Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Безопасность вокруг удостоверений может быть достигнута с помощью различных значений безопасности по умолчанию. Эти параметры безопасности по умолчанию позволяют настроить широкий спектр установленных конфигураций безопасности. Все параметры безопасности по умолчанию и параметры могут быть настроены или не настроены в соответствии с вашими требованиями.
Роли и обязанности.
- ИТ-Администратор
- Администратор удостоверений
- Администратор безопасности
Параметры безопасности по умолчанию
Параметры безопасности по умолчанию — это один коммутатор в Microsoft Entra ID который позволяет быстро и легко включить различные средства безопасности, такие как многофакторная проверка подлинности (MFA) и блокировка устаревших протоколов проверки подлинности. Хотя этот вариант может показаться привлекательным, при принятии решения о том, подходит ли это для вашей организации образования, следует учитывать несколько факторов. Дополнительные сведения.
Рекомендации Майкрософт зависят от численности пользователей
| Level | Примечания |
|---|---|
| Отключение в K-12 | Так как для этого параметра требуется MFA для всех пользователей, он не подходит для организаций K12, где у учащихся может не быть телефонов, необходимых для упрощения настройки и настройки MFA. Для K12 этот параметр должен быть отключен. |
| Тщательно рассмотреть вопрос о высшем образовании | Возможно, некоторые организации высшего образования смогут успешно развернуть этот параметр, если они могут соответствовать требованиям к телефону для конфигурации MFA. Если у некоторых учащихся нет телефонов, корпорация Майкрософт рекомендует оставить этот параметр в отключенном состоянии. |
| Включение в клиентах только для преподавателей и сотрудников | Хотя корпорация Майкрософт рекомендует развертывать клиенты Microsoft 365 как с учащимися, так и с неисправным совместным размещением, некоторые организации только что развернули пользователей преподавателей и сотрудников без учащихся. Для этих клиентов корпорация Майкрософт рекомендует включить параметры безопасности по умолчанию. |
Блокировка устаревшей проверки подлинности или отключение обычной проверки подлинности в Exchange
Корпорация Майкрософт рекомендует всем клиентам образования блокировать устаревшие протоколы и методы проверки подлинности, чтобы лучше защитить организацию и пользователей в Microsoft 365. Это можно сделать, включив параметры безопасности по умолчанию, но значения по умолчанию безопасности не являются жизнеспособными для различных клиентов в сфере образования. Если у вас есть необходимые Microsoft Entra ID лицензий уровня "Премиум", вы можете легко отключить устаревшую проверку подлинности с помощью политики условного доступа. Если вы используете только бесплатный клиент для образовательных учреждений, вы по-прежнему можете заблокировать некоторые устаревшие протоколы проверки подлинности с помощью политики проверки подлинности Exchange Online. Перед удалением устаревшей проверки подлинности убедитесь, что конечные пользователи используют только клиентские приложения, которые поддерживают современную проверку подлинности. Дополнительные сведения.
Примечание.
Для образовательных сценариев. Эта рекомендация согласуется с другими отраслями. Устаревшая проверка подлинности представляет угрозу безопасности, и ее использование должно быть устранено, если это еще не сделано. Если не принять этот шаг, учащиеся становятся уязвимыми для компрометации учетных записей и нарушений в организации.
Развертывание по крайней мере еще одной учетной записи global Администратор
При развертывании Microsoft 365 вы создаете первую учетную запись глобальной Администратор после создания клиента. Настоятельно рекомендуется создать по крайней мере еще одну учетную запись global Администратор, чтобы гарантировать, что проблема с одной учетной записью не может помешать вам получить доступ к клиенту и управлять ею. Дополнительные сведения.
Примечание.
Для образовательных сценариев. Эта рекомендация согласуется с другими отраслями. Если вы уделите время на создание клиента, необходимо убедиться, что вы не потеряете пароль и не будете заблокированы, в результате чего все подготовленные учащиеся будут уязвимы для неограниченного доступа и приложений без возможности обеспечить контроль и управление.
Используйте учетные записи администратора только для целей администратора.
Администраторы должны использовать свои учетные записи администратора только для административных действий и задач и назначать роли только этим учетным записям администратора. Администраторы должны поддерживать полностью отдельные рабочие учетные записи с приложениями Microsoft 365 и лицензиями, назначенными для выполнения общих рабочих задач, таких как собрания Teams, электронная почта и т. д. Администратор учетные записи должны оставаться нелицензироваными и настраивать различные пароли, в идеале с MFA, когда это возможно. Дополнительные сведения.
Примечание.
Для образовательных сценариев. Эта давняя рекомендация часто упускается из виду и игнорируется администраторами образования и другими отраслевыми администраторами. Образовательные организации должны придерживаться этой рекомендации, несмотря на то, что управление несколькими учетными записями кажется немного неудобным. Если вы не связываете электронную почту и команды с учетной записью администратора, их невозможно легко скомпрометировать с помощью фишинговых кампаний, помимо нескольких других базовых мер защиты.
Установка бессрочных паролей
Корпорация Майкрософт больше не рекомендует требовать от пользователей постоянного обновления паролей, так как большинство пользователей выбирают прогнозируемые обновления, тесно связанные друг с другом. Дополнительные сведения.
Примечание.
Для образовательных сценариев: в свое время руководство Майкрософт предложило регулярное изменение паролей. Однако с тех пор это руководство изменилось после того, как некоторые обширные исследования показали, что изменение пароля может принести больше вреда, чем пользы. Причины наиболее распространены в образовательных группах, поэтому обеспечение того, чтобы не требовать изменения пароля, поможет уменьшить объем запросов на сброс пароля, а также улучшить защиту учащихся и организации от компрометации учетных записей.
Разрешить преподавателям или администраторам учебных заведений сбрасывать пароли учащихся
В дополнение к развертыванию административных единиц корпорация Майкрософт рекомендует организациям K12 предоставить преподавателям и (или) назначенным представителям учебного заведения роль администратора паролей, ограниченную единицами администрирования уровня учебного заведения. Это развертывание гарантирует, что запросы на сброс пароля могут обрабатываться на уровне учебного заведения, а не требовать эскалации в центральной ИТ-команде, что экономит их огромное количество времени каждый учебный год с помощью запросов на сброс пароля учащимся. За счет определения роли администратора паролей только для учащихся учебных подразделений, этот подход также гарантирует, что сотрудники, включенные с этими разрешениями, не смогут сбрасывать пароли для других сотрудников или учащихся за пределами учебного заведения.
Примечание.
Для образовательных сценариев: расширение возможностей преподавателей, по крайней мере одного представителя на учебное заведение, позволяет обрабатывать неизбежные запросы на сброс пароля локально в классе, когда они требуются больше всего, а не блокировать входы во время занятий и ждать, пока ИТ-специалисты обработают запрос в кратчайшие сроки. Центр Microsoft 365 Admin был настроен специально для упрощения образовательных учреждений и отображает только функциональные возможности сброса каталога пользователей и пароля, если вы назначите учителям только эту роль в области администрирования.
Отключение кампаний регистрации MFA
Так как MFA не является жизнеспособным для многих клиентов образования, администраторы в этих организациях должны отключить кампании регистрации, которые подталкивают всех пользователей к включению MFA. На портале Microsoft Entra ID администраторы могут перейти в меню Защита идентификации, выбрать Кампанию регистрации и установить для параметра состояние Отключено. Подробнее.
Примечание.
Для образовательных сценариев: этот шаг предотвратит путаницу с процессами настройки MFA, которые часто не являются жизнеспособными для организаций K12 из-за требований к телефону и дорогостоящих методов MFA, таких как ключи FIDO.
Требовать и обучать всех пользователей правильному формированию и использованию паролей
Корпорация Майкрософт включила новую форму защиты паролем, которая требует, чтобы пользователи соответствовали алгоритму оценки паролей в Microsoft Entra ID. Этот метод блокирует использование распространенных слов, которые чаще всего используются и легко скомпрометируются распространенными взломщиками паролей. Один из лучших способов для младших учащихся в K12 для удовлетворения этих новых требований — выбрать два коротких слова (три или четыре буквы каждая) и ввести между ними короткую строку из трех специальных символов. Например, dog$&^run или fast#%*tree. Каждый пароль может содержать эти слова, которые могут содержаться в списке запрещенных паролей, но в объединенной строке эти пароли оцениваются не менее 5 в алгоритме, что является минимальной необходимой оценкой для работоспособного и пригодного для использования пароля в Microsoft Entra ID. Этот подход и стратегию могут быть объяснены, преподаны и применены учащимися всех возрастов, а также преподавателями и сотрудниками, обеспечивая гораздо более высокий уровень защиты по сравнению с устаревшей политикой паролей только с базовыми требованиями к длине и сложности. Дополнительные сведения.
Примечание.
Для образовательных сценариев. Многие политики и методики паролей требуют обучения конечных пользователей, чтобы понять, какие пароли являются приемлемыми и безопасными, а какие пароли могут быть отклонены. Обучение учащихся и преподавателей этим рекомендациям поможет уменьшить объем запросов на сброс пароля, а также поможет учащимся и преподавателям от разочарования тем, что их изменения паролей отклоняются системой при попытке сбросить значение, недопустимое в Microsoft Entra ID. В конечном итоге мы хотим обеспечить безопасность учащихся, поэтому обучение их по строгой проверке подлинности является чрезвычайно важным и полезным жизненным навыком, применимым далеко за пределы класса.
Запретить конечным пользователям создавать группы безопасности
Корпорация Майкрософт рекомендует разрешить только ИТ-администраторам образования разрешение на создание групп безопасности. Ограничение этого разрешения для конечных пользователей гарантирует, что ИТ-администраторы сохраняют полный контроль над каталогом, а все группы безопасности именуются и управляются центральными ИТ-организациями, а не конечными пользователями. Этот параметр можно найти в центре Microsoft Entra Администратор в разделе Удостоверения в разделе > Параметры пользователей>. Дополнительные сведения.
Примечание.
Для образовательных сценариев: преподаватели и учащиеся обычно не нуждаются в создании групп безопасности, и сохранение этого разрешения только для администраторов обеспечит согласованность соглашений об именовании и предотвратит ненужный раздутие каталогов.
Развертывание возрастных групп и состояния согласия
Корпорация Майкрософт рекомендует всем клиентам образования в средах K12 развернуть возрастную группу и состояние согласия. Эти поля позволяют администраторам идентифицировать пользователей, которые являются несовершеннолетними в клиенте. Часто существуют государственные правила, связанные с безопасностью и соответствием несовершеннолетних, и возможность идентифицировать пользователей таким образом часто является первым шагом. После развертывания эти поля можно использовать для обеспечения того, чтобы несовершеннолетние и не взрослые не обращались к определенным приложениям Майкрософт. Дополнительные сведения.
Примечание.
Для образовательных сценариев: возрастные группы в арендаторах образовательных учреждений используются для настройки мер безопасности и защиты по умолчанию для учащихся разных возрастов, поэтому установка этих атрибутов является фундаментальным шагом при настройке и обслуживании каталога для ИТ-администраторов образования.
Развертывание групп безопасности
Microsoft 365 содержит различные типы групп. Группы безопасности имеют решающее значение для массовой настройки различных политик, где параметры применяются ко всем членам группы, а не по отдельности для пользователей. Создание и обслуживание каталога групп безопасности имеет решающее значение. Для организаций K12 корпорация Майкрософт рекомендует развернуть группу безопасности для каждого учебного заведения, группу безопасности для каждого класса и группу безопасности для каждой роли пользователя (учащиеся, преподаватели, сотрудники и т. д.). Для высшего образования часто развертываются группы безопасности для каждого кампуса и для каждой роли пользователя, а также многие другие. Корпорация Майкрософт рекомендует планировать необходимые группы на основе политик, которые планируется реализовать. Часто группы безопасности зеркало административные единицы, поэтому рекомендуется соответствующим образом обновить каждый тип группы по мере необходимости изменения членства. Вы также можете создавать динамические группы безопасности, чтобы Microsoft Entra ID обновлять членство на основе атрибутов пользователя. Дополнительные сведения.
Примечание.
Для образовательных сценариев: корпорация Майкрософт рекомендует создавать и поддерживать Microsoft Entra ID группы безопасности, разделенные по учебным заведениям, уровню оценок и роли пользователя. SDS может помочь в подготовке групп безопасности и поддерживать членство при изменении. Вы также можете использовать динамические группы, чтобы обеспечить сохранение членства с течением времени. Например, учащиеся средней школы Contoso и преподаватели средней школы Contoso, учащиеся 9-го класса и преподаватели 9-го класса, все преподаватели и все учащиеся и т. д.
Дальнейшие действия
Теперь вы готовы к управлению доступом.