Arbete som krävs för implementering av nollförtroendeidentitet och åtkomstprinciper för enheter
I den här artikeln beskrivs förutsättningarna för att administratörerna måste uppfylla för att kunna använda rekommenderade principer för zero trust-identitet och enhetsåtkomst och för att använda villkorsstyrd åtkomst. Dessutom diskuteras de rekommenderade standarderna för konfiguration av klientplattformar för bästa möjliga enkel inloggning (SSO).
Förutsättningar
Innan du använder de principer för noll förtroende-identitet och enhetsåtkomst som rekommenderas måste organisationen uppfylla kraven. Kraven är olika för de olika identitets- och autentiseringsmodellerna som anges:
- Endast molnet
- Hybrid med synkronisering av lösenordshashar (PHS)
- Hybrid med direktautentisering (PTA)
- Extern
I följande tabell finns information om de nödvändiga funktionerna och deras konfiguration som gäller för alla identitetsmodeller, om inget annat anges.
| Konfiguration | Undantag | Licensiering |
|---|---|---|
| Konfigurera PHS. Det måste vara aktiverat för att identifiera läckta autentiseringsuppgifter och agera på dem för riskbaserad villkorsstyrd åtkomst. Obs! Detta är obligatoriskt oavsett om organisationen använder federerad autentisering. | Endast molnet | Microsoft 365 E3 eller E5 |
| Aktivera sömlös enkel inloggning för att automatiskt logga in användare när de använder sina organisationsenheter som är anslutna till organisationens nätverk. | Endast molnet och externa | Microsoft 365 E3 eller E5 |
| Konfigurera namngivna platser. Azure AD Identity Protection samlar in och analyserar alla tillgängliga sessionsdata för att skapa en risknivå. Vi rekommenderar att du anger organisationens offentliga IP-intervall för nätverket i konfigurationen av namngivna azure AD-platser. Trafik från dessa intervall ges lägre riskresultat och trafik utanför organisationsmiljön får högre risknivå. | Microsoft 365 E3 eller E5 | |
| Registrera alla användare för självbetjäning för återställning av lösenord (SSPR) och multifaktorautentisering (MFA). Vi rekommenderar att du registrerar användare för Azure AD Multifaktorautentisering i förväg. Azure AD Identity Protection använder Azure AD Multifaktorautentisering för att utföra ytterligare säkerhetsverifiering. För bästa inloggningsupplevelse rekommenderar vi dessutom att användarna installerar appen Microsoft Authenticator och Microsoft Företagsportal-appen på sina enheter. De kan installeras från appbutiken för varje plattform. | Microsoft 365 E3 eller E5 | |
| Aktivera automatisk enhetsregistrering för domän-Windows datorer. Villkorsstyrd åtkomst ser till att enheter som ansluter till appar är domänanslutna eller kompatibla. Enheten måste vara registrerad Windows för att stödja den på Windows datorer. I den här artikeln beskrivs hur du konfigurerar automatisk enhetsregistrering. | Endast molnet | Microsoft 365 E3 eller E5 |
| Förbered ditt supportteam. Ha en plan för användare som inte kan slutföra MFA. Det kan vara att lägga till dem i en princip undantagsgrupp eller registrera ny MFA-information för dem. Innan du gör någon av dessa säkerhetskänsliga ändringar måste du se till att den faktiska användaren gör begäran. Att kräva att användarnas chefer hjälper till med godkännandet är ett effektivt steg. | Microsoft 365 E3 eller E5 | |
| Konfigurera tillbakaskrivning av lösenord till lokal AD. Med tillbakaskrivning av lösenord kan Azure AD kräva att användarna ändrar sina lokala lösenord när en högriskkontokompromettering upptäcks. Du kan aktivera den här funktionen med Hjälp av Azure AD Anslut på ett av två sätt: antingen aktivera Tillbakaskrivning av lösenord på skärmen med valfria funktioner i Azure AD Anslut-konfigurationen eller aktivera den via Windows PowerShell. | Endast molnet | Microsoft 365 E3 eller E5 |
| Konfigurera Lösenordsskydd i Azure AD. Azure AD-lösenordsskydd upptäcker och blockerar kända svaga lösenord och deras varianter och kan också blockera ytterligare svaga termer som är specifika för din organisation. Standard globala förbjudna lösenordslistor tillämpas automatiskt på alla användare i en Azure AD-klient. Du kan definiera ytterligare poster i en anpassad förbjuden lösenordslista. När användare ändrar eller återställer sina lösenord kontrolleras dessa förbjudna lösenordslistor för att använda starka lösenord. | Microsoft 365 E3 eller E5 | |
| Aktivera Azure Active Directory identitetsskydd. Med Azure AD Identity Protection kan du upptäcka potentiella säkerhetsproblem som påverkar organisationens identiteter och konfigurera en automatiserad åtgärdsprincip för låg, medium och hög inloggningsrisk och användarrisk. | Microsoft 365 E5 eller Microsoft 365 E3 med E5-säkerhets tillägget | |
| Aktivera modern autentisering för Exchange Online och för Skype för företag Online. Modern autentisering krävs för att använda MFA. Modern autentisering är aktiverad som standard för Office 2016- och 2019-klienter, SharePoint och OneDrive för företag. | Microsoft 365 E3 eller E5 | |
| Aktivera kontinuerlig åtkomstutvärdering för Azure AD. Utvärdering av kontinuerlig åtkomst avslutar proaktivt aktiva användarsessioner och tillämpar principändringar för klientorganisationen i nära realtid. | Microsoft 365 E3 eller E5 | |
Rekommenderade klientkonfigurationer
I det här avsnittet beskrivs standardkonfigurationerna för plattformsklienter som vi rekommenderar för att ge bästa möjliga SSO-upplevelse för användarna samt de tekniska förutsättningarna för villkorsstyrd åtkomst.
Windows enheter
Vi rekommenderar Windows 11 eller Windows 10 (version 2004 eller senare), eftersom Azure är utformat för att tillhandahålla så smidig SSO-upplevelse som möjligt för både lokal och Azure AD. Arbets- eller skolenheter bör konfigureras för att ansluta till Azure AD direkt, eller om organisationen använder en lokal AD-domänkoppling bör de enheterna konfigureras för att automatiskt och utan att registreras i azure AD.
För BYOD Windows-enheter kan användarna använda Lägg till arbets- eller skolkonto. Observera att användare av Google Chrome på Windows 11 eller Windows 10-enheter måste installera ett tillägg för att få samma smidiga inloggning som för Microsoft Edge användare. Om organisationen har domänkopplingar med Windows 8 eller 8.1-enheter kan du även installera Microsoft Workplace Join för icke-Windows 10 datorer. Ladda ned paketet för att registrera enheterna i Azure AD.
iOS-enheter
Vi rekommenderar att du installerar Microsoft Authenticator-appen på användarnas enheter innan du distribuerar villkorsstyrda principer eller MFA-principer. Som ett minimum bör appen installeras när användare uppmanas att registrera sin enhet med Azure AD genom att lägga till ett arbets- eller skolkonto, eller när de installerar appen Intune-företagsportal för att registrera sin enhet i hantering. Det här beror på den konfigurerade villkorsstyrda åtkomstprincipen.
Android-enheter
Vi rekommenderar att användarna installerar Intune-företagsportal- och Microsoft Authenticator-appen innan villkorsstyrda åtkomstprinciper distribueras eller när de krävs under vissa autentiseringsförsök. Efter appinstallationen kan användarna uppmanas att registrera sig i Azure AD eller registrera sin enhet med Intune. Det här beror på den konfigurerade villkorsstyrda åtkomstprincipen.
Vi rekommenderar även att enheter som ägs av organisationen standardiseras på OEMM och versioner som stöder Android för arbete eller Samsung Knox för att tillåta e-postkonton, att de hanteras och skyddas av Intune MDM-policy.
Rekommenderade e-postklienter
Följande e-postklienter har stöd för modern autentisering och villkorlig åtkomst.
| Plattform | Klient | Version/Anteckningar |
|---|---|---|
| Windows | Outlook | 2019, 2016, 2013 |
| iOS | Outlook för iOS | Senaste |
| Android | Outlook för Android | Senaste |
| macOS | Outlook | 2019 och 2016 |
| Linux | Stöds inte | |
Rekommenderade klientplattformar när du skyddar dokument
Följande klienter rekommenderas när en princip för säkra dokument har tillämpats.
| Plattform | Word/Excel/PowerPoint | OneNote | OneDrive-appen | SharePoint-appen | OneDrive-synkroniseringsklient |
|---|---|---|---|---|---|
| Windows 11 eller Windows 10 | Stöds | Stöds | EJ TILLÄMPLIGT | EJ TILLÄMPLIGT | Stöds |
| Windows 8.1 | Stöds | Stöds | EJ TILLÄMPLIGT | EJ TILLÄMPLIGT | Stöds |
| Android | Stöds | Stöds | Stöds | Stöds | EJ TILLÄMPLIGT |
| iOS | Stöds | Stöds | Stöds | Stöds | EJ TILLÄMPLIGT |
| macOS | Stöds | Stöds | EJ TILLÄMPLIGT | EJ TILLÄMPLIGT | Stöds inte |
| Linux | Stöds inte | Stöds inte | Stöds inte | Stöds inte | Stöds inte |
Microsoft 365 klientsupport
Mer information om klientsupport i Microsoft 365 finns i följande artiklar:
- Microsoft 365 klientapp-support – villkorsstyrd åtkomst
- Microsoft 365 klientapp-support – multifaktorautentisering
Skydda administratörskonton
För Microsoft 365 E3 eller E5 eller med separata Azure AD Premium P1- eller P2-licenser kan du kräva MFA för administratörskonton med en manuellt skapad princip för villkorsstyrd åtkomst. Mer information finns i Villkorsstyrd åtkomst: Kräv MFA för administratörer.
För versioner av Microsoft 365 eller Office 365 som inte stöder villkorsstyrd åtkomst kan du aktivera säkerhetsstandarder så att MFA krävs för alla konton.
Här är några ytterligare rekommendationer:
- Använd Azure AD Privileged Identity Management för att minska antalet beständiga administrativa konton.
- Använd hantering av privilegierad åtkomst för att skydda organisationen från överträdelser som kan använda befintliga administratörskonton med stående åtkomst till känsliga data eller åtkomst till viktiga konfigurationsinställningar.
- Skapa och använda separata konton som endast Microsoft 365 administratörsroller för administration. Administratörer bör ha sina egna användarkonton för normal icke-administrativ användning och bara använda ett administrativt konto när det behövs för att slutföra en uppgift som hör till deras roll eller befattning.
- Följ de bästa metoderna för att skydda behöriga konton i Azure AD.
Nästa steg
Konfigurera vanliga principer för nollförtroendeidentitet och enhetsåtkomst
