Nödvändigt arbete för implementering av identitets-och enhets åtkomst principerPrerequisite work for implementing identity and device access policies

I den här artikeln beskrivs förutsättningar som måste implementeras innan du kan distribuera Rekommenderad identitet och enhets åtkomst principer.This article describes prerequisites that need to be implemented before you can deploy the recommended identity and device access policies. I den här artikeln beskrivs också rekommenderade standardinställningar för konfigurering av plattformar för att tillhandahålla den bästa enkel inloggnings upplevelsen (SSO) för användarna, samt de tekniska kraven för villkorlig åtkomst.This article also discusses the recommended default platform client configurations to provide the best single sign-on (SSO) experience to your users, as well as the technical prerequisites for Conditional Access.

FörutsättningarPrerequisites

Innan du implementerar de rekommenderade principer för identitet och enheter finns det flera förutsättningar för att organisationen måste mötas för dessa identitets-och autentiseringsdata för Microsoft 365 och Office 365:Before implementing the recommended identity and device access policies, there are several prerequisites that your organization must meet for these identity and authentication models for Microsoft 365 and Office 365:

  • Endast molnetCloud-only
  • Hybrid med lösenord för lösen ords-hash (PHS)Hybrid with password hash sync (PHS) authentication
  • Hybrid med direktautentisering (PTA)Hybrid with pass-through authentication (PTA)
  • ExternFederated

I följande tabell beskrivs de nödvändiga funktionerna och deras konfiguration som gäller för alla identitets modeller förutom där det anges.The following table details the prerequisite features and their configuration that apply to all identity models, except where noted.

KonfigurationConfiguration UndantaExceptions
Konfigurera PHS.Configure PHS. Detta måste vara aktiverat för att upptäcka läcka autentiseringsuppgifter och för att fungera med en riskfylld, villkorlig åtkomst.This must be enabled to detect leaked credentials and to act on them for risk-based Conditional Access. Obs! Det här är obligatoriskt oavsett om din organisation använder federerad identifiering.Note: This is required regardless of whether your organization uses federated authentication. Endast molnetCloud-only
Aktivera sömlös enkel inloggning för att automatiskt signera användare i när de är på deras organisations enheter som är anslutna till organisationens nätverk.Enable seamless single sign-on to automatically sign users in when they are on their organization devices connected to your organization network. Endast moln och federeradCloud-only and federated
Konfigurera namngivna nätverk.Configure named networks. Azure AD Identity Protection samlar in och analyserar alla tillgängliga sessionsdata för att generera risk poäng.Azure AD Identity Protection collects and analyzes all available session data to generate a risk score. Vi rekommenderar att du anger din organisations offentliga IP-adressintervall för ditt nätverk i konfiguration av Azure AD med namnet Networks.We recommend you specify your organization's public IP ranges for your network in the Azure AD named networks configuration. Trafik från dessa områden ges minskad risk Poäng och trafik utanför organisations miljön får ett högre risk poäng.Traffic coming from these ranges is given a reduced risk score, and traffic from outside the organization environment is given a higher risk score.
Registrera alla användare för självbetjäning för återställning av lösen ord (SSPR) och multifaktorautentisering (MFA).Register all users for self-service password reset (SSPR) and multi-factor authentication (MFA). Vi rekommenderar att du registrerar användare för Azure AD Multi-Factor-verifikation i förväg.We recommend you register users for Azure AD Multi-Factor Authentication ahead of time. Azure AD Identity Protection använder Azure AD Multi-Factor-verifiering för att utföra ytterligare säkerhets verifiering.Azure AD Identity Protection makes use of Azure AD Multi-Factor Authentication to perform additional security verification. För bästa inloggnings upplevelse rekommenderar vi att användare installerar Microsoft Authenticator-appen och Microsoft-företagsportalsappen på sina enheter.Additionally, for the best sign-in experience, we recommend users install the Microsoft Authenticator app and the Microsoft Company Portal app on their devices. De här kan installeras från App Store för varje plattform.These can be installed from the app store for each platform.
Aktivera automatisk registrering av en domänansluten Windows-dator.Enable automatic device registration of domain-joined Windows computers. Villkorsstyrd åtkomst säkerställer att enheter som ansluter till program är domänansluten eller kompatibla.Conditional Access will make sure devices connecting to apps are domain-joined or compliant. För att du ska kunna använda detta på Windows-datorer måste enheten vara registrerad med Azure AD.To support this on Windows computers, the device must be registered with Azure AD. I den här artikeln beskrivs hur du konfigurerar automatisk registrering av enheter.This article discusses how to configure automatic device registration. Endast molnetCloud-only
Förbered support teamet.Prepare your support team. Ha en plan för användare som inte kan slutföra MFA.Have a plan in place for users that cannot complete MFA. Detta kan läggas till i en princip undantags grupp eller Registrera ny MFA-information för dem.This could be adding them to a policy exclusion group, or registering new MFA information for them. Innan du gör något av följande säkerhets känsliga ändringar måste du se till att den faktiska användaren gör det.Before making either of these security-sensitive changes, you need to ensure that the actual user is making the request. Att kräva att användarnas chefer får hjälp med godkännandet är ett effektivt steg.Requiring users' managers to help with the approval is an effective step.
Konfigurera tillbakaskrivning för lösen ord för lokal annons.Configure password writeback to on-premises AD. Med Lösenordssynkronisering kan Azure AD begära att användarna ändrar sina lokala lösen ord när ett högrisk problem upptäcks.Password writeback allows Azure AD to require that users change their on-premises passwords when a high-risk account compromise is detected. Du kan aktivera den här funktionen med Azure AD Connect på ett av två sätt: aktivera Ångra lösen ord på skärmen valfria funktioner i installations guiden för Azure AD Connect eller aktivera den via Windows PowerShell.You can enable this feature using Azure AD Connect in one of two ways: either enable Password Writeback in the optional features screen of the Azure AD Connect setup wizard, or enable it via Windows PowerShell. Endast molnetCloud-only
Konfigurera lösen ords skydd för Azure AD.Configure Azure AD password protection. Azure AD-lösenordsskydd upptäcker och blockerar kända svaga lösenord och deras varianter och kan också blockera ytterligare svaga termer som är specifika för din organisation.Azure AD Password Protection detects and blocks known weak passwords and their variants, and can also block additional weak terms that are specific to your organization. Standard globala förbjudna lösenordslistor tillämpas automatiskt på alla användare i en Azure AD-klient.Default global banned password lists are automatically applied to all users in an Azure AD tenant. Du kan definiera ytterligare poster i en anpassad förbjuden lösenordslista.You can define additional entries in a custom banned password list. När användare ändrar eller återställer sina lösenord kontrolleras dessa förbjudna lösenordslistor för att använda starka lösenord.When users change or reset their passwords, these banned password lists are checked to enforce the use of strong passwords.
Aktivera Azure Active Directory-kryptering.Enable Azure Active Directory Identity Protection. Azure AD Identity Protection gör att du kan upptäcka potentiella sårbarheter som påverkar organisationens identitet och konfigurera en automatisk reparations princip för att Visa riskerna med låg, medelhög och stor inloggning och användare.Azure AD Identity Protection enables you to detect potential vulnerabilities affecting your organization's identities and configure an automated remediation policy to low, medium, and high sign-in risk and user risk.
Aktivera modern lösenordsautentisering för Exchange Online och för Skype för företag – Online.Enable modern authentication for Exchange Online and for Skype for Business Online. Modern verifiering är en förutsättning för användning av MFA.Modern authentication is a prerequisite for using MFA. Modern autentisering är aktive rad som standard för Office 2016 och 2019 klienter, SharePoint och OneDrive för företag.Modern authentication is enabled by default for Office 2016 and 2019 clients, SharePoint, and OneDrive for Business.

I det här avsnittet beskrivs de standardinställningar för Platform-klient vi rekommenderar att tillhandahålla den bästa SSO-upplevelsen för användarna, samt de tekniska kraven för villkorlig åtkomst.This section describes the default platform client configurations we recommend to provide the best SSO experience to your users, as well as the technical prerequisites for Conditional Access.

Windows-enheterWindows devices

Vi rekommenderar Windows 10 (version 2004 eller senare) eftersom Azure är utformat för att tillhandahålla det smidigaste SSO-gränssnittet för både lokalt och Azure AD.We recommend the Windows 10 (version 2004 or later), as Azure is designed to provide the smoothest SSO experience possible for both on-premises and Azure AD. Arbets-eller skolbaserade enheter ska konfigureras för att ansluta till Azure AD direkt eller om organisationen använder lokal AD-domänansluten-anslutning ska dessa enheter konfigureras att automatiskt och tyst registrera med Azure AD.Work or school-issued devices should be configured to join Azure AD directly or if the organization uses on-premises AD domain join, those devices should be configured to automatically and silently register with Azure AD.

För BYOD Windows-enheter kan användare använda Lägg till arbets-eller skol konto.For BYOD Windows devices, users can use Add work or school account. Observera att användare av Google Chrome-webbläsaren på Windows 10-enheter måste Installera ett tillägg för att få samma smidiga inloggnings upplevelse som Microsoft Edge-användare.Note that users of the Google Chrome browser on Windows 10 devices need to install an extension to get the same smooth sign-in experience as Microsoft Edge users. Om din organisation har en domänansluten Windows 8-eller 8,1-enheter kan du även installera Microsoft Workplace Join för datorer utanför Windows 10.Also, if your organization has domain-joined Windows 8 or 8.1 devices, you can install Microsoft Workplace Join for non-Windows 10 computers. Ladda ner paketet för att registrera enheterna med Azure AD.Download the package to register the devices with Azure AD.

iOS-enheteriOS devices

Vi rekommenderar att du installerar Microsoft Authenticator-appen på användarnas enheter innan du distribuerar villkorsstyrd åtkomst eller MFA-principer.We recommend installing the Microsoft Authenticator app on user devices before deploying Conditional Access or MFA policies. Du bör minst installera programmet när användarna ska registrera sin enhet med Azure AD genom att lägga till ett arbets-eller skol konto, eller när de installerar programmet Intune-företagsportalsappen för att registrera enheten i hanteringen.At a minimum, the app should be installed when users are asked to register their device with Azure AD by adding a work or school account, or when they install the Intune company portal app to enroll their device into management. Detta beror på den konfigurerade principen för villkorsstyrd åtkomst.This depends on the configured Conditional Access policy.

Android-enheterAndroid devices

Vi rekommenderar att användare installerar programmet Intune -företagsportalsappen och Microsoft Authenticator-appen innan principer för villkorsstyrd åtkomst distribueras eller när det behövs under vissa autentiseringsförsök.We recommend users install the Intune Company Portal app and Microsoft Authenticator app before Conditional Access policies are deployed or when required during certain authentication attempts. Efter programinstallationen kan användarna uppmanas att registrera sig med Azure AD eller registrera sin enhet med Intune.After app installation, users may be asked to register with Azure AD or enroll their device with Intune. Detta beror på den konfigurerade principen för villkorsstyrd åtkomst.This depends on the configured Conditional Access policy.

Vi rekommenderar även att företagsägda enheter standardiseras på OEM-tillverkare och versioner som stöder Android för arbete eller Samsung KNOX för att tillåta att e-postkonton hanteras och skyddas av Intune MDM policy.We also recommend that organization-owned devices are standardized on OEMs and versions that support Android for Work or Samsung Knox to allow mail accounts, be managed and protected by Intune MDM policy.

Följande e-postklienter stöder modern och villkorlig åtkomst.The following email clients support modern authentication and Conditional Access.

PlattformPlatform KlientClient Version/anteckningarVersion/Notes
WindowsWindows OutlookOutlook 2019, 2016, 20132019, 2016, 2013

Aktivera modern verifikationEnable modern authentication

Uppdateringar som krävsRequired updates

iOSiOS Outlook för iOSOutlook for iOS RelatesToLatest
AndroidAndroid Outlook för AndroidOutlook for Android RelatesToLatest
macOSmacOS OutlookOutlook 2019 och 20162019 and 2016
LinuxLinux Stöds inteNot supported

Följande klienter rekommenderas när en princip för säker dokument tillämpas.The following clients are recommended when a secure documents policy has been applied.

PlattformPlatform Word/Excel/PowerPointWord/Excel/PowerPoint OneNoteOneNote OneDrive-appenOneDrive App SharePoint-AppSharePoint App OneDrive-synkroniseringsklientOneDrive sync client
Windows 8.1Windows 8.1 StödsSupported StödsSupported EJ TILLÄMPLIGTN/A EJ TILLÄMPLIGTN/A StödsSupported
Windows 10Windows 10 StödsSupported StödsSupported EJ TILLÄMPLIGTN/A EJ TILLÄMPLIGTN/A StödsSupported
AndroidAndroid StödsSupported StödsSupported StödsSupported StödsSupported SaknasN/A
iOSiOS StödsSupported StödsSupported StödsSupported StödsSupported SaknasN/A
macOSmacOS StödsSupported StödsSupported EJ TILLÄMPLIGTN/A EJ TILLÄMPLIGTN/A Stöds inteNot supported
LinuxLinux Stöds inteNot supported Stöds inteNot supported Stöds inteNot supported Stöds inteNot supported Stöds inteNot supported

Support för Microsoft 365-klienterMicrosoft 365 client support

Mer information om klient stöd i Microsoft 365 finns i följande artiklar:For more information about client support in Microsoft 365, see the following articles:

Skydda administratörs kontonProtecting administrator accounts

Du kan kräva MFA för administratörs konton med en manuellt skapad princip för villkorsstyrd åtkomst för Microsoft 365 E3 eller E5 eller med separata Azure AD Premium P1-eller P2-licenser.For Microsoft 365 E3 or E5 or with separate Azure AD Premium P1 or P2 licenses, you can require MFA for administrator accounts with a manually-created Conditional Access policy. Se villkorlig åtkomst: KRÄV MFA för administratörer för att få information.See Conditional Access: Require MFA for administrators for the details.

För utgåvor av Microsoft 365 eller Office 365 som inte har stöd för villkorlig åtkomst kan du aktivera säkerhets standarden för att kräva MFA för alla konton.For editions of Microsoft 365 or Office 365 that do not support Conditional Access, you can enable security defaults to require MFA for all accounts.

Här är några ytterligare rekommendationer:Here are some additional recommendations:

  • Använd Azure AD privilegie rad identitets hantering för att minska antalet beständiga administratörs konton.Use Azure AD Privileged Identity Management to reduce the number of persistent administrative accounts.
  • Använd hanteringen av privilegie rad åtkomst för att skydda din organisation från intrång som kan använda befintliga administratörs konton med åtkomst till känsliga data eller åtkomst till viktiga konfigurations inställningar.Use privileged access management to protect your organization from breaches that may use existing privileged admin accounts with standing access to sensitive data or access to critical configuration settings.
  • Skapa och Använd separata konton som har tilldelats Microsoft 365-administratörs roller endast för administration.Create and use separate accounts that are assigned Microsoft 365 administrator roles only for administration. Administratörer bör ha eget användar konto för regelbunden icke-administrativ användning och kan bara använda ett administratörs konto när det behövs för att slutföra en aktivitet som är kopplad till deras roll eller jobb funktion.Admins should have their own user account for regular non-administrative use and only use an administrative account when necessary to complete a task associated with their role or job function.
  • Följ de bästa metoderna för att skydda privilegierade konton i Azure AD.Follow best practices for securing privileged accounts in Azure AD.

Nästa stegNext step

Steg 2: konfigurera principer för villkorlig åtkomst för en gemensam identitet och åtkomstStep 2: Configure the common identity and access Conditional Access policies

Konfigurera principer för åtkomst för identitet och enheterConfigure the common identity and device access policies