Common security policies for Microsoft 365 organizations

Организации сталкиваются с множеством проблем при развертывании Microsoft 365 для своей организации. The Conditional Access, app protection, and device compliance policies referenced in this article are based on Microsoft's recommendations and the three guiding principles of Zero Trust:

• Verify explicitly
• Use least privilege
• Assume breach

Organizations can take these policies as is or customize them to fit their needs. По возможности протестируйте политики в непроизводственных средах, прежде чем развертывать их для рабочих пользователей. Testing is critical to identify and communicate any possible effects to your users.

We group these policies into three protection levels based on where you are on your deployment journey:

• Starting point: Basic controls that introduce multifactor authentication, secure password changes, and Intune app protection policies for mobile devices.
• Enterprise: Enhanced controls that introduce device compliance.
• Specialized security: Policies that require multifactor authentication every time for specific data sets or users.

На следующей схеме показаны уровни защиты, к которым применяется каждая политика, и к каким типам устройств применяются политики:

You can download this diagram as a PDF file.

Prerequisites

Permissions

Требуются следующие разрешения в Microsoft Entra:

• Управление политиками условного доступа: роль администратора условного доступа.
• Управление политиками защиты приложений и политиками соответствия устройств: роль администратора Intune.
• View configurations only: The Security Reader role.

For more information about roles and permissions in Microsoft Entra, see Overview of role-based access control in Microsoft Entra ID.

User registration

Убедитесь, что пользователи зарегистрировались в MFA перед тем, как оно станет обязательным. Если лицензии включают идентификатор Microsoft Entra ID P2, вы можете использовать политику регистрации MFA в службе защиты идентификаторов Microsoft Entra ID, чтобы требовать регистрации пользователей. Мы предоставляем шаблоны для общения, которые можно скачать и настроить для содействия регистрации пользователей.

Groups

Все группы Microsoft Entra, используемые в рамках этих рекомендаций, должны быть группами Microsoft 365, не группами безопасности. Это требование важно для развертывания меток конфиденциальности для защиты документов в Microsoft Teams и SharePoint. For more information, see Learn about groups and access rights in Microsoft Entra ID.

Assigning policies

Политики условного доступа можно назначать пользователям, группам и ролям администратора. Политику защиты приложений Intune и политику соответствия устройств можно назначать исключительно группам . Перед настройкой политик определите, кто должен быть включен и исключен. Как правило, политики уровня начальной защиты применяются ко всем в организации.

The following table describes example group assignments and exclusions for MFA after users complete user registration:

Emergency access accounts

All organizations should have at least one emergency access account (and possibly more, depending on the size of the organization) that's monitored for use and excluded from policies. These accounts are only used in case all other administrator accounts and authentication methods become locked out or otherwise unavailable. For more information, see Manage emergency access accounts in Microsoft Entra ID.

Exclusions

A recommended practice is to create a Microsoft Entra group for Conditional Access exclusions. This group gives you a means to provide access to a user while you troubleshoot access issues.

Выполните следующие действия, чтобы добавить группу исключений в любые существующие политики. Как описано ранее, вам потребуется разрешение администратора условного доступа .

1. In the Microsoft Entra admin center at https://entra.microsoft.com, go to Protection>Conditional Access>Policies. Or, to go directly to the Conditional Access | Policies page, use https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policies/fromNav/Identity.

2. On the Conditional Access | Policies page, select an existing policy by clicking on the name value.

3. On the policy detail page that opens, select the link at Users in the Assignments section.

4. В открываемом элементе управления выберите вкладку "Исключить", а затем выберите "Пользователи и группы".

5. В открывающемся всплывающем окне Выбор исключенных пользователей и групп найдите и выберите перечисленные ниже учетные записи:

   • Users: The emergency access accounts.
   • Groups: The Conditional Access exclusion group

   When you're finished on the Select excluded users and groups flyout, select Select

Deployment

We recommend implementing the starting point policies in the order listed in the following table. You can implement the MFA policies for enterprise and specialized security levels of protection at any time.

• Starting point:

  Policy	More information	Licensing
  Require MFA when sign-in risk is Medium or High	Требовать многофакторную проверку подлинности только в том случае, если риск обнаружен защитой идентификаторов Microsoft Entra.	Microsoft 365 E5 Microsoft 365 E3 с надстройкой E5 Security Microsoft 365 with EMS E5 Individual Microsoft Entra ID P2 licenses
  Block clients that don't support modern authentication	Clients that don't use modern authentication can bypass Conditional Access policies, so it's important to block them.	Microsoft 365 E3 or E5
  High risk users must change password	Force users to change their password when signing in if high-risk activity is detected for their account.	Microsoft 365 E5 Microsoft 365 E3 с надстройкой E5 Security Microsoft 365 with EMS E5 Individual Microsoft Entra ID P2 licenses
  Apply Application Protection Policies (APP) for data protection	One Intune APP per mobile device platform (Windows, iOS/iPadOS, and Android).	Microsoft 365 E3 or E5
  Require approved apps and app protection policies	Enforces app protection policies for mobile devices using iOS, iPadOS, or Android.	Microsoft 365 E3 or E5

• Предприятие:

  Policy	More information	Licensing
  Require MFA when sign-in risk is Low, Medium, or High	Требовать многофакторную проверку подлинности только в том случае, если риск обнаружен защитой идентификаторов Microsoft Entra.	Microsoft 365 E5 Microsoft 365 E3 с надстройкой E5 Security Microsoft 365 with EMS E5 Individual Microsoft Entra ID P2 licenses
  Define device compliance policies	Set minimum configuration requirements. One policy for each platform.	Microsoft 365 E3 or E5
  Require compliant PCs and mobile devices	Enforces the configuration requirements for devices accessing your organization	Microsoft 365 E3 or E5

• Specialized security:

  Policy	More information	Licensing
  Require MFA Always	Пользователи должны выполнять многофакторную проверку подлинности в любое время, когда они входят в службы в организации.	Microsoft 365 E3 or E5

App protection policies

политики защиты приложений указать разрешенные приложения и действия, которые они могут предпринять с данными вашей организации. Хотя существует множество политик для выбора, в следующем списке описаны рекомендуемые базовые показатели.

• уровня 1 корпоративной базовой защиты данных. Рекомендуется использовать эту конфигурацию в качестве минимальной защиты данных для корпоративных устройств.

• уровня 2 корпоративной расширенной защиты данных. Мы рекомендуем использовать эту конфигурацию для устройств, обращаюющихся к конфиденциальным данным или конфиденциальной информации. Эта конфигурация применяется к большинству мобильных пользователей, которые обращаются к рабочим или учебным данным. Некоторые элементы управления могут повлиять на взаимодействие с пользователем.

• уровня 3 корпоративной высокой защиты данных: рекомендуется использовать эту конфигурацию в следующих сценариях:

  • Организации с более крупными или более продвинутыми командами безопасности.
  • Устройства, используемые определенными пользователями или группами, которые подвергаются уникально высокому риску. Например, пользователи, обрабатывающие особо конфиденциальные данные, где несанкционированное раскрытие приведет к значительным потерям для организации.

  Организации, которые с высокой вероятностью могут стать целью хорошо финансируемых и сложных злоумышленников, должны стремиться к этой конфигурации.

Create a new app protection policy for each device platform within Microsoft Intune (iOS/iPadOS and Android) using the data protection framework settings by using either of the following methods:

• Manually create the policies by following the steps in How to create and deploy app protection policies with Microsoft Intune.
• Import the sample Intune App Protection Policy Configuration Framework JSON templates with Intune's PowerShell scripts.

Device compliance policies

Intune device compliance policies define the requirements for devices to be compliant. Необходимо создать политику для каждой платформы пк, телефона или планшета. The following sections describe the recommendations for the following platforms:

• Android
• iOS/iPadOS
• Windows 10 and later

Чтобы создать политики соответствия устройств, выполните следующие действия.

1. In the Microsoft Intune admin center at https://endpoint.microsoft.com, go to Manage devices>Compliance>Policies tab. Or, to go directly to the Policies tab of the Devices | Compliance page, use https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/compliance.
2. On the Policies tab of the Devices | Compliance page, select Create policy.

Пошаговые инструкции см. в статье Создание политики соответствия в Microsoft Intune.

Enrollment and compliance settings for iOS/iPadOS

IOS/iPadOS поддерживает несколько сценариев регистрации, два из которых рассматриваются этой платформой:

• регистрация устройств для личного пользования: личные устройства (также известные как принадлежащие пользователю устройства или BYOD), используемые в работе.
• Автоматическая регистрация устройств, принадлежащих организации: устройства, принадлежащие организации, которые связаны с одним пользователем и используются исключительно для работы.

Compliance settings for personally enrolled devices

• персональный базовый уровень безопасности (уровень 1). Мы рекомендуем использовать эту конфигурацию в качестве минимальной безопасности для персональных устройств, обращаюющихся к рабочим или учебным данным. Эта конфигурация достигается путем применения политик паролей, характеристик блокировки устройства и отключения некоторых функций устройства (например, ненадежных сертификатов).
• персональный расширенный уровень безопасности (уровень 2). Мы рекомендуем использовать эту конфигурацию для устройств, обращаюющихся к конфиденциальным данным или конфиденциальной информации. Эта конфигурация позволяет управлять доступом к данным. Эта конфигурация применяется к большинству мобильных пользователей, которые обращаются к рабочим или учебным данным.
• персональный высокий уровень безопасности (уровень 3). Мы рекомендуем использовать эту конфигурацию для устройств, используемых определенными пользователями или группами, которые находятся под уникальным высоким риском. Например, пользователи, обрабатывающие конфиденциальные данные, где несанкционированное раскрытие информации приведет к значительным потерям для организации. Эта конфигурация позволяет более строгим политикам паролей, отключать определенные функции устройства и применять дополнительные ограничения на передачу данных.

Compliance settings for automated device enrollment

• базовая безопасность под присмотром (уровень 1). Мы рекомендуем эту конфигурацию в качестве минимальной безопасности для корпоративных устройств, обращающихся к рабочим или учебным данным. Эта конфигурация достигается путем применения политик паролей, характеристик блокировки устройства и отключения некоторых функций устройства (например, ненадежных сертификатов).
• контролируемой расширенной безопасности (уровень 2). Мы рекомендуем использовать эту конфигурацию для устройств, обращающихся к конфиденциальным данным или информации. Эта конфигурация позволяет управлять доступом к данным и блокировать доступ к USB-устройствам. This configuration is applicable to most mobile users accessing work or school data on a device.
• защищенный высокий уровень безопасности (уровень 3). Мы рекомендуем эту конфигурацию для устройств, используемых определенными пользователями или группами, которые находятся в уникально высоком риске. Например, пользователи, обрабатывающие конфиденциальные данные, где несанкционированное раскрытие информации приведет к значительным потерям для организации. Эта конфигурация обеспечивает более строгие политики паролей, отключает определенные функции устройства, применяет дополнительные ограничения передачи данных и требует установки приложений через программу массовых закупок Apple.

Enrollment and compliance settings for Android

Android Enterprise поддерживает несколько сценариев регистрации, два из которых охватываются этой платформой:

• Android Enterprise work profile: Personally owned devices (also known as bring your own device or BYOD) that are also used for work. Политики, контролируемые ИТ-отделом, гарантируют, что рабочие данные не могут быть переданы в личный профиль.
• Полностью управляемые устройства Android Enterprise: устройства, принадлежащие организации, связанные с одним пользователем и используемые исключительно для работы.

Платформа конфигурации безопасности Android Enterprise организована в несколько различных сценариев конфигурации, которые предоставляют рекомендации по рабочим профилям и полностью управляемым сценариям.

Compliance settings for Android Enterprise work profile devices

• There's no basic security (Level 1) offering for personally owned work profile devices. The available settings don't justify a difference between Level 1 and Level 2.
• рабочий профиль повышенной безопасности (уровень 2). Рекомендуется использовать эту конфигурацию в качестве минимальной безопасности для личных устройств, обращаюющихся к рабочим или учебным данным. This configuration introduces password requirements, separates work and personal data, and validates Android device attestation.
• высокий уровень безопасности рабочего профиля (уровень 3). Мы рекомендуем использовать эту конфигурацию для устройств, используемых определенными пользователями или группами, которые находятся на уникально высоком уровне риска. Например, пользователи, обрабатывающие конфиденциальные данные, где несанкционированное раскрытие информации приведет к значительным потерям для организации. Эта конфигурация представляет защиту от угроз для мобильных устройств или Microsoft Defender для конечной точки, задает минимальную версию Android, обеспечивает более надежные политики паролей, а также разделяет рабочие и персональные данные.

Compliance settings for Android Enterprise fully managed devices

• полностью управляемая базовая безопасность (уровень 1): мы рекомендуем эту конфигурацию в качестве минимальной безопасности для корпоративного устройства. Эта конфигурация применяется к большинству мобильных пользователей, использующих данные для работы или учебы. Эта конфигурация вводит требования к паролям, задает минимальную версию Android и включает определенные ограничения устройств.
• полностью управляемая расширенная безопасность (уровень 2). Рекомендуется использовать эту конфигурацию для устройств, обращаюющихся к конфиденциальным данным или конфиденциальной информации. Эта конфигурация включает более надежные политики паролей и отключает возможности пользователя или учетной записи.
• полностью управляемая высокая безопасность (уровень 3): мы рекомендуем эту конфигурацию для устройств, используемых определенными пользователями или группами, которые находятся в уникально высоком риске. Например, пользователи, обрабатывающие конфиденциальные данные, где несанкционированное раскрытие информации приведет к значительным потерям для организации. This configuration increases the minimum Android version, introduces mobile threat defense or Microsoft Defender for Endpoint, and enforces extra device restrictions.

Recommended compliance settings for Windows 10 and later

Configure the following settings as described in Device Compliance settings for Windows 10/11 in Intune. These settings align with the principles outlined in Zero Trust identity and device access configurations.

• Device health > Windows Health Attestation Service evaluation rules:

  Property	Value
  Require BitLocker	Require
  Require Secure Boot to be enabled on the device	Require
  Require code integrity	Require

• свойства устройства > версии операционной системы. Укажите соответствующие значения версий операционной системы на основе политик ИТ и безопасности.

  Property	Value
  Минимальная версия ОС
  Максимальная версия ОС
  Минимальная ОС, необходимая для мобильных устройств
  Максимальная операционная система, необходимая для мобильных устройств
  Допустимые сборки операционной системы

• Configuration Manager Compliance:

  Property	Value
  Требовать соответствия устройств через Configuration Manager	Select Required in environments that are co-managed with Configuration Manager. Otherwise, select Not configured.

• Системная безопасность:

  Property	Value
  Пароль
  Require a password to unlock mobile devices	Require
  Simple passwords	Block
  Password type	Device default
  Minimum password length	6
  Максимальное бездействие в минутах до того, как требуется пароль	15 minutes
  Password expiration (days)	41
  Number of previous passwords to prevent reuse	5
  Require password when device returns from idle state (Mobile and Holographic)	Require
  Шифрование
  Require encryption of data storage on device	Require
  Firewall
  Firewall	Require
  Antivirus
  Antivirus	Require
  Антишпионское ПО
  Antispyware	Require
  Defender
  Антивредоносная программа Microsoft Defender	Require
  Минимальная версия защиты от вредоносных программ в Microsoft Defender	Мы рекомендуем использовать значение, которое отстает от последней версии не более чем на пять версий.
  Обновленная подпись защиты от вредоносных программ в Microsoft Defender	Require
  Real-time protection	Require

• Защитник Microsoft для конечного устройства:

  Property	Value
  Require the device to be at or under the machine-risk score	Medium

Conditional Access policies

После создания политик защиты приложений и политик соответствия устройств в Intune можно включить принудительное применение с помощью политик условного доступа.

Require MFA based on sign-in risk

Следуйте указаниям: Требовать многофакторную проверку подлинности для повышения риска входа для создания политики, требующей многофакторной проверки подлинности на основе риска входа.

При настройке политики используйте следующие уровни риска:

Block clients that don't support multifactor authentication

Follow the guidance in: Block legacy authentication with Conditional Access.

High risk users must change password

Следуйте указаниям из раздела: Требовать безопасной смены пароля для пользователей с повышенным риском, чтобы потребовать от пользователей с скомпрометированными учетными данными изменить свои пароли.

Use this policy along with Microsoft Entra password protection, which detects and blocks known weak passwords, their variants, and specific terms in your organization. Using Microsoft Entra password protection ensures that changed passwords are stronger.

Требовать утвержденные приложения или политики защиты приложений

Необходимо создать политику условного доступа, чтобы применить политики защиты приложений, создаваемые в Intune. Enforcing app protection policies requires a Conditional Access policy and a corresponding app protection policy.

Чтобы создать политику условного доступа, требующую утвержденных приложений или защиты приложений, выполните действия, описанные в Требовать утвержденные клиентские приложения или политику защиты приложений. Эта политика позволяет учетным записям только в приложениях, защищенных политиками защиты приложений, получать доступ к конечным точкам Microsoft 365.

Блокировка устаревшей проверки подлинности для других приложений на устройствах iOS/iPadOS и Android гарантирует, что эти устройства не могут обойти политики условного доступа. By following the guidance in this article, you're already blocking clients that don't support modern authentication.

Require compliant PCs and mobile devices

Разрешите доступ к ресурсам только после того, как устройство будет соответствовать политикам соответствия Intune. Дополнительные сведения см. в статье Требование соответствия устройств с условным доступом.

You can enroll new devices to Intune, even if you select Require device to be marked as compliant for All users and All cloud apps in the policy. Требовать, чтобы устройство было помечено как соответствующее не блокирует регистрацию Intune или доступ к приложению веб-корпоративного портала Microsoft Intune.

Subscription activation

If your organization uses Windows subscription Activation to enable users to "step-up" from one version of Windows to another, you should exclude the Universal Store Service APIs and Web Application (AppID: 45a330b1-b1ec-4cc1-9161-9f03992aa49f) from your device compliance.

Always require MFA

Требовать многофакторную проверку подлинности для всех пользователей, следуя инструкциям в этой статье: Требовать многофакторную проверку подлинности для всех пользователей.

Next steps

Узнайте о рекомендациях политики для гостевого доступа