Общие политики безопасности для организаций Microsoft 365

Во многих организациях возникают вопросы при развертывании Microsoft 365 в безопасном режиме. Политики условного доступа, защиты приложений и соответствия устройств в этой статье основаны на рекомендациях Майкрософт и трех руководящих принципах "Никому не доверяй":

  • Проверьте явно
  • Используйте минимально необходимые привилегии
  • Предполагать взлом

Организации могут использовать эти политики как есть или настраивать их в соответствии с потребностями. Протестируйте политики в непроизводственных средах, чтобы определить потенциальные последствия и сообщить пользователям, прежде чем развертывать их в рабочей среде. Тестирование крайне важно для выявления и обмена возможными последствиями для пользователей.

Мы делим эти политики на три уровня защиты, которые зависят от того, на каком этапе развертывания вы находитесь.

  • Отправная точка. Основные элементы управления, которые вводят многофакторную проверку подлинности, безопасные изменения паролей и политики защиты приложений Intune для мобильных устройств.
  • Корпорация: Усиленные средства контроля, обеспечивающие соответствие устройств требованиям.
  • Специализированная безопасность: политики, требующие многофакторной проверки подлинности каждый раз для определенных наборов данных или пользователей.

На этой схеме показаны уровни защиты для каждой политики и типы устройств, к которых они применяются:

Диаграмма, показывающая общие политики идентификации и устройств, поддерживающие принципы

Эту схему можно скачать как файл PDF или редактируемый файл Visio.

Подсказка

Перед регистрацией устройств в Intune требуется многофакторная проверка подлинности (MFA) для пользователей, чтобы убедиться, что устройство находится у предполагаемого пользователя. Многофакторная аутентификация включена по умолчанию или можно использовать политики условного доступа , чтобы требовать многофакторную аутентификацию для всех пользователей.

Устройства должны быть зарегистрированы в Intune, прежде чем применять политики соответствия устройств.

Предпосылки

Разрешения

Требуются следующие разрешения в Microsoft Entra:

Дополнительные сведения о ролях и разрешениях в Microsoft Entra см. в разделе Overview управления доступом на основе ролей в Microsoft Entra ID.

Регистрация пользователя

Убедитесь, что пользователи регистрируются для MFA перед его использованием. Если лицензии включают Microsoft Entra ID P2, вы можете использовать политику регистрации MFA в Защита Microsoft Entra ID, чтобы требовать регистрации пользователей. Мы предоставляем шаблоны коммуникации , которые можно скачать и настроить для повышения регистрации пользователей.

Группы

Все группы Microsoft Entra, используемые в этих рекомендациях, должны быть Группы Microsoft 365, а не группы безопасности. Это требование важно для развертывания меток конфиденциальности для защиты документов в Microsoft Teams и SharePoint. Дополнительные сведения см. в разделе Learn о группах и правах доступа в Microsoft Entra ID.

Назначение политик

Политики условного доступа можно назначать пользователям, группам и ролям администратора. Вы можете назначать политики защиты приложений Intune и политики соответствия устройств только группам. Перед настройкой политик определите, кто должен быть включен и исключен. Как правило, политики уровня начальной защиты применяются ко всем в организации.

В следующей таблице описаны примеры назначений групп и исключений для MFA после завершения регистрации пользователей:

  политика условного доступа Microsoft Entra Включить Исключить
Начальная точка Требовать многофакторную проверку подлинности для среднего или высокого риска входа Все пользователи
  • Учетные записи аварийного доступа
  • Группа исключений условного доступа
Предприятие Требовать многофакторную проверку подлинности для низкого, среднего или высокого риска входа Группа руководителей
  • Учетные записи аварийного доступа
  • Группа исключений условного доступа
Специализированная безопасность Всегда требуется многофакторная проверка подлинности Top Secret Project Buckeye group
  • Учетные записи аварийного доступа
  • Группа исключений условного доступа

Подсказка

Тщательно применяйте более высокий уровень защиты для пользователей и групп. Цель безопасности заключается в том, чтобы не добавлять ненужные трения в взаимодействие с пользователем. Например, члены группы Top Secret Project Buckeye обязаны использовать многофакторную аутентификацию при каждом входе в систему, даже если они не работают над специализированным содержимым своего проекта. Излишняя фрикция в сфере безопасности может привести к усталости. Включите устойчивые к фишингу методы аутентификации (например, Windows Hello для бизнеса или ключи безопасности FIDO2), чтобы снизить неудобства, вызванные мерами по обеспечению безопасности.

Учетные записи аварийного доступа

Для каждой организации требуется по крайней мере одна учетная запись аварийного доступа, отслеживаемая для использования и исключенная из политик. Для крупных организаций может потребоваться больше учетных записей. Эти учетные записи используются только в том случае, если все остальные учетные записи администратора и методы проверки подлинности будут заблокированы или недоступны. Дополнительные сведения см. в статье Управление учетными записями аварийного доступа в Microsoft Entra ID.

Исключение пользователей

Мы рекомендуем создать группу Microsoft Entra для исключений в условном доступе. Эта группа предоставляет вам возможность предоставить доступ пользователю, в то время как вы устраняете проблемы с доступом. Функции, такие как проверки доступа в Управление Microsoft Entra ID, помогают управлять пользователями, которые исключены из политик условного доступа.

Предупреждение

Мы рекомендуем использовать исключающую группу только в качестве временного решения. Непрерывно отслеживайте эту группу на предмет изменений и убедитесь, что она используется только для ее предназначения.

Чтобы добавить группу исключений в существующие политики, выполните следующие действия.

  1. Войдите в Центр администрирования Microsoft Entra с правами не ниже, чем Администратора условного доступа.
  2. Перейдите к политикам условного доступа>.
  3. Выберите существующую политику, щелкнув имя.
  4. В разделе "Назначения" выберите "Пользователи" или "Идентификаторы рабочей нагрузки". a. В разделе Исключить выберите Пользователи и группы, а затем выберите следующие удостоверения:
    • Пользователи: учетные записи аварийного доступа.
    • Группы: ваша группа исключений для условного доступа. б. Выберите Выбрать.
  5. Внесите любые другие изменения.
  6. Нажмите Сохранить.

Исключение приложений

Рекомендуется создать базовую политику многофакторной проверки подлинности, предназначенную для всех пользователей и всех ресурсов (без исключений приложений), как описано в разделе "Требовать многофакторную проверку подлинности для всех пользователей". Исключение некоторых приложений может иметь непреднамеренные последствия безопасности и удобства использования, описанные в поведении условного доступа, когда политика всех ресурсов имеет исключение приложения. Приложения, такие как Microsoft 365 и Microsoft Teams, зависят от нескольких служб, делающих поведение непредсказуемым при создании исключений.

Это важно

Изменение принудительного применения, разворачиваемое в период с марта по июнь 2026 года: Политики условного доступа, предназначенные для всех ресурсов, применяются для входов, запрашивающих только области OIDC или ограниченный набор областей каталогов, даже если существуют исключения ресурсов. Пользователи в затронутых клиентах могут сталкиваться с вызовами условного доступа (такие как MFA или соответствие устройств), где ранее им был предоставлен доступ без принудительной проверки. Просмотрите все политики ресурсов , включающие исключения ресурсов, и проверьте затронутые потоки входа. Для получения дополнительной информации см. статью Изменение поведения условного доступа для всех политик с исключением ресурсов.

Развертывание

Мы рекомендуем внедрять начальные политики в порядке, указанном в следующей таблице. Вы можете внедрять политики многофакторной аутентификации для корпоративных и специализированных уровней защиты в любое время.

Отправная точка:

Политика Дополнительная информация Лицензирование
Требовать многофакторную проверку подлинности, если риск входа — средний или высокий Требовать многофакторную проверку подлинности только в случае обнаружения риска с помощью Защита Microsoft Entra ID.
  • Microsoft 365 E5
  • Microsoft 365 E3 с надстройкой E5 Security
  • Microsoft 365 с EMS E5
  • Отдельные лицензии Microsoft Entra ID P2
Блокировать клиенты, не поддерживающие современную проверку подлинности Клиенты, которые не используют современную проверку подлинности, могут обойти политики условного доступа, поэтому важно заблокировать их. Microsoft 365 E3 или E5
Пользователи с высоким уровнем риска должны изменить пароль Заставлять пользователей менять свой пароль при входе в систему, если обнаружена подозрительная активность для их учетной записи.
  • Microsoft 365 E5
  • Microsoft 365 E3 с надстройкой E5 Security
  • Microsoft 365 с EMS E5
  • Отдельные лицензии Microsoft Entra ID P2
Применение политик защиты приложений (APP) для защиты данных Одно приложение Intune на платформу мобильных устройств (Windows, iOS/iPadOS и Android). Microsoft 365 E3 или E5
Требовать утвержденные приложения и политики защиты приложений Применяет политики защиты приложений для мобильных устройств, использующих iOS, iPadOS или Android. Microsoft 365 E3 или E5

Предприятие

Политика Дополнительная информация Лицензирование
Требовать многофакторную проверку подлинности, если риск входа — низкий, средний или высокий Требовать многофакторную аутентификацию, только если Защита Microsoft Entra ID обнаруживает риск.
  • Microsoft 365 E5
  • Microsoft 365 E3 с надстройкой E5 Security
  • Microsoft 365 с EMS E5
  • Отдельные лицензии Microsoft Entra ID P2
Определение политик соответствия устройств Установите минимальные требования к конфигурации. Одна политика для каждой платформы. Microsoft 365 E3 или E5
Требовать совместимые компьютеры и мобильные устройства Обеспечивает выполнение требований конфигурации для устройств, которые подключаются к вашей организации. Microsoft 365 E3 или E5

Специализированная безопасность:

Политика Дополнительная информация Лицензирование
Требовать многофакторную проверку подлинности Всегда Пользователи должны выполнять многофакторную проверку подлинности в любое время, когда они входят в службы в организации. Microsoft 365 E3 или E5

политики защиты приложений

политики защиты приложений указывают разрешенные приложения и действия, которые они могут предпринять с данными вашей организации. Хотя существует множество политик для выбора, в следующем списке описаны рекомендуемые базовые показатели.

Подсказка

Хотя мы предоставляем три шаблона, большинство организаций должны выбрать уровень 2 (сопоставляется с начальной точкой, корпоративной безопасностью) и уровень 3 (сопоставляется со специализированной безопасностью).

  • Уровень 1 корпоративная базовая защита данных. Мы рекомендуем эту конфигурацию в качестве минимальной защиты данных для корпоративных устройств.

  • Расширенная защита данных уровня 2. Мы рекомендуем использовать эту конфигурацию для устройств, обращаюющихся к конфиденциальным данным или конфиденциальной информации. Эта конфигурация применяется к большинству мобильных пользователей, которые обращаются к рабочим или учебным данным. Некоторые элементы управления могут повлиять на взаимодействие с пользователем.

  • Уровень 3 корпоративной высокой защиты данных: рекомендуется использовать эту конфигурацию в следующих сценариях:

    • Организации с более крупными или более продвинутыми командами безопасности.
    • Устройства, используемые определенными пользователями или группами, которые подвергаются уникально высокому риску. Например, пользователи, обрабатывающие особо конфиденциальные данные, где несанкционированное раскрытие приведет к значительным потерям для организации.

    Организации, которые с высокой вероятностью могут стать целью хорошо финансируемых и сложных злоумышленников, должны стремиться к этой конфигурации.

Создайте новую политику защиты приложений для каждой платформы устройств в Microsoft Intune (iOS/iPadOS и Android) с помощью параметров платформы защиты данных с помощью одного из следующих методов:

Политики соответствия устройств

Политики соответствия устройств Intune определяют требования к устройствам, чтобы они были в соответствии с нормами. Необходимо создать политику для каждой платформы пк, телефона или планшета. Следующие разделы описывают рекомендации для следующих платформ:

Создание политик соответствия устройств

Выполните следующие действия, чтобы создать политики соответствия устройств:

  1. Войдите в центр администрирования Microsoft Intune в качестве администратора Intune.
  2. Перейдите к Устройства>Соответствие>Создать политику.

Пошаговые инструкции см. в статье Создание политики соответствия требованиям в Microsoft Intune.

Настройки регистрации и соответствия для iOS/iPadOS

IOS/iPadOS поддерживает несколько сценариев регистрации, два из которых рассматриваются этой платформой:

Подсказка

Как описано ранее, уровень 2 сопоставляется с начальной точкой или безопасностью корпоративного уровня, а уровень 3 сопоставляется с специализированной безопасностью. Для получения дополнительной информации см. конфигурации идентификаций и доступа устройств в среде "Никому не доверяй".

Настройки соответствия для персонально зарегистрированных устройств

  • Личная базовая безопасность (уровень 1): рекомендуется использовать эту конфигурацию в качестве минимальной безопасности для персональных устройств, обращаюющихся к рабочим или учебным данным. Эта конфигурация достигается путем применения политик паролей, характеристик блокировки устройства и отключения некоторых функций устройства (например, ненадежных сертификатов).
  • Личная улучшенная безопасность (уровень 2): рекомендуется использовать эту конфигурацию для устройств, обращаюющихся к конфиденциальным данным или конфиденциальной информации. Эта конфигурация позволяет управлять доступом к данным. Эта конфигурация применяется к большинству мобильных пользователей, которые обращаются к рабочим или учебным данным.
  • Личная высокий уровень безопасности (уровень 3): мы рекомендуем эту конфигурацию для устройств, используемых определенными пользователями или группами, которые находятся в уникально высоком риске. Например, пользователи, обрабатывающие конфиденциальные данные, где несанкционированное раскрытие информации приведет к значительным потерям для организации. Эта конфигурация позволяет более строгим политикам паролей, отключать определенные функции устройства и применять дополнительные ограничения на передачу данных.

Настройки соответствия для автоматизированной регистрации устройств

  • Контрольная базовая безопасность (уровень 1) — рекомендуется использовать эту конфигурацию в качестве минимальной безопасности для корпоративных устройств, обращаюющихся к рабочим или учебным данным. Эта конфигурация достигается путем применения политик паролей, характеристик блокировки устройства и отключения некоторых функций устройства (например, ненадежных сертификатов).
  • Защищенный расширенный уровень безопасности (уровень 2): мы рекомендуем использовать эту конфигурацию для устройств, обращаюющихся к конфиденциальным данным или конфиденциальной информации. Эта конфигурация позволяет управлять доступом к данным и блокировать доступ к USB-устройствам. Эта конфигурация применима для большинства мобильных пользователей, которые получают доступ к рабочим или учебным данным на устройстве.
  • Защищенный высокий уровень безопасности (уровень 3). Мы рекомендуем эту конфигурацию для устройств, используемых определенными пользователями или группами, которые находятся в уникально высоком риске. Например, пользователи, обрабатывающие конфиденциальные данные, где несанкционированное раскрытие информации приведет к значительным потерям для организации. Эта конфигурация обеспечивает более строгие политики паролей, отключает определенные функции устройства, применяет дополнительные ограничения передачи данных и требует установки приложений через программу массовых закупок Apple.

Настройки регистрации и соответствия для Android

Android Enterprise поддерживает несколько сценариев регистрации, два из которых охватываются этой платформой:

  • Рабочий профиль Android Enterprise: Личные устройства (также известные как «принеси своё устройство» или BYOD), которые также используются для работы. Политики, контролируемые ИТ-отделом, гарантируют, что рабочие данные не могут быть переданы в личный профиль.
  • Полностью управляемые устройства Android Enterprise: устройства, принадлежащие организации, связанные с одним пользователем, и используются исключительно для работы.

Платформа конфигурации безопасности Android Enterprise организована в несколько различных сценариев конфигурации, которые предоставляют рекомендации по рабочим профилям и полностью управляемым сценариям.

Подсказка

Как описано ранее, уровень 2 сопоставляется с начальной точкой или безопасностью корпоративного уровня, а уровень 3 сопоставляется с специализированной безопасностью. Дополнительные сведения см. в разделе конфигурации управления доступом и удостоверениями в модели "Никому не доверяй".

Настройки соответствия для устройств с рабочим профилем Android Enterprise

  • Для устройств с рабочим профилем, находящихся в личной собственности, не предлагается базовая безопасность (Уровень 1). Доступные настройки не оправдывают разницу между Уровнем 1 и Уровнем 2.
  • Улучшенная безопасность рабочего профиля (уровень 2): рекомендуется использовать эту конфигурацию в качестве минимальной безопасности для персональных устройств, обращаюющихся к рабочим или учебным данным. Эта конфигурация вводит требования к паролю, разделяет рабочие и личные данные, а также проверяет засвидетельствование устройства Android.
  • Высокий уровень безопасности рабочего профиля (уровень 3) — мы рекомендуем эту конфигурацию для устройств, используемых определенными пользователями или группами, которые находятся в уникально высоком риске. Например, пользователи, обрабатывающие конфиденциальные данные, где несанкционированное раскрытие информации приведет к значительным потерям для организации. Эта конфигурация представляет защиту от угроз для мобильных устройств или Microsoft Defender для конечной точки, задает минимальную версию Android, обеспечивает более надежные политики паролей, а также разделяет рабочие и персональные данные.

Настройки соответствия для полностью управляемых устройств Android Enterprise

  • Полностью управляемая базовая безопасность (уровень 1) — мы рекомендуем эту конфигурацию как минимальную безопасность для корпоративного устройства. Эта конфигурация применяется к большинству мобильных пользователей, использующих данные для работы или учебы. Эта конфигурация вводит требования к паролям, задает минимальную версию Android и включает определенные ограничения устройств.
  • Полностью управляемая расширенная безопасность (уровень 2): рекомендуется использовать эту конфигурацию для устройств, обращаюющихся к конфиденциальным данным или конфиденциальной информации. Эта конфигурация включает более надежные политики паролей и отключает возможности пользователя или учетной записи.
  • Полностью управляемая высокая безопасность (уровень 3): мы рекомендуем эту конфигурацию для устройств, используемых определенными пользователями или группами, которые находятся в уникально высоком риске. Например, пользователи, обрабатывающие конфиденциальные данные, где несанкционированное раскрытие информации приведет к значительным потерям для организации. Эта конфигурация увеличивает минимальную версию Android, вводит защиту от угроз для мобильных устройств или Microsoft Defender для конечной точки и применяет дополнительные ограничения устройств.

Настройте следующие параметры, как описано в настройках соответствия устройства для Windows 10/11 в Intune. Эти параметры соответствуют принципам, описанным в "Никому не доверяй" конфигурациях удостоверений и доступа к устройствам.

  • Device health>Правила оценки службы Windows для аттестации состояния:

    Собственность Значение
    Требуется BitLocker Требовать
    Требовать включения безопасной загрузки на устройстве Требовать
    Требовать целостности кода. Требовать

  • Свойства> устройстваВерсия операционной системы: введите соответствующие значения для версий операционной системы на основе политик ИТ и безопасности.

    Собственность Значение
    Минимальная версия ОС
    Максимальная версия ОС
    Минимальная ОС, необходимая для мобильных устройств
    Максимальная операционная система, необходимая для мобильных устройств
    Допустимые сборки операционной системы

  • Соответствие требованиям Configuration Manager:

    Собственность Значение
    Требовать соответствия устройств с помощью Configuration Manager Выберите Required в средах, совместно управляемых с Configuration Manager. В противном случае выберите "Не настроено".

  • Системная безопасность:

    Собственность Значение
    Пароль
      Требовать пароль для разблокировки мобильных устройств Требовать
      Простые пароли Блок
      Тип пароля Настройки устройства по умолчанию
      Минимальная длина пароля 6
      Максимальное бездействие в минутах до того, как требуется пароль 15 минут
      Срок действия пароля (дни) 41
      Количество предыдущих паролей для предотвращения повторного использования 5
      Требовать пароль при возвращении устройства из неактивного состояния (мобильные и голографические устройства) Требовать
    Шифрование
      Требуйте шифрования хранилища данных на устройстве Требовать
    Брандмауэр.
      Брандмауэр Требовать
    Защита от вирусов
      Антивирус Требовать
    антишпионское ПО;
      Антишпиостер Требовать
    Защитник
      Microsoft Defender антивредоносная программа Требовать
      Microsoft Defender минимальная версия защиты от вредоносных программ Мы рекомендуем использовать значение, которое отстает от последней версии не более чем на пять версий.
      Сигнатуры антивируса Microsoft Defender обновлены до актуального состояния Требовать
      Защита в реальном времени Требовать

  • Microsoft Defender для конечной точки:

    Собственность Значение
    Требовать, чтобы устройство соответствовало или не превышало уровень оценки риска устройства Средний

Политики условного доступа

После создания политик защиты приложений и политик соответствия устройств в Intune можно включить принудительное применение с помощью политик условного доступа.

Требовать многофакторную проверку подлинности на основе риска входа

Следуйте указаниям в: Требовать многофакторную проверку подлинности для высокого риска входа, чтобы создать политику, требующую многофакторной проверки подлинности на основе риска входа.

При настройке политики используйте следующие уровни риска:

Уровень защиты Уровни риска
Начальная точка Средний и Высокий
Предприятие Низкий, Средний и Высокий

Заблокируйте клиентов, которые не поддерживают многофакторную аутентификацию

Следуйте указаниям: блокировка устаревшей проверки подлинности с помощью условного доступа.

Пользователи с высоким уровнем риска должны изменить пароль

Следуйте указаниям: Требовать безопасной смены пароля для пользователей с повышенным риском, чтобы пользователи с скомпрометированными учетными данными изменили свои пароли.

Используйте эту политику вместе с защитой паролей Microsoft Entra, которая обнаруживает и блокирует известные слабые пароли, их варианты и конкретные термины в организации. Использование Microsoft Entra защиты паролей гарантирует, что измененные пароли сильнее.

Требовать утвержденные приложения или политики защиты приложений

Необходимо создать политику условного доступа, чтобы применить политики защиты приложений, создаваемые в Intune. Для применения политик защиты приложений требуется политика условного доступа и соответствующая политика защиты приложений.

Чтобы создать политику условного доступа, требующую утвержденных приложений или защиты приложений, выполните действия, описанные в разделе "Требовать утвержденные клиентские приложения" или политику защиты приложений. Эта политика позволяет учетным записям только в приложениях, защищенных политиками защиты приложений, получать доступ к конечным точкам Microsoft 365.

Блокировка устаревшей проверки подлинности для других приложений на устройствах iOS/iPadOS и Android гарантирует, что эти устройства не могут обойти политики условного доступа. Следуя инструкциям в этой статье, вы уже блокируете клиенты, которые не поддерживают современную проверку подлинности.

Требовать совместимые компьютеры и мобильные устройства

Осторожно

Убедитесь, что ваше устройство соответствует требованиям, прежде чем включать эту политику. В противном случае вы можете потерять доступ, и тогда вам будет нужно использовать учетную запись аварийного доступа для восстановления доступа.

Разрешите доступ к ресурсам только после того, как устройство будет соответствовать политикам соответствия Intune. Дополнительные сведения см. в разделе "Требовать соответствие устройств условному доступу".

Вы можете зарегистрировать новые устройства в Intune, даже если выбран параметр "Требовать, чтобы устройство было помечено как соответствующее требованиям для всех пользователей и всех облачных приложений в политике". Политика Требовать, чтобы устройство было помечено как соответствующее не блокирует регистрацию в Intune или доступ к приложению веб-портала компании Microsoft Intune.

Активация подписки

Если в вашей организации используется Активация подписки Windows для обновления пользователей с одной версии Windows до другой, следует исключить API службы универсального магазина и веб-приложение (AppID: 45a330b1-b1ec-4cc1-9161-9f03992aa49f) из требований соответствия вашего устройства.

Всегда требовать MFA

Требовать многофакторную проверку подлинности для всех пользователей, следуя инструкциям в этой статье: требуется многофакторная проверка подлинности для всех пользователей.

Следующие шаги

Шаг 3. Политики для гостевых и внешних пользователей.

Сведения о рекомендациях по политике для гостевого доступа

  • Last updated on