零信任身分識別與裝置存取設定

適用於

依靠網路防火牆和虛擬私人網路的安全性架構 (Vpn) 隔離及限制組織的技術資源和服務的存取,對於定期需要存取除傳統公司網路界限以外之應用程式和資源的員工而言已不再夠用。

為了解決這項新的計算世界,Microsoft 強烈建議以這些指導原則為基礎的零信任安全性模型:

  • 明確驗證

    永遠根據所有可用的資料點進行驗證和授權。 這是零信任身分識別和裝置存取原則對於登入和進行中驗證都很重要的地方。

  • 使用最低許可權存取

    以即時和剛好足夠的存取 (JIT/JEA) 、風險型自我調整原則及資料保護,來限制使用者存取。

  • 假設遭到破壞

    將群發 radius 和分割區存取降到最低。 驗證端對端加密並使用分析來取得能見度、推動威脅偵測,並改善防禦能力。

以下是零信任的整體架構。

Microsoft 零信任架構

零信任身分識別和裝置存取原則位址 驗證明確 指導原則:

  • 身分識別

    當身分識別嘗試存取資源時,請使用強驗證來驗證身分識別,並確定要求的存取符合和一般。

  • 裝置 (也稱為端點)

    監視並強制執行安全訪問的裝置健康情況和規範需求。

  • 應用程式

    套用控制項和技術來探索陰影,請確定適當的應用程式許可權、以即時分析為基礎的入口存取、監控反常行為、控制使用者動作,以及驗證安全設定選項。

這系列文章會說明一組身分識別及裝置存取必要條件設定,以及一組 Azure Active Directory (Azure AD) 的條件式存取、Microsoft Intune 和其他原則,可供零信任存取 Microsoft 365 適用于企業雲端 app 和服務、其他 SaaS 服務,以及使用 Azure AD 應用程式 Proxy 發佈的內部部署應用程式。

在三個層級中,建議使用零信任身分識別與裝置存取設定和原則:針對具有高管制或保密資料之環境的起點、企業及專用安全性。 這些層級和其對應設定會在您的資料、身分識別及裝置中提供一致的零信任保護層級。

這些功能及其建議:

如果您的組織有獨特的環境需求或複雜性,請使用這些建議做為開始點。 不過,大多陣列織可依照預定的方式來執行這些建議。

觀賞這段影片,快速流覽 Microsoft 365 for enterprise 的身分識別與裝置存取設定。


注意

Microsoft 也會為 Office 365 訂閱銷售 Enterprise Mobility + Security (EMS) 授權。 ems E3 和 ems E5 功能相當於 Microsoft 365 E3 和 Microsoft 365 E5 中的專案。 如需詳細資訊,請參閱 EMS 方案

目標物件

這些建議適用于企業架構師和 IT 專業人員,熟悉 Microsoft 365 雲端生產力及安全性服務,其中包括 Azure AD (身分識別) 、Microsoft Intune (裝置管理) ,以及 Microsoft 資訊保護 (資料保護) 。

客戶環境

建議的原則適用于完全在 Microsoft 雲端內運作的企業組織,以及具有混合式身分識別基礎結構的客戶,也就是內部部署 Active Directory 網域服務 (AD DS) 樹系與 Azure AD 租使用者同步。

所提供的許多建議都只依賴使用 Microsoft 365 E5 的服務,Microsoft 365 E3 與 E5 安全性附加元件、EMS e5 或 Azure AD Premium P2 授權一起使用。

對於沒有這些授權的組織,Microsoft 建議您至少執行安全性預設值,這包括所有的 Microsoft 365 計畫。

警告

您的組織可能會受限於法規或其他法規遵從性需求,包括可能要求您套用與這些建議設定分開之原則的特定建議。 這些設定會建議過去未提供的使用情形控制項。 我們建議使用這些控制措施,因為我們相信它們代表安全性和生產力之間的平衡。

我們已盡力考慮各種組織保護需求,但我們不能考慮所有可能的需求,或組織的所有獨有方面。

三種保護層級

大部分組織都有安全性和資料保護的相關特定需求。 根據產業部門和組織內的職責,這些需求會不同。 例如,您的法律部門和系統管理員可能需要其他的安全性和資訊保護,而不是其他商業單位所需的電子郵件對應。

每個產業也都有自己的一組特殊法規。 建議針對三種不同的安全性和保護層級,而不是提供所有可能安全性選項的清單,也有針對每個行業區段或工作功能的建議,您可以根據您的需求細微性來套用。

  • 起始點:我們建議所有客戶建立並使用最低的資料保護標準,以及存取您資料的身分識別和裝置。 您可以遵循這些建議,以提供強預設保護做為所有組織的開始點。
  • Enterprise:部分客戶具有必須在較高層級保護的資料子集,或可能要求所有資料都以較高的層次進行保護。 您可以將增強的保護套用至 Microsoft 365 環境中的所有或特定資料集。 建議保護以可比較的安全性層級存取敏感性資料的身分識別和裝置。
  • 專用安全性:如有需要,少數客戶只有少量的資料是高分類的,也就是交易機密或受到管制。 Microsoft 提供的功能可協助這些客戶符合這些需求,包括針對身分識別和裝置的增強功能。

安全性錐-所有客戶 > 某些客戶 > 少數客戶

本指南說明如何針對每種保護層級的身分識別和裝置執行零信任保護。 請盡可能將此指南當做組織使用,並調整原則,以符合組織的特定需求。

在您的身分識別、裝置和資料中使用一致的保護層級很重要。 例如,針對具有優先順序帳戶 — (如行政人員、負責人、管理員及其他使用者)的使用者,應針對其身分識別 — 、裝置和其存取的資料,提供相同的保護層級。

此外,請參閱部署資訊保護以取得資料隱私權法規解決方案,以保護儲存在 Microsoft 365 中的資訊。

安全性與生產力的取捨

實施任何安全性策略時,必須權衡安全性和生產力。 評估每個決策對安全性、功能和易用性的影響。

安全性三角平衡安全性、功能和易用性。

提供的建議是以下列原則為基礎:

  • 知道您的使用者,並根據安全性和功能需求進行彈性。
  • 及時套用安全性原則,並確保其有意義。

零信任身分識別與裝置存取保護的服務和概念

適用于企業的 Microsoft 365 是針對大型組織設計的,可讓每個人都具有創造性且安全地協同運作。

本節概述對零信任身分識別與裝置存取非常重要的 Microsoft 365 服務和功能。

Azure AD

Azure AD 提供完整的身分識別管理功能套件。 我們建議使用這些功能來保護存取。

功能 描述 授權
多重要素驗證 (MFA) MFA 要求使用者提供兩種形式的驗證,例如使用者密碼和 Microsoft Authenticator 應用程式或電話的通知。 MFA 大幅降低可供盜竊之認證存取您環境的風險。 Microsoft 365 會使用 Azure AD Multi-Factor 驗證服務進行 MFA 型登入。 Microsoft 365 E3 或 E5
條件式存取 Azure AD 會評估使用者登入的條件,並使用條件式存取原則來決定允許的存取。 例如,在此指導中,我們會告訴您如何建立條件式存取原則,以要求存取機密資料的裝置合規性。 這會極大降低具有自身裝置和盜竊認證的駭客可以存取您機密資料的風險。 它也會保護裝置上的機密資料,因為裝置必須符合健康和安全性的特定需求。 Microsoft 365 E3 或 E5
Azure AD 群組 條件式存取原則、使用 Intune 的裝置管理,以及對您組織中檔案和網站的許可權,都依賴指派給使用者帳戶或 Azure AD 群組。 建議您建立對應至您所實施之保護層級的 Azure AD 群組。 例如,您的 executive 人員很可能是駭客的高價值目標。 因此,將這些員工的使用者帳戶新增至 Azure AD 群組是有意義的,將此群組指派給條件式存取原則及其他強制進行存取保護等級的原則。 Microsoft 365 E3 或 E5
裝置註冊 您可以在 Azure AD 中註冊裝置,以建立裝置的身分識別。 此身分識別是用來在使用者登入並套用需要加入網域或合規的電腦的條件式存取原則時,用來驗證裝置。 針對此指南,我們使用裝置註冊功能自動註冊加入網域的 Windows 電腦。 裝置註冊是使用 Intune 管理裝置的必要條件。 Microsoft 365 E3 或 E5
Azure AD Identity Protection 可讓您偵測影響組織之身分識別的潛在弱點,並設定自動修正原則為低、中、高的登入風險和使用者風險。 本指南取決於此風險評估,針對多重要素驗證套用條件式存取原則。 本指南也包含條件式存取原則,需要使用者在其帳戶中偵測到高風險的活動時變更其密碼。 具有 E5 安全性附加元件、EMS e5 或 Azure AD Premium P2 授權的 Microsoft 365 E5 Microsoft 365 E3
自助密碼重設 (SSPR) 可讓您的使用者安全地重設其密碼,而不需要協助桌面的干預,只要提供系統管理員可控制的多個驗證方法的驗證。 Microsoft 365 E3 或 E5
Azure AD 密碼保護 偵測並封鎖已知弱密碼和其變種,以及組織特有的其他弱字詞。 預設全域禁用密碼清單會自動套用至 Azure AD 租用戶中的所有使用者。 您可以在自訂禁用密碼清單中定義其他條目。 使用者變更或重設密碼時,系統會檢查這些禁用密碼清單,以強制使用強式密碼。 Microsoft 365 E3 或 E5

以下是零信任身分識別與裝置存取的元件,包括 Intune 和 Azure AD 物件、設定及 subservices。

不信任身分識別與裝置存取的元件。

Microsoft Intune

Intune 是 Microsoft 雲端型行動裝置管理服務。 本指南建議使用 Intune 的 Windows 電腦進行裝置管理,並建議裝置合規性原則設定。 Intune 會判斷是否符合裝置,並將此資料傳送至 Azure AD,以在套用條件式存取原則時使用。

Intune 應用程式保護

您可以使用Intune 應用程式保護原則,在行動應用程式中保護您組織的資料,但不需要將裝置登記至管理。 Intune 可協助保護資訊,確保您的員工仍可生產力,並防止資料遺失。 透過實施應用層級原則,您可以限制公司資源的存取權,並將資料放在 IT 部門的控制中。

本指南說明如何建立建議原則,以強制使用已核准的應用程式,以及決定如何將這些應用程式與您的商務資料搭配使用。

Microsoft 365

本指南說明如何執行一組原則,以保護 Microsoft 365 雲端服務的存取,包括 Microsoft Teams、Exchange、SharePoint 及 OneDrive。 除了執行這些原則之外,也建議您使用下列資源提升租使用者的保護層級:

使用 Microsoft 365 Apps 企業版 Windows 11 或 Windows 10

使用 Microsoft 365 Apps 企業版的 Windows 11 或 Windows 10 是電腦的建議用戶端環境。 由於 Azure 設計為同時提供內部部署和 Azure AD 的最平滑體驗,因此建議您 Windows 11 或 Windows 10。 Windows 11 或 Windows 10 也包含可以透過 Intune 管理的高級安全性功能。 Microsoft 365 Apps 企業版包括 Office 應用程式的最新版本。 這些使用的是新式驗證,也就是更安全,也是條件式存取的必要條件。 這些應用程式也包含增強的相容性和安全性工具。

跨三種保護層級應用這些功能

下表摘要說明在三種保護層級使用這些功能的建議。

保護機制 起點 企業 專用安全性
強制執行 MFA 在中或以上的登入風險上 在低或以上的登入風險上 在所有新的工作階段上
強制執行密碼變更 高風險使用者的 高風險使用者的 高風險使用者的
強制執行 Intune 應用程式保護
針對組織擁有的裝置強制執行 Intune 登記 需要相容或加入網域的電腦,但允許附帶裝置 (BYOD) 電話和平板電腦 需要相容或加入網域的裝置 需要相容或加入網域的裝置

裝置擁有權

上表反映許多組織支援混合使用組織的裝置的趨勢,以及個人或 BYODs,以在整個工作力內啟用行動生產力。 Intune 應用程式保護原則可確保電子郵件在組織所擁有的裝置和 BYODs 上,避免 Outlook 行動應用程式和其他 Office 行動應用程式的 exfiltrating。

建議以 Intune 或加入網域的方式管理組織擁有的裝置,以套用其他的保護和控制。 根據資料敏感度,您的組織可以選擇不允許特定使用者人口或特定應用程式的 BYODs。

部署和您的應用程式

在為您的 Azure AD 整合型應用程式設定和推出零信任身分識別與裝置存取設定之前,您必須:

  • 決定您要保護組織中使用的應用程式。

  • 分析此應用程式清單,以決定提供適當保護等級的原則集合。

    您不應為應用程式建立個別的原則集合,因為其管理可能會變得麻煩。 Microsoft 建議您將相同使用者的相同保護需求群組為您的應用程式。

    例如,您可以使用一組原則,其中包括所有使用者的所有使用者的 Microsoft 365 應用程式,所有的敏感應用程式,例如人力資源或財務部門所使用的原則,並將它們套用至這些群組。

一旦您已決定要保護之應用程式的原則集,請逐步向您的使用者推廣原則,以解決問題的方式。

例如,設定要用於所有 Microsoft 365 應用程式的原則,只會 Exchange Exchange 的其他變更。 請向您的使用者推出這些原則,並處理任何問題。 然後,新增包含其他變更的 Teams,並將其推廣給您的使用者。 然後,新增包含其他變更的 SharePoint。 繼續新增應用程式的其餘部分,直到您可以自信地設定這些「開始點」原則,以包含所有的 Microsoft 365 應用程式。

同樣地,針對您的敏感應用程式,建立一組原則,並一次加入一個應用程式,直到所有的問題都包含在機密應用程式原則集中為止。

Microsoft 建議您不要建立適用于所有應用程式的原則集,因為這可能會造成某些未預期的設定。 例如,封鎖所有應用程式的原則可能會鎖定您的系統管理員無法從 Azure 入口網站,而且不能針對 Microsoft Graph 等重要端點設定排除專案。

設定零信任身分識別與裝置存取的步驟

設定零信任身分識別與裝置存取的步驟。

  1. 設定必要身分識別功能及其設定。
  2. 設定通用身分識別和存取條件式存取原則。
  3. 為來賓和外部使用者設定條件式存取原則。
  4. 針對 — cloud app 原則,設定 Microsoft 365 cloud app (如 Microsoft Teams、Exchange 和 SharePoint — 及 Microsoft Defender)的條件式存取原則。

設定零信任身分識別與裝置存取後,請參閱Azure AD 功能部署指南,以取得其他功能的詳細檢查清單,並Azure AD 身分識別管理以保護、監視和審核存取。

下一步

實施零信任身分識別和裝置存取原則的必要條件工作