken är medium eller hög | Microsoft 365 E5 eller Microsoft 365 E3 med E5-säkerhets tillägget | |
| Blockera klienter som inte har stöd för modern autentisering | Klienter som inte använder modern autentisering kan åsidosätta villkorsstyrda åtkomstprinciper, så det är viktigt att blockera dessa. | Microsoft 365 E3 eller E5 | |
| Användare med hög risk måste byta lösenord | Tvingar användarna att ändra sitt lösenord vid inloggning om högriskaktivitet identifieras för deras konto. | Microsoft 365 E5 eller Microsoft 365 E3 med E5-säkerhets tillägget | |
| Tillämpa appskyddsprinciper (APP) för dataskydd | En appskyddsprincip för Intune per plattform (Windows, iOS/iPadOS, Android). | Microsoft 365 E3 eller E5 | |
| Kräv godkända appar och programskydd | Tillämpar skydd för mobilappar för telefoner och surfplattor med iOS, iPadOS eller Android. | Microsoft 365 E3 eller E5 | |
| Enterprise | Kräv MFA när inloggningsrisken är låg, medel eller hög | Microsoft 365 E5 eller Microsoft 365 E3 med E5-säkerhets tillägget | |
| Definiera principer för enhetsefterlevnad | En princip för varje plattform. | Microsoft 365 E3 eller E5 | |
| Kräv kompatibla datorer och mobila enheter | Framtvingar Intune-hantering för både PC-datorer (Windows eller macOS) och telefoner och surfplattor (iOS, iPadOS eller Android). | Microsoft 365 E3 eller E5 | |
| Särskild säkerhet | Kräv alltid MFA | Microsoft 365 E3 eller E5 | |
Tilldela principer till grupper och användare
Innan du konfigurerar principer identifierar du de Azure AD-grupper du använder för varje skyddsnivå. Vanligtvis gäller startpunktsskydd för alla i organisationen. En användare som omfattas av både start- och företagsskyddet kommer att tillämpa alla principer plus företagsprinciperna. Skyddet ackumuleras och den mest restriktiva principen tillämpas.
En rekommenderad metod är att skapa en Azure AD-grupp för undantag för villkorsstyrd åtkomst. Lägg till den här gruppen i alla villkorsstyrda åtkomstprinciper i inställningen Exkludera värdet för inställningen Användare och grupper i avsnittet Tilldelningar. Det ger dig en metod för att ge åtkomst till en användare medan du felsöker åtkomstproblem. Det här rekommenderas endast som en tillfällig lösning. Övervaka den här gruppen efter ändringar och se till att undantagsgruppen endast används som avsett.
Här är ett exempel på grupptilldelning och undantag som kräver MFA.
Här är resultaten:
Alla användare måste använda MFA när inloggningsrisken är medium eller hög.
Medlemmar i ledningsgruppen måste använda MFA när inloggningsrisken är låg, medium eller hög.
I det här fallet matchar medlemmarna i gruppen Ledningspersonal både utgångspunkten och företagets villkorsstyrda åtkomstprinciper. Åtkomstkontrollerna för båda principerna kombineras, vilket i det här fallet motsvarar företagets princip för villkorsstyrd åtkomst.
Medlemmar i gruppen Top Secret Project X måste alltid använda MFA
I det här fallet matchar medlemmar i gruppen Top Secret Project X både startpunkten och specialiserade principer för villkorsstyrd åtkomst. Åtkomstkontrollerna för båda principerna kombineras. Eftersom åtkomstkontrollen för den specialiserade säkerhetsprincipen Villkorlig åtkomst är mer restriktiv används den.
Var försiktig när du använder högre skyddsnivåer för grupper och användare. Medlemmar i gruppen Top Secret Project X måste till exempel använda MFA varje gång de loggar in, även om de inte arbetar med det specialiserade säkerhetsinnehållet för Project X.
Alla Azure AD-grupper som skapats som en del av dessa rekommendationer måste skapas Microsoft 365 grupper. Det här är viktigt för distributionen av känslighetsetiketter när du skyddar dokument i Microsoft Teams och SharePoint.
Kräv MFA baserat på inloggningsrisk
Du bör be användarna registrera sig för MFA innan de behöver använda den. Om du har Microsoft 365 E5, Microsoft 365 E3 med E5-säkerhets tillägget, Office 365 med EMS E5 eller enskilda Azure AD Premium P2-licenser, kan du använda MFA-registreringsprincipen med Azure AD Identity Protection för att kräva att användare registrerar sig för MFA. Det nödvändiga arbetet omfattar registrering av alla användare med MFA.
När användarna har registrerats kan du kräva MFA för inloggning med en ny princip för villkorsstyrd åtkomst.
- Gå till Azure Portal ochlogga in med dina autentiseringsuppgifter.
- I listan över Azure-tjänster väljer du Azure Active Directory.
- I listan Hantera väljer du Säkerhet och sedan Villkorsstyrd åtkomst.
- Välj Ny princip och skriv namnet på den nya principen.
I följande tabeller beskrivs inställningarna för villkorsstyrd åtkomst-princip så att MFA krävs baserat på inloggningsrisker.
I avsnittet Uppgifter:
| Inställning | Egenskaper | Värden | Anteckningar |
|---|---|---|---|
| Användare och grupper | Inkludera | Välj användare och grupper > Användare och grupper: Välj specifika grupper som innehåller riktade användarkonton. | Börja med den grupp som innehåller pilotanvändarkonton. |
| Undanta | Användare och grupper: Välj din undantagsgrupp för villkorsstyrd åtkomst; tjänstkonton (appidentiteter). | Medlemskapet bör ändras tillfälligt och efter behov. | |
| Molnappar eller -åtgärder | Molnappar > Inkludera | Välj appar: Välj de appar som du vill att principen ska gälla för. Välj till exempel Exchange Online. | |
| Villkor | Konfigurera villkor som är specifika för din miljö och dina behov. | ||
| Inloggningsrisk | Se vägledning i följande tabell. | ||
Inställningar för inloggningsriskvillkor
Tillämpa inställningarna för risknivå baserat på vilken skyddsnivå du ska rikta.
| Skyddsnivå | Nödvändiga risknivåvärden | Åtgärd |
|---|---|---|
| Startpunkt | Hög, medium | Kontrollera båda. |
| Enterprise | Hög, medel, låg | Markera alla tre. |
| Särskild säkerhet | Låt alla alternativ vara avmarkerade om du alltid vill använda MFA. | |
I avsnittet Access-kontroller:
| Inställning | Egenskaper | Värden | Åtgärd |
|---|---|---|---|
| Grant | Grant access | Välj | |
| Kräv multifaktorautentisering | Check | ||
| Kräva alla markerade kontroller | Välj | ||
Välj Välj för att spara inställningarna för Bevilja.
Välj slutligen På för Aktivera princip och välj sedan Skapa.
Överväg även att använda verktyget Vad händer om för att testa principen.
Blockera klienter som inte har stöd för multifaktor
Använd inställningarna i de här tabellerna för en villkorsstyrd åtkomstprincip för att blockera klienter som inte har stöd för multifaktorautentisering.
I den här artikeln finns en lista över klienter i Microsoft 365 som har stöd för multifaktorautentisering.
I avsnittet Uppgifter:
| Inställning | Egenskaper | Värden | Anteckningar |
|---|---|---|---|
| Användare och grupper | Inkludera | Välj användare och grupper > Användare och grupper: Välj specifika grupper som innehåller riktade användarkonton. | Börja med den grupp som innehåller pilotanvändarkonton. |
| Undanta | Användare och grupper: Välj din undantagsgrupp för villkorsstyrd åtkomst; tjänstkonton (appidentiteter). | Medlemskapet bör ändras tillfälligt och efter behov. | |
| Molnappar eller -åtgärder | Molnappar > Inkludera | Välj appar: Välj de program som motsvarar de klienter som inte stöder modern autentisering. | |
| Villkor | Klientappar | Välj Ja för Konfigurera Avmarkera bkryssmarkeringarna för webbläsar- och mobilprogram och skrivbordsklienter |
|
I avsnittet Access-kontroller:
| Inställning | Egenskaper | Värden | Åtgärd |
|---|---|---|---|
| Grant | Blockera åtkomst | Välj | |
| Kräva alla markerade kontroller | Välj | ||
Välj Välj för att spara inställningarna för Bevilja.
Välj slutligen På för Aktivera princip och välj sedan Skapa.
Överväg att använda verktyget Vad händer om för att testa principen.
För Exchange Online kan du använda autentiseringsprinciper för att inaktivera grundläggande autentisering,som tvingar alla klientåtkomstförfrågningar att använda modern autentisering.
Användare med hög risk måste byta lösenord
För att säkerställa att alla högriskanvändares komprometterade konton tvingas utföra en lösenordsändring vid inloggning måste du använda följande princip.
Logga in på Microsoft Azure (med https://portal.azure.com) dina administratörsuppgifter och gå sedan till Azure AD Identity Protection > User Risk Policy.
I avsnittet Uppgifter:
| Typ | Egenskaper | Värden | Åtgärd |
|---|---|---|---|
| Användare | Inkludera | Alla användare | Välj |
| Användarrisk | Hög | Välj | |
I det andra avsnittet uppgifter:
| Typ | Egenskaper | Värden | Åtgärd |
|---|---|---|---|
| Åtkomst | Tillåt åtkomst | Välj | |
| Kräv lösenordsändring | Check | ||
Spara Access-inställningarna genom att välja Klar.
Välj slutligen På för Framtvinga princip och välj sedan Spara.
Överväg att använda verktyget Vad händer om för att testa principen.
Använd den här principen tillsammans med Konfigurera Lösenordsskyddi Azure AD som identifierar och blockerar kända svaga lösenord och deras varianter samt ytterligare svaga termer som är specifika för din organisation. Genom att använda Lösenordsskydd i Azure AD säkerställs att ändrade lösenord är starka.
Använda principer för APP-dataskydd
APP:er definierar vilka appar som tillåts och vilka åtgärder de kan vidta med organisationens data. De val som finns tillgängliga i APP gör det möjligt för organisationer att anpassa skyddet efter sina specifika behov. I vissa fall är det kanske inte uppenbart vilka principinställningar som krävs för att implementera ett fullständigt scenario. För att hjälpa organisationer att prioritera klientslutpunktens hårdnande har Microsoft introducerat taxonomi för sitt PROGRAMramverk för hantering av dataskydd för iOS- och Android-mobilappar.
Ramverket för APP-dataskydd är indelade i tre distinkta konfigurationsnivåer, med varje nivå som bygger på den föregående nivån:
- Nivå 1: Enterprise Basic-dataskydd säkerställer att appar skyddas med en PIN-kod och krypteras och utför selektiva rensningar. För Android-enheter verifierar den här nivån Android-enhetsanningar. Det här är en konfiguration på postnivå som ger liknande dataskyddskontroll i Exchange Online postlådeprinciper och introducerar IT- och användarpopulationen i APP.
- Nivå 2: Enterprise enhanced data protection introduces APP data leakage prevention mechanisms and minimum OS requirements. Det här är den konfiguration som gäller för de flesta mobila användare med åtkomst till arbets- eller skoldata.
- Nivå 3: Enterprise High Data Protection introducerar avancerade dataskyddsmetoder, förbättrad PIN-konfiguration och App Mobile Threat Defense. Den här konfigurationen är ett bra sätt för användare som har åtkomst till data med hög risk.
Om du vill se specifika rekommendationer för varje konfigurationsnivå och de lägsta program som måste skyddas, granskar du Ramverk för dataskydd med programskyddsprinciper.
Med principerna som beskrivs i Konfigurationerför noll förtroende-identitet och enhetsåtkomst finns en karta över nivåerna Startpunkt och Företagsskydd nära de förbättrade inställningarna för dataskydd på Nivå 2 för företag. Nivån för specialiserade säkerhetsskydd mappar nära de höga dataskyddsinställningarna på Nivå 3 för företag.
| Skyddsnivå | Programskyddsprincip | Mer information |
|---|---|---|
| Startpunkt | Nivå 2 förbättrat dataskydd | Principinställningarna på nivå 2 innehåller alla principinställningar som rekommenderas för nivå 1 och lägger till eller uppdaterar nedanstående principinställningar för att implementera fler kontroller och en mer avancerad konfiguration än nivå 1. |
| Enterprise | Nivå 2 förbättrat dataskydd | Principinställningarna på nivå 2 innehåller alla principinställningar som rekommenderas för nivå 1 och lägger till eller uppdaterar nedanstående principinställningar för att implementera fler kontroller och en mer avancerad konfiguration än nivå 1. |
| Särskild säkerhet | Hög dataskyddsnivå 3 för företag | Principinställningarna på nivå 3 innehåller alla principinställningar som rekommenderas för nivå 1 och 2 och lägger bara till eller uppdaterar nedanstående principinställningar för att implementera fler kontroller och en mer avancerad konfiguration än nivå 2. |
Om du vill skapa en ny programskyddsprincip för varje plattform (iOS och Android) Microsoft Endpoint Manager använda inställningarna för dataskyddsramverk kan du:
- Skapa principerna manuellt genom att följa stegen i Skapa och distribuera principer för programskydd med Microsoft Intune.
- Importera exempelmallarna för Intune App Protection Policy Configuration Framework JSON-mallar med Intunes PowerShell-skript.
Kräv godkända appar och appskydd
Om du vill tillämpa appskyddsprinciperna som du tillämpade i Intune måste du skapa en princip för villkorsstyrd åtkomst för att kräva godkända klientappar och villkoren i APPskyddsprinciperna.
Tvingande APP-skyddsprinciper kräver en uppsättning principer som beskrivs i Kräv appskyddsprincip för molnbaserad åtkomst med villkorsstyrd åtkomst. Dessa principer ingår var och en i den här rekommenderade uppsättningen principer för identitets- och åtkomstkonfiguration.
Om du vill skapa principen för villkorsstyrd åtkomst som kräver godkända appar och APPskydd följer du "Steg 1: Konfigurera en villkorsbaserad åtkomstprincip för Azure AD för Microsoft 365" i Scenario 1: Microsoft 365-apparkräver godkända appar med appskyddsprinciper, som gör att Outlook för iOS och Android blockeras som OAuth-kompatibel Exchange ActiveSync klienter från att ansluta till Exchange Online.
Anteckning
Med den här principen kan mobila användare komma Office alla slutpunkter med hjälp av tillämpliga appar.
Om du aktiverar mobil åtkomst till Exchange Online implementerar du Blockera ActiveSync-klienter,vilket förhindrar att Exchange ActiveSync-klienter utnyttjar grundläggande autentisering från att ansluta till Exchange Online. Den här principen visas inte i illustrationen högst upp i den här artikeln. Den beskrivs och visas i Principrekommendationer för att skydda e-post.
Om du vill skapa principen för villkorsstyrd åtkomst som kräver Edge för iOS och Android följer du "Steg 2: Konfigurera en villkorsbaserad åtkomstprincip för Azure AD för Microsoft 365" i Scenario 2:Webbläsarappar kräver godkända appar med appskyddsprinciper, vilket gör att Edge för iOS och Android blockeras, men blockerar andra mobila enhetswebbläsare från att ansluta till Microsoft 365-slutpunkter.
De här principerna använder bevilja kontroller Kräv godkänd klientapp och Kräv appskyddsprincip.
Slutligen säkerställer blockering av äldre autentisering för andra klientappar på iOS- och Android-enheter att dessa klienter inte kan åsidosätta villkorsstyrda åtkomstprinciper. Om du följer vägledning i den här artikeln har du redan konfigurerat Blockera klienter som inte stöder modern autentisering.
Definiera principer för enhetsefterlevnad
Principer för enhetsefterlevnad definierar de krav som enheter måste uppfylla för att fastställas som kompatibla. Du skapar Intune-policyer för enhetsefterlevnad Microsoft Endpoint Manager administrationscentret.
Du måste skapa en princip för varje dator, telefon eller pekplatta:
- Administratör för Android-enhet
- Android Enterprise
- iOS/iPadOS
- macOS
- Windows 8.1 och senare
- Windows 10 och senare
Om du vill skapa principer för enhetsefterlevnad loggar du in Microsoft Endpoint Manager Administrationscenter med dina administratörsautentiseringsuppgifter och går sedan till > Principer för enhetsefterlevnad. > Välj Skapa princip.
För att principer för enhetsefterlevnad ska distribueras måste de tilldelas till användargrupper. Du tilldelar en princip när du har skapat och sparat den. Välj principen i administrationscentret och välj sedan Uppgifter. När du har valt de grupper som ska få principen väljer du Spara för att spara grupptilldelningen och distribuera principen.
Stegvisa instruktioner för hur du skapar efterlevnadsprinciper i Intune finns i Skapa en efterlevnadsprincip i Microsoft Intune Intune-dokumentationen.
Rekommenderade inställningar för iOS
iOS/iPadOS har stöd för flera registreringsscenarier, av vilka två omfattas av detta ramverk:
- Enhetsregistrering för personligt ägda enheter – dessa enheter ägs personligen och används för både arbete och personlig användning.
- Övervakad automatisk enhetsregistrering för enheter som ägs av företaget – dessa enheter ägs av företaget, är kopplade till en enskild användare och används enbart för arbete och inte personlig användning.
Säkerhetskonfigurationsramverket för iOS/iPadOS är indelade i flera olika konfigurationsscenarier som ger vägledning för personligt ägda och övervakade enheter.
För personligt ägda enheter:
- Grundläggande säkerhet (nivå 1) – Microsoft rekommenderar den här konfigurationen som den lägsta säkerhetskonfigurationen för personliga enheter där användare får åtkomst till arbets- eller skoldata. Detta görs genom att tillämpa lösenordsprinciper, enhetslåsegenskaper och inaktivera vissa enhetsfunktioner (t.ex. certifikat som inte är betrodda).
- Förbättrad säkerhet (nivå 2) – Microsoft rekommenderar den här konfigurationen för enheter där användare använder känslig eller konfidentiell information. I den här konfigurationen används datadelningskontroller. Den här konfigurationen gäller för de flesta mobila användare som har åtkomst till arbets- eller skoldata på en enhet.
- Hög säkerhet (nivå 3) – Microsoft rekommenderar den här konfigurationen för enheter som används av specifika användare eller grupper som är unikt riskfyllda (användare som hanterar mycket känsliga data där obehörigt avslöjande orsakar omfattande materialförlust för organisationen). Den här konfigurationen tillämpar starkare lösenordsprinciper, inaktiverar vissa enhetsfunktioner och tillämpar ytterligare begränsningar för dataöverföring.
För övervakade enheter:
- Grundläggande säkerhet (nivå 1) – Microsoft rekommenderar den här konfigurationen som minsta säkerhetskonfiguration för övervakade enheter där användare får åtkomst till arbets- eller skoldata. Detta görs genom att tillämpa lösenordsprinciper, enhetslåsegenskaper och inaktivera vissa enhetsfunktioner (t.ex. certifikat som inte är betrodda).
- Förbättrad säkerhet (nivå 2) – Microsoft rekommenderar den här konfigurationen för enheter där användare använder känslig eller konfidentiell information. Den här konfigurationen använder datadelningskontroller och blockerar åtkomsten till USB-enheter. Den här konfigurationen gäller för de flesta mobila användare som har åtkomst till arbets- eller skoldata på en enhet.
- Hög säkerhet (nivå 3) – Microsoft rekommenderar den här konfigurationen för enheter som används av specifika användare eller grupper som är unikt riskfyllda (användare som hanterar mycket känsliga data där obehörigt avslöjande orsakar omfattande materialförlust för organisationen). Den här konfigurationen tillämpar starkare lösenordsprinciper, inaktiverar vissa enhetsfunktioner, tillämpar ytterligare begränsningar för dataöverföring och kräver att appar installeras via Apples volymköpsprogram.
Med principerna som beskrivs i Konfigurationerför noll förtroende-identitet och enhetsåtkomst finns en karta från start och nivå för företagsskydd som ligger nära de förbättrade säkerhetsinställningarna på Nivå 2. Nivån för specialiserade säkerhetsskydd mappar nära de höga säkerhetsinställningarna på Nivå 3.
| Skyddsnivå | Enhetspolicy | Mer information |
|---|---|---|
| Startpunkt | Förbättrad säkerhet (nivå 2) | Principinställningarna på nivå 2 innehåller alla principinställningar som rekommenderas för nivå 1 och lägger till eller uppdaterar nedanstående principinställningar för att implementera fler kontroller och en mer avancerad konfiguration än nivå 1. |
| Enterprise | Förbättrad säkerhet (nivå 2) | Principinställningarna på nivå 2 innehåller alla principinställningar som rekommenderas för nivå 1 och lägger till eller uppdaterar nedanstående principinställningar för att implementera fler kontroller och en mer avancerad konfiguration än nivå 1. |
| Särskild säkerhet | Hög säkerhet (nivå 3) | Principinställningarna på nivå 3 innehåller alla principinställningar som rekommenderas för nivå 1 och 2 och lägger bara till eller uppdaterar nedanstående principinställningar för att implementera fler kontroller och en mer avancerad konfiguration än nivå 2. |
Om du vill se rekommendationer om specifik enhetsefterlevnad och enhetsbegränsningar för varje konfigurationsnivå kan du läsa Säkerhetskonfigurationsramverket för iOS/iPadOS.
Rekommenderade inställningar för Android
Android Enterprise har stöd för flera registreringsscenarier, varav två omfattas av det här ramverket:
- Arbetsprofilen i Android Enterprise – den här registreringsmodellen används vanligtvis för personligt ägda enheter där IT-företaget vill ha en tydlig avgränsning mellan arbets- och personuppgifter. Principer som kontrolleras av IT-personal säkerställer att arbetsinformationen inte kan överföras till den personliga profilen.
- Fullständigt hanterade enheter för Android Enterprise – dessa enheter ägs av företaget och är kopplade till en enskild användare och används enbart för arbete och inte personlig användning.
Ramverket för säkerhetskonfiguration för Android Enterprise är indelade i flera distinkta konfigurationsscenarier, som ger vägledning för arbetsprofilen och fullständigt hanterade scenarier.
För arbetsprofilenheter i Android Enterprise:
- Förbättrad säkerhet för arbetsprofilen (nivå 2) – Microsoft rekommenderar den här konfigurationen som den lägsta säkerhetskonfigurationen för personliga enheter där användare får åtkomst till arbets- eller skoldata. Den här konfigurationen introducerar lösenordskrav, separerar arbets- och personuppgifter och verifierar Android-enhetsanering.
- Hög säkerhet i arbetsprofilen (nivå 3) – Microsoft rekommenderar den här konfigurationen för enheter som används av specifika användare eller grupper som är unikt högriskanvändare (användare som hanterar mycket känsliga data där obehörig information orsakar omfattande materialförlust för organisationen). Den här konfigurationen introducerar skydd mot mobila hot eller Microsoft Defender för Endpoint, anger minimiversionen av Android, använder starkare lösenordsprinciper och begränsar ytterligare arbets- och personlig åtskillnad.
För fullständigt hanterade enheter med Android Enterprise:
- Fullständigt hanterad grundläggande säkerhet (nivå 1) – Microsoft rekommenderar den här konfigurationen som minsta säkerhetskonfiguration för en företagsenhet. Den här konfigurationen gäller för de flesta mobilanvändare som har åtkomst till arbets- eller skoldata. I den här konfigurationen introduceras lösenordskrav, lägsta version av Android och vissa enhetsbegränsningar vid användning.
- Fullständigt hanterad förbättrad säkerhet (nivå 2) – Microsoft rekommenderar den här konfigurationen för enheter där användare får åtkomst till känslig eller konfidentiell information. Den här konfigurationen använder starkare lösenordsprinciper och inaktiverar användar-/kontofunktioner.
- Fullständigt hanterad hög säkerhet (nivå 3) – Microsoft rekommenderar den här konfigurationen för enheter som används av specifika användare eller grupper som är unikt högriskanvändare (användare som hanterar mycket känsliga data där obehörig information orsakar omfattande materialförlust för organisationen). Den här konfigurationen ökar den lägsta Android-versionen, introducerar skydd mot mobila hot eller Microsoft Defender för Slutpunkt och tillämpar ytterligare enhetsbegränsningar.
Med principerna som beskrivs i Konfigurationerför noll förtroende-identitet och enhetsåtkomst finns en karta över start- och företagssäkerhetsnivåer nära den grundläggande säkerheten på Nivå 1 för personligt ägda enheter och nivå 2-förbättrade säkerhetsinställningar för helt hanterade enheter. Nivån för specialiserade säkerhetsskydd mappar nära de höga säkerhetsinställningarna på Nivå 3.
För arbetsprofilenheter i Android Enterprise:
| Skyddsnivå | Enhetspolicy | Mer information |
|---|---|---|
| Startpunkt | Arbetsprofil: Grundläggande säkerhet (nivå 1) | EJ TILLÄMPLIGT |
| Enterprise | Arbetsprofil: Grundläggande säkerhet (nivå 1) | EJ TILLÄMPLIGT |
| Startpunkt | Fullständigt hanterat: Förbättrad säkerhet (nivå 2) | Principinställningarna på nivå 2 innehåller alla principinställningar som rekommenderas för nivå 1 och lägger till eller uppdaterar nedanstående principinställningar för att implementera fler kontroller och en mer avancerad konfiguration än nivå 1. |
| Enterprise | Fullständigt hanterat: Förbättrad säkerhet (nivå 2) | Principinställningarna på nivå 2 innehåller alla principinställningar som rekommenderas för nivå 1 och lägger till eller uppdaterar nedanstående principinställningar för att implementera fler kontroller och en mer avancerad konfiguration än nivå 1. |
| Särskild säkerhet | Hög säkerhet (nivå 3) | Principinställningarna på nivå 3 innehåller alla principinställningar som rekommenderas för nivå 1 och 2 och lägger bara till eller uppdaterar nedanstående principinställningar för att implementera fler kontroller och en mer avancerad konfiguration än nivå 2. |
Om du vill se rekommendationer om specifik enhetsefterlevnad och enhetsbegränsningar för varje konfigurationsnivå kan du läsa Android Enterprise Security Configuration Framework.
Rekommenderade inställningar för Windows 10 och senare
Följande inställningar rekommenderas för datorer som kör Windows 10 och senare, enligt konfiguration i steg 2: Efterlevnadsinställningar , i processen för att skapa principen.
Information om utvärderingsregler > Windows tjänsten Hälsa finns i den här tabellen.
| Egenskaper | Värde | Åtgärd |
|---|---|---|
| Kräv BitLocker | Kräv | Välj |
| Kräv att säker start aktiveras på enheten | Kräv | Välj |
| Kräv kodintegritet | Kräv | Välj |
För Enhetsegenskaper anger du lämpliga värden för operativsystemsversioner baserat på din IT och dina säkerhetsprinciper.
För Konfigurationshanterarens efterlevnad väljer du Kräv.
Information om Systemsäkerhet finns i den här tabellen.
| Typ | Egenskaper | Värde | Åtgärd |
|---|---|---|---|
| Lösenord | Kräv lösenord för att låsa upp mobila enheter | Kräv | Välj |
| Enkla lösenord | Blockera | Välj | |
| Lösenordstyp | Standardenhet | Välj | |
| Minsta lösenordslängd | 6 | Typ | |
| Maximalt antal minuter av inaktivitet innan lösenord krävs | 15 | Typ Den här inställningen stöds för Android-versionerna 4.0 och senare eller KNOX 4.0 och senare. För iOS-enheter stöds det för iOS 8.0 och högre. |
|
| Lösenords giltighetstid (dagar) | 41 | Typ | |
| Antal tidigare lösenord för att förhindra återanvändning | 5 | Typ | |
| Kräv lösenord när enheten återgår från inaktivt läge (Mobile och Holographic) | Kräv | Tillgänglig för Windows 10 och senare | |
| Kryptering | Kryptering av datalagring på enheten | Kräv | Välj |
| Enhetssäkerhet | Brandvägg | Kräv | Välj |
| Antivirus | Kräv | Välj | |
| Antispionprogram | Kräv | Välj Den här inställningen kräver en lösning mot spionprogram som är registrerad Windows-säkerhet appen. |
|
| Defender för molnet | Microsoft Defender Antimalware | Kräv | Välj |
| Lägsta version av Microsoft Defender Antimalware | Typ Stöds endast för Windows 10 skrivbordet. Microsoft rekommenderar versioner som inte har fler än fem versioner från den senaste versionen. |
||
| Microsoft Defender Antimalware-signatur uppdaterad | Kräv | Välj | |
| Realtidsskydd | Kräv | Välj Stöds endast för Windows 10 och senare skrivbord |
|
Microsoft Defender för Endpoint
| Typ | Egenskaper | Värde | Åtgärd |
|---|---|---|---|
| Microsoft Defender för slutpunktsregler i Microsoft Endpoint Manager administrationscenter | Kräv att enheten ligger på eller under maskinriskresultatet | Medel | Välj |
Kräv kompatibla datorer och mobila enheter
Så här kräver du efterlevnad för alla enheter:
Gå till Azure Portal ochlogga in med dina autentiseringsuppgifter.
I listan över Azure-tjänster väljer du Azure Active Directory.
I listan Hantera väljer du Säkerhet och sedan Villkorsstyrd åtkomst.
Välj Ny princip och skriv namnet på den nya principen.
Under Tilldelningar väljer du Användare och grupper och tar med dem du vill att principen ska gälla för. Exkludera även undantagsgruppen för villkorsstyrd åtkomst.
Välj Molnappar eller åtgärder under Uppgifter.
Under Inkludera väljer du Välj > Välj och sedan önskade appar i listan Molnappar. Välj till exempel Office 365. Välj Välj när du är klar.
Under Access-kontroller väljer du Bevilja .
Välj Bevilja åtkomst och markera sedan Kräv att enheten markeras som kompatibel. För flera kontroller markerar du Kräv alla markerade kontroller. Välj Välj när du är klar.
Välj På för aktivera princip och välj sedan Skapa.
Anteckning
Kontrollera att enheten är kompatibel innan du aktiverar den här principen. Annars kan du bli utelåst och kommer inte att kunna ändra den här principen förrän användarkontot har lagts till i undantagsgruppen Villkorsstyrd åtkomst.
Nästa steg
Läs mer om principrekommendationer för gästanvändare och externa användare