Защита доступа пользователей и устройств
Защита доступа к данным и службам Microsoft 365 имеет решающее значение для защиты от кибератак и защиты от потери данных. Те же меры защиты можно применять к другим приложениям SaaS в вашей среде и даже к локальным приложениям, опубликованным с Microsoft Entra прокси приложения.
Совет
Если вы не являетесь клиентом E5, используйте 90-дневную пробную версию решений Microsoft Purview, чтобы узнать, как дополнительные возможности Purview могут помочь вашей организации управлять безопасностью данных и соответствием требованиям. Начните сейчас, перейдя в центр пробных версий на портале соответствия требованиям Microsoft Purview. Сведения о регистрации и условиях пробной версии.
Шаг 1. Просмотр рекомендаций
Рекомендуемые возможности для защиты удостоверений и устройств, которые обращаются к Office 365, другим службам SaaS и локальным приложениям, опубликованным с помощью Microsoft Entra прокси приложения.
PDF | Visio | Другие языки
Шаг 2. Защита учетных записей администратора и доступа
Учетные записи администратора, используемые для администрирования среды Microsoft 365, включают повышенные привилегии. Это ценные цели для хакеров и кибератак.
Начните с использования учетных записей администратора только для администрирования. Администраторы должны иметь отдельную учетную запись пользователя для регулярного использования без прав администратора и использовать свою учетную запись администратора только при необходимости для выполнения задачи, связанной с их функцией задания.
Защитите учетные записи администратора с помощью многофакторной проверки подлинности и условного доступа. Дополнительные сведения см. в разделе Защита учетных записей администратора.
Затем настройте Microsoft Purview Privileged Access Management. Управление привилегированным доступом обеспечивает точное управление доступом к привилегированным задачам администрирования в Office 365 Это поможет защитить вашу организацию от нарушений, которые могут использовать существующие учетные записи привилегированных администраторов с постоянным доступом к конфиденциальным данным или доступом к критически важным параметрам конфигурации.
Кроме того, рекомендуется использовать рабочие станции, специально настроенные для административной работы. Это выделенные устройства, которые используются только для административных задач. См . раздел Защита привилегированного доступа.
Наконец, вы можете устранить последствия непреднамеренного отсутствия административного доступа, создав в клиенте две или более учетных записей аварийного доступа. См. статью Управление учетными записями аварийного доступа в Microsoft Entra id.
Шаг 3. Настройка рекомендуемых политик доступа к удостоверениям и устройствам
Многофакторная проверка подлинности (MFA) и политики условного доступа — это мощные средства для защиты от скомпрометированных учетных записей и несанкционированного доступа. Рекомендуется реализовать набор политик, которые были протестированы вместе. Дополнительные сведения, включая этапы развертывания, см. в разделе Конфигурации доступа к удостоверениям и устройствам.
Эти политики реализуют следующие возможности:
- Многофакторная проверка подлинности
- Условный доступ
- Защита приложений Intune (защита приложений и данных для устройств)
- Соответствие устройств Intune требованиям
- Защита Microsoft Entra ID
Для реализации соответствия устройств Intune требуется регистрация устройства. Управление устройствами позволяет убедиться, что они работоспособны и соответствуют требованиям, прежде чем предоставлять им доступ к ресурсам в вашей среде. См. раздел Регистрация устройств для управления в Intune.
Шаг 4. Настройка политик доступа к устройствам SharePoint
Корпорация Майкрософт рекомендует защищать содержимое на сайтах SharePoint конфиденциальным и строго регулируемым с помощью элементов управления доступом к устройствам. Дополнительные сведения см. в статье Рекомендации по политике для защиты сайтов и файлов SharePoint.