Поделиться через

Рекомендуемые политики для определенных рабочих нагрузок Microsoft 365

  • Статья

После настройки общих политик безопасности для нулевого доверия в организации Microsoft 365 необходимо настроить дополнительные политики и параметры для конкретных приложений и рабочих нагрузок на основе трех руководящих принципов нулевого доверия:

  • Явная проверка
  • Использование наименьших привилегий
  • Предположим взлом.

Дополнительные политики и параметры для определенных приложений и рабочих нагрузок описаны в этой статье.

Подсказка

По возможности протестируйте политики в непроизводственных средах, прежде чем развертывать их для рабочих пользователей. Тестирование имеет критическое значение для выявления и передачи пользователям возможных последствий.

Рекомендации Microsoft Copilot по нулю доверия

Дополнительные сведения см. в статье Использование системы безопасности "Никому не доверяй" для подготовки к использованию компаньонов по искусственному интеллекту, включая Microsoft Copilots.

Рекомендации Exchange Online по нулю доверия

В этом разделе описаны рекомендуемые параметры для нулевого доверия в Exchange Online.

Проверка отключения автоматического перенаправления электронной почты внешним получателям

По умолчанию политики исходящей нежелательной почты в Exchange Online Protection (EOP) блокируют автоматическую пересылку электронной почты внешним получателям, выполняемым правилами папки "Входящие " или пересылкой почтовых ящиков (также известной как пересылка SMTP). Дополнительные сведения см. в статье Управление автоматической внешней пересылкой электронной почты в Microsoft 365.

Во всех политиках исходящей нежелательной почты убедитесь, что значение параметра правил автоматической пересылкиавтоматическое управление системой (значение по умолчанию) или отключение — пересылка отключена. Оба значения блокируют автоматическую пересылку электронной почты внешним получателям затронутыми пользователями. Политика по умолчанию применяется ко всем пользователям, а администраторы могут создавать пользовательские политики, которые применяются к определенным группам пользователей. Дополнительные сведения см. в статье Настройка политик исходящей нежелательной почты в EOP.

Блокировать клиенты Exchange ActiveSync

Exchange ActiveSync — это клиентский протокол, который синхронизирует данные электронной почты и календаря на настольных и мобильных устройствах. Заблокировать доступ к корпоративной электронной почте с небезопасными клиентами ActiveSync, как описано в следующих процедурах:

  • Мобильные устройства. Чтобы заблокировать доступ к электронной почте из следующих типов мобильных устройств, создайте политику условного доступа, описанную в разделе "Требовать утвержденные приложения или политики защиты приложений".

    • Клиенты ActiveSync, использующие обычную проверку подлинности.
    • Клиенты ActiveSync, поддерживающие современную проверку подлинности, но не политики защиты приложений Intune.
    • Устройства, поддерживающие политики защиты приложений Intune, но не определены в политике защиты приложений. Дополнительные сведения см. в разделе "Требовать политику защиты приложений".

    Подсказка

    Мы рекомендуем Microsoft Outlook для iOS и Android для доступа к корпоративной электронной почте с устройств iOS/iPadOS и Android.

  • Компьютеры и другие устройства. Чтобы заблокировать все клиенты ActiveSync, использующие обычную проверку подлинности, создайте политику условного доступа, описанную в разделе Block Exchange ActiveSync на всех устройствах.

Ограничение доступа к вложениям электронной почты в Outlook в Интернете и новому Outlook для Windows

Вы можете ограничить, как пользователи на неуправляемых устройствах могут взаимодействовать с вложениями электронной почты в Outlook в Интернете (прежнее название — Outlook Web App или OWA) и в новом Outlook для Windows:

  • Запретить пользователям загружать вложения электронной почты. Они могут просматривать и изменять эти файлы с помощью Office Online без утечки и хранения файлов на устройстве.
  • Запретить пользователям даже видеть вложения.

Эти ограничения применяются с помощью политик почтовых ящиков в веб-версии Outlook. У организаций Microsoft 365 с почтовыми ящиками Exchange Online есть встроенная политика почтовых ящиков Outlook по умолчанию с именем OwaMailboxPolicy-Default. По умолчанию эта политика применяется ко всем пользователям. Администраторы также могут создавать пользовательские политики, которые применяются к определенным группам пользователей.

Ниже приведены шаги по ограничению доступа к вложениям электронной почты на неуправляемых устройствах:

  1. Подключение к Exchange Online PowerShell.

  2. Чтобы просмотреть доступные политики почтовых ящиков Outlook в Интернете, выполните следующую команду:

    Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy

  3. Используйте следующий синтаксис, чтобы ограничить доступ к вложениям электронной почты в Outlook в Интернете и новым Outlook для Windows на неуправляемых устройствах:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy <ReadOnly | ReadOnlyPlusAttachmentsBlocked>

    В этом примере можно просматривать, но не загружать вложения в политике по умолчанию.

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly

    В этом примере в политике по умолчанию блокируется просмотр вложений .

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

  4. На странице Условного доступа | Обзора в Центре администрирования Microsoft Entra в https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Overview, создайте новую политику условного доступа со следующими параметрами:

    • Раздел "Назначения":
      • Пользователи. Выберите соответствующих пользователей и группы для добавления на вкладку "Включить" и исключения на вкладку "Исключить".
      • Целевые ресурсы: Выберите, к чему применяется эта политика>ресурсам (ранее облачным приложениям)>на вкладке "Включить">"Выбрать ресурсы">"Выбрать"> найдите и выберите Office 365 Exchange Online.
    • элементы управления доступом раздел: сеанса> выберите Использовать ограничения, применяемые приложением.
    • Раздел "Включить политику": выберите Включено.

Настройка шифрования сообщений

С помощью шифрования сообщений Microsoft Purview, использующего функции защиты в Azure Information Protection, ваша организация может легко предоставлять доступ к защищенной электронной почте любому пользователю на любом устройстве. Пользователи могут отправлять и получать защищенные сообщения с другими организациями, используюющими Microsoft 365, Outlook.com, Gmail и другие службы электронной почты.

Дополнительные сведения см. в настройке шифрования сообщений.

Рекомендации SharePoint по нулю доверия

В этом разделе описаны рекомендуемые параметры нулевого доверия в SharePoint.

Настройка управления доступом SharePoint для ограничения доступа неуправляемых устройств

Подсказка

Для параметров этого раздела требуется идентификатор Microsoft Entra ID P1 или P2. Дополнительные сведения см. в планах и ценах Microsoft Entra.

При настройке управления доступом для неуправляемых устройств в SharePoint соответствующая политика условного доступа для принудительного применения уровня доступа автоматически создается в идентификаторе Microsoft Entra ID. Этот параметр всей организации применяется ко всем пользователям, но влияет только на доступ к сайтам, специально включенным в управление доступом SharePoint.

В частности, необходимо включить сайты в управление доступом SharePoint, использующие корпоративную или специализированную безопасность для нулевого доверия, как описано в следующих шагах:

  1. Настройте ограниченный доступ только через Интернет или блокируйте доступ для неуправляемых устройств в системе контроля доступа SharePoint. Этот параметр применяется ко всем пользователям, но не влияет на доступ к сайтам, где у них уже есть разрешения на сайт, если сайт не включен в управление доступом SharePoint (следующий шаг).

    Подсказка

    Доступ на уровне сайта не может быть более разрешительным, чем параметр управления доступом организации. Например, выберите "Разрешить ограниченный" доступ только для веб-сайтов для неуправляемых устройств в области управления доступом на уровне организации, чтобы можно было использовать AllowLimitedAccess или BlockAccess на определенных сайтах. Если выбрать блокировку доступа для неуправляемых устройств в области управления доступом на уровне организации, вы не можете использовать AllowLimitedAccess на определенных сайтах (доступно только BlockAccess ).

  2. Подключитесь к SharePoint Online PowerShell и используйте параметр ConditionalAccessPolicy в командлете Set-SPOSite , чтобы включить сайт в управление доступом SharePoint для неуправляемых устройств:

    • Корпоративные сайты: используйте значение AllowLimitedAccess , чтобы запретить пользователям на неуправляемых устройствах скачивание, печать или синхронизацию файлов.
    • Специализированные сайты безопасности: используйте значение BlockAccess для блокировки доступа с неуправляемых устройств.

    Инструкции см. в разделе "Блокировка или ограничение доступа к конкретному сайту SharePoint" или OneDrive

Традиционно владельцы сайтов управляют разрешениями сайта SharePoint на основе необходимости доступа к сайту. Настройка управления доступом SharePoint для неуправляемых устройств на уровне организации и на уровне сайта обеспечивает согласованную защиту этих сайтов на основе уровня защиты нулевого доверия.

Рассмотрим следующие примеры сайтов в организации Contoso. Управление доступом SharePoint для неуправляемых устройств настраивается на уровне ограниченного доступа только в Интернете для организации:

  • Сайт команды Аналитики, настроенный с корпоративной защитой: сайт настроен с использованием AllowLimitedAccess для неуправляемых устройств в управлении доступом SharePoint. Пользователи с разрешениями сайта получают доступ только для браузера к сайту на неуправляемых устройствах. Они могут получить доступ к сайту с помощью других приложений на управляемых устройствах.
  • Сайт коммерческих секретов настроен со специализированной защитой: сайт настраивается с Block для неуправляемых устройств в контроле доступа SharePoint. Пользователи с разрешениями сайта заблокированы для доступа к сайту на неуправляемых устройствах. Они могут получить доступ к сайту только на управляемых устройствах.

Рекомендации Microsoft Teams по нулю доверия

В этом разделе описаны рекомендуемые параметры нулевого доверия в Microsoft Teams.

Архитектура сервисов, от которых зависит Teams

Схема в Microsoft Teams и связанных службах производительности в Microsoft 365 для ИТ-архитекторов иллюстрирует службы, используемые Microsoft Teams.

Гостевой и внешний доступ для Teams

Microsoft Teams определяет следующие типы доступа для пользователей за пределами организации:

  • гостевой доступ: использует учетную запись Microsoft Entra B2B для каждого пользователя, который можно добавить в качестве члена команды. Гостевой доступ позволяет получать доступ к ресурсам Teams и взаимодействию с внутренними пользователями в групповых беседах, чатах и собраниях.

    Дополнительные сведения о гостевом доступе и его реализации см. в гостевой доступ в Microsoft Teams.

  • внешний доступ: пользователи за пределами организации, у которых нет учетных записей Microsoft Entra B2B. Внешний доступ может включать приглашения и участие в звонках, чатах и собраниях, но не включает членство в команде или доступ к ресурсам команды. Внешний доступ — это способ для пользователей Teams во внешнем домене для поиска, звонка, чата и настройки собраний в Teams с пользователями в организации.

    Администраторы Teams могут использовать пользовательские политики для настройки внешнего доступа для организации, групп пользователей или отдельных пользователей. Дополнительные сведения см. в статье ИТ-администраторы — управление внешними собраниями и чатом с людьми и организациями с использованием удостоверений Microsoft.

Пользователи внешнего доступа имеют меньше доступа и функциональных возможностей, чем пользователи гостевого доступа. Например, пользователи внешнего доступа могут общаться с внутренними пользователями с помощью Teams, но не могут получать доступ к каналам группы, файлам или другим ресурсам.

Политики условного доступа применяются только к пользователям гостевого доступа в Teams, так как существуют соответствующие учетные записи Microsoft Entra B2B. Внешний доступ не использует учетные записи Microsoft Entra B2B и поэтому не может использовать политики условного доступа.

Для получения рекомендаций по политикам, допускающим доступ с учетной записью Microsoft Entra B2B, см. Политики для разрешения доступа гостям и внешним B2B учетным записям.

Рекомендации по приложению SaaS для нулевого доверия

Microsoft Defender для облачных приложений основывается на политиках условного доступа Microsoft Entra, чтобы обеспечить мониторинг и контроль действий в режиме реального времени с помощью приложений SaaS, таких как блокировка загрузки, отправка, копирование и печать. Эта функция добавляет безопасность к сеансам, которые несут внутренний риск, например, когда корпоративные ресурсы получают доступ с неуправляемых устройств или гостей.

Дополнительные сведения см. в статье Интеграции приложений SaaS для нулевого доверия с Microsoft 365.