實作 零信任 身分識別和裝置存取原則的必要條件工作

  • 發行項

本文說明系統管理員必須符合的必要條件,才能使用建議的 零信任 身分識別和裝置存取原則,以及使用條件式存取。 它也會討論針對最佳單一登錄 (SSO) 體驗設定用戶端平台的建議預設值。

必要條件

在使用建議的 零信任 身分識別和裝置存取原則之前,您的組織必須符合必要條件。 所列各種身分識別和驗證模型的需求不同:

  • 僅雲端
  • 混合式密碼哈希同步 (PHS) 驗證
  • 混合式傳遞驗證 (PTA)
  • 聯邦

下表詳細說明套用至所有身分識別模型的必要條件功能及其組態,但註明的位置除外。

組態 例外狀況 授權
設定 PHS。 此功能必須啟用以偵測外洩的認證,並針對風險型條件式存取採取行動。 注意: 不論您的組織是否使用同盟驗證,這都是必要的。 僅雲端 Microsoft 365 E3 或 E5
啟用無縫單一登錄 ,以在用戶位於連線到您組織網路的組織裝置上時自動登入。 僅限雲端和同盟 Microsoft 365 E3 或 E5
設定具名位置。 Microsoft Entra ID Protection 收集並分析所有可用的會話數據,以產生風險分數。 建議您在 Microsoft Entra ID 具名位置設定中,為您的網路指定組織的公用IP範圍。 來自這些範圍的流量會獲得降低的風險分數,而來自組織環境外部的流量會獲得較高的風險分數。 Microsoft 365 E3 或 E5
註冊所有用戶進行自助式密碼重設 (SSPR) 和多重要素驗證 (MFA) 。 建議您事先註冊用戶 Microsoft Entra 多重要素驗證。 Microsoft Entra ID Protection 使用 Microsoft Entra 多重要素驗證來執行額外的安全性驗證。 此外,為了獲得最佳的登入體驗,建議使用者在其裝置上安裝 Microsoft Authenticator 應用程式和 Microsoft 公司入口網站 應用程式。 您可以從每個平臺的應用程式市集安裝這些專案。 Microsoft 365 E3 或 E5
規劃您的 Microsoft Entra 混合式聯結實作。 條件式存取可確保連線到應用程式的裝置已加入網域或符合規範。 若要在 Windows 電腦上支援此功能,裝置必須向 Microsoft Entra ID 註冊。 本文討論如何設定自動裝置註冊。 僅雲端 Microsoft 365 E3 或 E5
準備支援小組. 已有針對無法完成 MFA 的使用者的計劃。 這可能是將它們新增至原則排除群組,或為它們註冊新的 MFA 資訊。 在進行其中一項安全性敏感性變更之前,您必須確定實際的使用者正在提出要求。 需要使用者的管理員協助進行核准是有效的步驟。 Microsoft 365 E3 或 E5
將密碼回寫設定成內部部署 AD。 密碼回寫可讓 Microsoft Entra ID 在偵測到高風險帳戶入侵時,要求使用者變更其內部部署密碼。 您可以使用 Microsoft Entra Connect 啟用這項功能的兩種方式之一:在 [連線] 安裝程式的選用功能畫面中啟用 [密碼回寫],或透過 Microsoft Entra Windows PowerShell 啟用。 僅雲端 Microsoft 365 E3 或 E5
設定 Microsoft Entra 密碼保護。 Microsoft Entra 密碼保護會偵測並封鎖已知的弱式密碼及其變體,也可以封鎖貴組織特有的額外弱式字詞。 默認全域禁用密碼清單會自動套用至 Microsoft Entra 租使用者中的所有使用者。 您可以在自訂禁用密碼清單中定義其他條目。 使用者變更或重設密碼時,系統會檢查這些禁用密碼清單,以強制使用強式密碼。 Microsoft 365 E3 或 E5
啟用 Microsoft Entra ID Protection。 Microsoft Entra ID Protection 可讓您偵測影響組織身分識別的潛在弱點,並將自動化補救原則設定為低、中、高登入風險和用戶風險。 使用 E5 安全性附加元件 Microsoft 365 E5 或 Microsoft 365 E3
針對 Exchange Online 和 商務用 SkypeOnline啟用新式驗證。 新式驗證是使用 MFA 的必要條件。 Office 2016 和 2019 用戶端、SharePoint 和 商務用 OneDrive 預設會啟用新式驗證。 Microsoft 365 E3 或 E5
啟用 Microsoft Entra ID的連續存取評估。 持續存取評估會主動終止作用中的用戶會話,並以近乎即時的方式強制執行租用戶原則變更。 Microsoft 365 E3 或 E5

本節說明建議您為使用者提供最佳 SSO 體驗的預設平臺用戶端設定,以及條件式存取的技術必要條件。

Windows 裝置

我們建議 Windows 11 或 Windows 10 (版本 2004 或更新版本) ,因為 Azure 的設計目的是為內部部署和 Microsoft Entra ID 提供最順暢的 SSO 體驗。 公司或學校發行的裝置應設定為直接加入 Microsoft Entra ID,或者如果組織使用內部部署 AD 網域加入,則應將這些裝置設定為自動且以無訊息方式向 Microsoft Entra ID 註冊

針對 BYOD Windows 裝置,使用者可以使用 新增公司或學校帳戶。 請注意,Windows 11 或 Windows 10 裝置上 Google Chrome 瀏覽器的使用者必須安裝擴充功能,才能獲得與 Microsoft Edge 使用者相同的平滑登入體驗。 此外,如果您的組織有已加入網域的 Windows 8 或 8.1 裝置,您可以為非 Windows 10 電腦安裝 Microsoft Workplace Join。 下載套件以向 Microsoft Entra ID 註冊裝置。

iOS 裝置

建議您在部署條件式存取或 MFA 原則之前,先在使用者裝置上安裝 Microsoft Authenticator 應用程式 。 當要求使用者透過新增公司或學校帳戶向 Microsoft Entra ID 註冊其裝置,或安裝 Intune 公司入口網站應用程式以註冊其裝置以進行管理時,至少應該安裝應用程式。 這取決於設定的條件式存取原則。

Android 裝置

建議使用者先安裝 Intune 公司入口網站 應用程式Microsoft Authenticator 應用程式,再部署條件式存取原則,或在特定驗證嘗試期間需要時安裝。 安裝應用程式之後,系統可能會要求使用者向 Microsoft Entra ID 註冊,或向 Intune 註冊其裝置。 這取決於設定的條件式存取原則。

我們也建議組織擁有的裝置在 OEM 和支援 Android for Work 或 Samsung Knox 的版本上標準化,以允許郵件帳戶、受到 Intune MDM 原則的管理和保護。

下列電子郵件用戶端支援新式驗證和條件式存取。

平台 用戶端 版本/附註
Windows Outlook 2019, 2016

必要的更新
iOS iOS 版 Outlook 最新
Android Android 版 Outlook 最新
macOS Outlook 2019 和 2016
Linux 不支援

套用安全文件原則時,建議使用下列用戶端。

平台 Word/Excel/PowerPoint OneNote OneDrive 應用程式 SharePoint 應用程式 OneDrive 同步處理用戶端
Windows 11 或 Windows 10 支援 支援 N/A 不適用 支援
Windows 8.1 支援 支援 N/A 不適用 支援
Android 支援 支援 支援 支援 N/A
iOS 支援 支援 支援 支援 N/A
macOS 支援 支援 N/A N/A 不支援
Linux 不支援 不支援 不支援 不支援 不支援

Microsoft 365 用戶端支援

如需 Microsoft 365 中用戶端支援的詳細資訊,請參閱下列文章:

保護系統管理員帳戶

針對 Microsoft 365 E3 或 E5 或具有個別 Microsoft Entra ID P1 或 P2 授權,您可以使用手動建立的條件式存取原則,要求系統管理員帳戶使用 MFA。 如需詳細資訊,請參閱 條件式存取:需要系統管理員的 MFA

對於不支持條件式存取的 Microsoft 365 或 Office 365 版本,您可以啟用安全性預設值,以要求所有帳戶使用 MFA。

以下是一些其他建議:

  • 使用 Microsoft Entra Privileged Identity Management 來減少持續性系統管理帳戶的數目。
  • 使用特殊許可權存取管理 來保護您的組織免於可能使用現有特殊許可權系統管理員帳戶且具有敏感數據常設存取權或存取重要組態設定的缺口。
  • 建立並使用指派給 Microsoft 365 系統管理員角色的個別帳戶,僅供系統管理之用。 系統管理員應該有自己的用戶帳戶,以供一般非系統管理使用,而且只有在必要時才使用系統管理帳戶來完成與其角色或作業功能相關聯的工作。
  • 請遵循在 Microsoft Entra ID 中保護特殊許可權帳戶的最佳做法

下一步

步驟 2:設定常見的 零信任 身分識別和存取條件式存取原則。

設定常見的 零信任 身分識別和裝置存取原則