Konfigurationer av Zero Trust-identitet och enhetsåtkomst
Gäller för
Säkerhetsarkitekturer som förlitar sig på nätverksbrandvägg och virtuella privata nätverk (VPN) för att isolera och begränsa åtkomst till en organisations teknikresurser och tekniktjänster är inte längre tillräckliga för en arbetsstyrka som regelbundet kräver åtkomst till program och resurser som finns utanför traditionella företagsnätverksgränser.
För att hantera den här nya datormiljön rekommenderar Microsoft säkerhetsmodellen Zero Trust, som baseras på dessa vägledande principer:
Verifiera explicit
Autentisera och auktorisera alltid baserat på alla tillgängliga datapunkter. Det är här noll förtroende-identitet och åtkomstprinciper för enheter är avgörande för inloggning och kontinuerlig validering.
Använd åtkomst med minst behörighet
Begränsa användaråtkomsten med Bara-I-tid och Just-Enough-Access (JIT/JEA), riskbaserade adaptiva policyer och dataskydd.
Anta intrång
Minimera virrkningsradien och segmentåtkomst. Verifiera end-to-end-kryptering och använd analys för att få synlighet, öka hotidentifieringen och förbättra skyddet.
Här är den övergripande arkitekturen för Noll förtroende.
Principer för noll förtroende-identitet och enhetsåtkomst anger uttryckligen vägledande princip för:
Identiteter
När en identitet försöker komma åt en resurs kan du verifiera den identiteten med stark autentisering och säkerställa att den begärda åtkomsten är kompatibel och typisk.
Enheter (kallas även slutpunkter)
Övervaka och tillämpa hälso- och efterlevnadskrav för enheter för säker åtkomst.
Program
Använd kontroller och tekniker för att upptäcka skugg-IT, garantera lämpliga behörigheter i programmet, åtkomst via grind baserat på analyser i realtid, övervaka onormalt beteende, kontrollera användaråtgärder och verifiera säkra konfigurationsalternativ.
Den här serien med artiklar beskriver en uppsättning konfigurationer med identiteter och enhetsåtkomst som krävs samt en uppsättning konfigurationer av Azure Active Directory villkorsstyrd åtkomst (Azure AD), Microsoft Intune och andra principer för åtkomst via Zero Trust till Microsoft 365 för företagsmolnappar och -tjänster, andra SaaS-tjänster och lokala program som publicerats med Azure AD-programproxy.
Nollförtroendeidentitet och enhetsåtkomstinställningar och -principer rekommenderas på tre nivåer: startpunkt, företag och särskild säkerhet för miljöer med mycket reglerade eller klassificerade data. De här nivåerna och deras motsvarande konfigurationer ger enhetliga nivåer av nollförtroendeskydd för dina data, identiteter och enheter.
De här funktionerna och deras rekommendationer:
- Stöds i Microsoft 365 E3 och Microsoft 365 E5.
- Är i linje med Microsoft Secure Score samt identitetspoäng i Azure AD, och kommer att öka dessa resultat för din organisation.
- Kommer att hjälpa dig att implementera de här fem stegen för att skydda din identitetsinfrastruktur.
Om organisationen har unika miljökrav eller komplexitet kan du använda de här rekommendationerna som utgångspunkt. Men de flesta organisationer kan implementera de här rekommendationerna som bestämts.
Titta på den här videon för en snabb överblick över identitets- och enhetsåtkomstkonfigurationer för Microsoft 365 för företag.
Anteckning
Microsoft säljer även Enterprise Mobility + Security (EMS)-licenser för Office 365 abonnemang. EMS E3- och EMS E5-funktionerna motsvarar de i Microsoft 365 E3 och Microsoft 365 E5. Mer information finns i EMS-abonnemang.
Avsedd målgrupp
De här rekommendationerna är avsedda för företagsarkitekter och IT-personal som känner till Microsoft 365-molnproduktivitets- och säkerhetstjänsterna, som omfattar Azure AD (identitet), Microsoft Intune (enhetshantering) och Microsoft Information Protection (dataskydd).
Kundmiljö
De rekommenderade principerna gäller för företagsorganisationer som arbetar både helt i Microsoft-molnet och för kunder med hybrididentitetsinfrastruktur, som är en lokal AD DS-skog (Active Directory Domain Services) som synkroniseras med en Azure AD-klientorganisation.
Många av de medföljande rekommendationerna förlitar sig på tjänster som endast är Microsoft 365 E5, Microsoft 365 E3 med E5-säkerhets tillägg, EMS E5 eller Azure AD Premium P2 licenser.
För de organisationer som inte har dessa licenser rekommenderar Microsoft att du minst implementerar säkerhetsstandarder som ingår i alla Microsoft 365 abonnemang.
Varningar
Din organisation kan omfattas av regelkrav eller andra efterlevnadskrav, bland annat specifika rekommendationer som kan innebära att du måste använda principer som skiljer sig från dessa rekommenderade konfigurationer. Dessa konfigurationer rekommenderar användningskontroller som inte har varit tillgängliga under en längre tid. Vi rekommenderar dessa kontroller eftersom vi tror att de står för en balans mellan säkerhet och produktivitet.
Vi har gjort vårt bästa för att ta hänsyn till en mängd olika krav på organisationsskydd, men vi kan inte ta med alla möjliga krav eller för alla unika aspekter av din organisation.
Tre nivåer av skydd
De flesta organisationer har särskilda krav gällande säkerhet och dataskydd. Kraven varierar efter branschsegment och efter jobbfunktioner inom organisationer. Din juridiska avdelning och administratörer kan till exempel kräva ytterligare säkerhets- och informationsskyddskontroller kring sin e-postkorrespondens som inte krävs för andra affärsenheter.
Varje bransch har också en egen uppsättning särskilda bestämmelser. I stället för att ge en lista över alla möjliga säkerhetsalternativ eller en rekommendation per branschsegment eller jobbfunktion har rekommendationer lagts till för tre olika nivåer av säkerhet och skydd som kan tillämpas utifrån hur detaljerade dina behov är.
- Startpunkt: Vi rekommenderar alla kunder att upprätta och använda en lägsta standard för att skydda data, liksom identiteter och enheter som får åtkomst till dina data. Du kan följa de här rekommendationerna för att ge ett starkt standardskydd som utgångspunkt för alla organisationer.
- Företag: Vissa kunder har en delmängd data som måste skyddas på högre nivåer, eller så kan alla data behöva skyddas på en högre nivå. Du kan tillämpa ett bättre skydd på alla eller vissa datauppsättningar i Microsoft 365 miljö. Vi rekommenderar att du skyddar identiteter och enheter som använder känslig information med liknande säkerhetsnivåer.
- Särskild säkerhet: Vid behov har ett fåtal kunder en liten mängd data som klassificeras mycket, utgör affärshemligheter eller är reglerade. Microsoft tillhandahåller funktioner som hjälper dessa kunder att uppfylla dessa krav, inklusive ytterligare skydd för identiteter och enheter.
I den här vägledningen visas hur du implementerar nollförtroendeskydd för identiteter och enheter för var och en av dessa skyddsnivåer. Använd den här vägledningen som ett minimum för organisationen och justera principerna så att de uppfyller organisationens specifika krav.
Det är viktigt att använda enhetliga skyddsnivåer för dina identiteter, enheter och data. Skydd för användare med prioritetskonton, till exempel chefer, chefer och andra, bör till exempel omfatta samma skyddsnivå för deras identiteter, deras enheter och de data de har — — åtkomst till.
Mer information finns i distribuera informationsskydd för lösningen för datasekretessföreskrifter för att skydda information som lagras i Microsoft 365.
Byte av säkerhet och produktivitet
För att implementera en säkerhetsstrategi måste du byta mellan säkerhet och produktivitet. Det är bra att utvärdera hur varje beslut påverkar balans av säkerhet, funktion och enkelhet.
Rekommendationerna som ges baseras på följande principer:
- Känna till användarna och var flexibel när det gäller säkerhet och funktion.
- Tillämpa en säkerhetspolicy i tid och se till att den är meningsfull.
Tjänster och koncept för Zero Trust-identitet och åtkomstskydd för enheter
Microsoft 365 för företag har utformats för stora organisationer för att alla ska kunna vara kreativa och arbeta tillsammans på ett säkert sätt.
Det här avsnittet innehåller en översikt över Microsoft 365 tjänster och funktioner som är viktiga för Zero Trust-identitet och enhetsåtkomst.
Azure AD
Azure AD innehåller en komplett uppsättning identitetshanteringsfunktioner. Vi rekommenderar att du använder de här funktionerna för att skydda åtkomsten.
| Resurs eller funktion | Beskrivning | Licensiering |
|---|---|---|
| Multifaktorautentisering (MFA) | MFA kräver att användarna tillhandahåller två typer av verifiering, till exempel ett användarlösenord plus en avisering från Microsoft Authenticator-appen eller ett telefonsamtal. MFA minskar kraftigt risken för att stulna autentiseringsuppgifter kan användas för att komma åt din miljö. Microsoft 365 använder tjänsten Azure AD Multi-Factor Authentication för MFA-baserade inloggningar. | Microsoft 365 E3 eller E5 |
| Villkorsstyrd åtkomst | Azure AD utvärderar villkoren för användarens inloggning och använder villkorsstyrda åtkomstprinciper för att fastställa tillåten åtkomst. I den här vägledningen visar vi till exempel hur du skapar en princip för villkorsstyrd åtkomst för att kräva enhetsefterlevnad för åtkomst till känsliga data. Det här minskar kraftigt risken att en hackare med sin egen enhet och stulna autentiseringsuppgifter kan komma åt känsliga data. Den skyddar även känsliga data på enheterna, eftersom enheterna måste uppfylla särskilda hälso- och säkerhetskrav. | Microsoft 365 E3 eller E5 |
| Azure AD-grupper | Villkorsstyrda åtkomstprinciper, enhetshantering med Intune och även behörigheter till filer och webbplatser i organisationen förlitar sig på tilldelning till användarkonton eller Azure AD-grupper. Vi rekommenderar att du skapar Azure AD-grupper som motsvarar de skyddsnivåer som du implementerar. Din chef kan exempelvis få högre värdemål för hackare. Därför är det vettigt att lägga till användarkonton för dessa anställda i en Azure AD-grupp och tilldela gruppen villkorsstyrda åtkomstprinciper och andra principer som upprätthåller en högre skyddsnivå för åtkomst. | Microsoft 365 E3 eller E5 |
| Enhetsregistrering | Du registrerar en enhet i Azure AD för att skapa en identitet för enheten. Den här identiteten används för att autentisera enheten när en användare loggar in och för att använda villkorsstyrda åtkomstprinciper som kräver domän- eller kompatibla datorer. För den här vägledningen använder vi enhetsregistrering för att automatiskt registrera domän-Windows datorer. Enhetsregistrering krävs för att hantera enheter med Intune. | Microsoft 365 E3 eller E5 |
| Azure AD Identity Protection | Gör att du kan upptäcka potentiella säkerhetsproblem som påverkar organisationens identiteter och konfigurera en automatiserad åtgärdsprincip på låg, medium och hög inloggningsrisk och användarrisk. Den här vägledningen förlitar sig på den här riskutvärderingen för att tillämpa villkorsstyrda åtkomstprinciper för multifaktorautentisering. Den här vägledningen innehåller även en princip för villkorsstyrd åtkomst som kräver att användarna ändrar sitt lösenord om högriskaktivitet identifieras för kontot. | Microsoft 365 E5, Microsoft 365 E3 med E5-säkerhetslicenserna, EMS E5 Azure AD Premium P2 säkerhetslicenserna |
| Självbetjäning för återställning av lösenord (SSPR) | Låt användarna återställa sina lösenord på ett säkert sätt och utan åtgärder från supportavdelningen genom att tillhandahålla verifiering av flera autentiseringsmetoder som administratören kan kontrollera. | Microsoft 365 E3 eller E5 |
| Lösenordsskydd i Azure AD | Identifiera och blockera kända svaga lösenord och deras varianter och ytterligare svaga termer som är specifika för din organisation. Standard globala förbjudna lösenordslistor tillämpas automatiskt på alla användare i en Azure AD-klient. Du kan definiera ytterligare poster i en anpassad förbjuden lösenordslista. När användare ändrar eller återställer sina lösenord kontrolleras dessa förbjudna lösenordslistor för att använda starka lösenord. | Microsoft 365 E3 eller E5 |
Här är komponenterna för zero trust-identitet och enhetsåtkomst, inklusive Intune- och Azure AD-objekt, inställningar och undertjänster.
Microsoft Intune
Intune är Microsofts molnbaserade tjänst för hantering av mobila enheter. Den här vägledningen rekommenderar enhetshantering av Windows-datorer med Intune och rekommenderar konfigurationer för enhetsefterlevnadsprincipen. Intune avgör om enheterna är kompatibla och skickar dessa data till Azure AD för användning när villkorsstyrd åtkomstprincip används.
Intune-appskydd
Appskyddsprinciperna för Intune kan användas för att skydda organisationens data i mobilappar, med eller utan att registrera enheter i hantering. Intune hjälper till att skydda information, se till att dina anställda fortfarande är produktiva och förhindrar dataförlust. Genom att implementera principer på programnivå kan du begränsa åtkomsten till företagets resurser och hålla data inom it-avdelningens kontroll.
Den här vägledningen visar hur du skapar rekommenderade principer för att tillämpa användningen av godkända appar och för att avgöra hur apparna kan användas med dina affärsdata.
Microsoft 365
Den här vägledningen visar hur du implementerar en uppsättning principer för att skydda åtkomsten till Microsoft 365-molntjänster, inklusive Microsoft Teams, Exchange, SharePoint och OneDrive. Förutom att implementera dessa principer rekommenderar vi att du även höjer skyddsnivån för din klientorganisation med hjälp av följande resurser:
Konfigurera din klientorganisationen för bättre säkerhet
Rekommendationer som gäller för startpunktssäkerhet för din klientorganisation.
Säkerhetsöversikt: Högsta prioritet för de första 30 dagarna, 90 dagarna och därefter
Rekommendationer som omfattar loggning, datastyrning, administratörsåtkomst och skydd mot hot.
Windows 11 eller Windows 10 med Microsoft 365-appar för företag
Windows 11 eller Windows 10 med Microsoft 365-appar för företag är den rekommenderade klientmiljön för PC-datorer. Vi rekommenderar Windows 11 eller Windows 10 eftersom Azure är utformat för att tillhandahålla den smidigaste upplevelsen för både lokal och Azure AD. Windows 11 eller Windows 10 också avancerade säkerhetsfunktioner som kan hanteras via Intune. Microsoft 365-appar för företag innehåller de senaste versionerna av Office program. Dessa använder modern autentisering, som är säkrare och ett krav för villkorsstyrd åtkomst. De här apparna innehåller även förbättrade efterlevnads- och säkerhetsverktyg.
Tillämpa dessa funktioner på de tre skyddsnivåerna
I följande tabell sammanfattas våra rekommendationer för att använda dessa funktioner över de tre skyddsnivåerna.
| Skyddmekanism | Startpunkt | Enterprise | Särskild säkerhet |
|---|---|---|---|
| Framtvinga MFA | På medelhög eller över inloggningsrisk | Vid låg eller över inloggningsrisk | I alla nya sessioner |
| Framtvinga lösenordsändring | För högriskanvändare | För högriskanvändare | För högriskanvändare |
| Tillämpa Intune-programskydd | Ja | Ja | Ja |
| Framtvinga Intune-registrering för en organisationsägd enhet | Kräv en kompatibel eller domän ansluten dator, men tillåt att du tar med egna enheter (BYOD) telefoner och surfplattor | Kräv en kompatibel eller domän ansluten enhet | Kräv en kompatibel eller domän ansluten enhet |
Enhetsägarskap
Tabellen ovan återspeglar trenden för många organisationer att stödja en blandning av organisationer ägda enheter, liksom personliga enheter eller BYOD för att möjliggöra mobil produktivitet för hela arbetsstyrkan. Appskyddsprinciperna för Intune säkerställer att e-post skyddas från att föra ut Outlook-mobilappen och andra Office-mobilappar, på både organisationsägda enheter och BYOD.
Vi rekommenderar att enheter som ägs av organisationen hanteras av Intune eller domän-ansluten för att tillämpa ytterligare skydd och kontroll. Beroende på datakänslighet kan organisationen välja att inte tillåta BYODs för specifika användargrupper eller specifika appar.
Distribution och dina program
Innan du konfigurerar och distribuerar Zero Trust-identitet och enhetsåtkomstkonfiguration för Azure AD-integrerade appar måste du:
Bestäm vilka appar som ska användas i din organisation.
Analysera den här listan med appar för att fastställa vilka principer som ger tillräcklig skyddsnivå.
Du bör inte skapa separata uppsättningar av principer för varje program eftersom det kan bli krångligt att hantera dem. Microsoft rekommenderar att du grupperar appar som har samma skyddskrav för samma användare.
Du kan till exempel ha en uppsättning principer som innehåller alla Microsoft 365-program för alla dina användare för startpunktsskydd och en andra uppsättning principer för alla känsliga program, till exempel de som används av personalavdelningen eller ekonomiavdelningen, och tillämpa dem på dessa grupper.
När du har fastställt uppsättningen principer för de appar som du vill skydda distribuerar du principerna till användarna stegvis och tar itu med problem på vägen.
Konfigurera till exempel de principer som ska användas för alla Microsoft 365-appar för Exchange med ytterligare ändringar för Exchange. Distribuera de här principerna till användarna och gå igenom eventuella problem. Lägg sedan till Teams med de ytterligare ändringarna och distribuera det till användarna. Lägg sedan till SharePoint med de ytterligare ändringarna. Fortsätt att lägga till resten av dina appar tills du kan tryggt konfigurera dessa principer så att de omfattar alla Microsoft 365 program.
På samma sätt kan du för känsliga appar skapa en uppsättning principer och lägga till en app i taget och gå igenom eventuella problem tills de alla har inkluderats i den känsliga programprincipuppsättningen.
Microsoft rekommenderar att du inte skapar principuppsättningar som gäller för alla appar eftersom det kan resultera i oavsiktliga konfigurationer. Principer som blockerar alla appar kan till exempel låsa administratörerna från Azure-portalen och undantag kan inte konfigureras för viktiga slutpunkter som Microsoft Graph.
Steg för att konfigurera zero trust-identitet och enhetsåtkomst
- Konfigurera nödvändiga identitetsfunktioner och deras inställningar.
- Konfigurera principer för villkorsstyrd åtkomst och identitet.
- Konfigurera villkorsstyrda åtkomstprinciper för gäst- och externa användare.
- Konfigurera principer för villkorsstyrd åtkomst Microsoft 365 för molnappar — som Microsoft Teams, Exchange och SharePoint — och Microsoft Defender för molnappar.
När du har konfigurerat nollförtroendeidentitet och enhetsåtkomst finns i distributionsguiden för Azure AD-funktioner för en fasad checklista med ytterligare funktioner att överväga samt Azure AD-identitetsstyrning för att skydda, övervaka och granska åtkomst.
Nästa steg
Arbete som krävs för implementering av nollförtroendeidentitet och åtkomstprinciper för enheter