Общие политики безопасности для организаций Microsoft 365

Многие организации имеют вопросы при развертывании Microsoft 365 в безопасном режиме. Политики условного доступа, защиты приложений и соответствия устройств в этой статье основаны на рекомендациях Майкрософт и трех руководящих принципах нулевого доверия:

• Проверьте явно
• Используйте минимально необходимые привилегии
• Предполагать взлом

Организации могут использовать эти политики как есть или настраивать их в соответствии с потребностями. Протестируйте политики в непроизводственных средах, чтобы определить потенциальные последствия и сообщить пользователям, прежде чем развертывать их в рабочей среде. Тестирование крайне важно для выявления и обмена возможными последствиями для пользователей.

Мы делим эти политики на три уровня защиты, которые зависят от того, на каком этапе развертывания вы находитесь.

• Отправная точка. Основные элементы управления, которые вводят многофакторную проверку подлинности, безопасные изменения паролей и политики защиты приложений Intune для мобильных устройств.
• Enterprise: расширенные элементы управления, вводящие соответствие устройств.
• Специализированная безопасность: политики, требующие многофакторной проверки подлинности каждый раз для определенных наборов данных или пользователей.

На этой схеме показаны уровни защиты для каждой политики и типы устройств, к которых они применяются:

Эту схему можно скачать как PDF-файл или редактируемый файл Visio .

Предпосылки

Разрешения

Требуются следующие разрешения в Microsoft Entra:

• Управление политиками условного доступа: роль администратора условного доступа .
• Управление политиками защиты приложений и соответствия устройств: роль администратора Intune .
• Только просмотр конфигураций: роль читателя безопасности .

Дополнительные сведения о ролях и разрешениях в Microsoft Entra см. в разделе "Обзор управления доступом на основе ролей" в идентификаторе Microsoft Entra.

Регистрация пользователя

Убедитесь, что пользователи регистрируются для MFA перед его использованием. Если лицензии включают идентификатор Microsoft Entra ID P2, вы можете использовать политику регистрации MFA в Службе защиты идентификаторов Microsoft Entra, чтобы требовать регистрации пользователей. Мы предоставляем шаблоны коммуникации , которые можно скачать и настроить для повышения регистрации пользователей.

Группы

Все группы Microsoft Entra, используемые в этих рекомендациях, должны быть группами Microsoft 365, а не группами безопасности. Это требование важно для развертывания меток конфиденциальности для защиты документов в Microsoft Teams и SharePoint. Дополнительные сведения см. в статье о группах и правах доступа в идентификаторе Microsoft Entra.

Назначение политик

Политики условного доступа можно назначать пользователям, группам и ролям администратора. Политику защиты приложений Intune и политику соответствия устройств можно назначать исключительно группам . Перед настройкой политик определите, кто должен быть включен и исключен. Как правило, политики уровня начальной защиты применяются ко всем в организации.

В следующей таблице описаны примеры назначений групп и исключений для MFA после завершения регистрации пользователей:

Учетные записи аварийного доступа

Для каждой организации требуется по крайней мере одна учетная запись аварийного доступа, отслеживаемая для использования и исключенная из политик. Для крупных организаций может потребоваться больше учетных записей. Эти учетные записи используются только в том случае, если все остальные учетные записи администратора и методы проверки подлинности будут заблокированы или недоступны. Дополнительные сведения см. в разделе "Управление учетными записями аварийного доступа" в идентификаторе Microsoft Entra.

Исключение пользователей

Рекомендуется создать группу Microsoft Entra для исключений условного доступа. Эта группа предоставляет вам возможность предоставить доступ пользователю, в то время как вы устраняете проблемы с доступом. Такие функции, как проверки доступа в системе управления идентификаторами Microsoft Entra, помогают управлять пользователями, исключенными из политик условного доступа.

Чтобы добавить группу исключений в существующие политики, выполните следующие действия.

1. Войдите в Центр администрирования Microsoft Entra в роли как минимум администратора условного доступа.
2. Перейдите к Защита>Условный доступ>Политики.
3. Выберите существующую политику, щелкнув имя.
4. В разделе "Назначения" выберите "Пользователи" или "Идентификаторы рабочей нагрузки". a. В разделе Исключить выберите Пользователи и группы, и выберите следующие идентификаторы:
   • Пользователи: учетные записи аварийного доступа.
   • Группы: группа исключений условного доступа. б. Выберите Выбрать.
5. Внесите любые другие изменения.
6. Нажмите кнопку "Сохранить".

Исключение приложений

Рекомендуется создать базовую политику многофакторной проверки подлинности, предназначенную для всех пользователей и всех ресурсов (без исключений приложений), как описано в разделе "Требовать многофакторную проверку подлинности для всех пользователей". Исключение некоторых приложений может иметь непреднамеренные последствия безопасности и удобства использования, описанные в поведении условного доступа, когда политика всех ресурсов имеет исключение приложения. Приложения, такие как Microsoft 365 и Microsoft Teams, зависят от нескольких служб, что делает поведение непредсказуемым при создании исключений.

Развертывание

Мы рекомендуем внедрять начальные политики в порядке, указанном в следующей таблице. Вы можете внедрять политики многофакторной аутентификации для корпоративных и специализированных уровней защиты в любое время.

Отправная точка:

Предприятие

Специализированная безопасность:

Политики защиты приложений

Политики защиты приложений указывают разрешенные приложения и действия, которые они могут предпринять с данными вашей организации. Хотя существует множество политик для выбора, в следующем списке описаны рекомендуемые базовые показатели.

• Уровень 1 корпоративная базовая защита данных. Мы рекомендуем эту конфигурацию в качестве минимальной защиты данных для корпоративных устройств.

• Расширенная защита данных уровня 2. Мы рекомендуем использовать эту конфигурацию для устройств, обращаюющихся к конфиденциальным данным или конфиденциальной информации. Эта конфигурация применяется к большинству мобильных пользователей, которые обращаются к рабочим или учебным данным. Некоторые элементы управления могут повлиять на взаимодействие с пользователем.

• Уровень 3 корпоративной высокой защиты данных: рекомендуется использовать эту конфигурацию в следующих сценариях:

  • Организации с более крупными или более продвинутыми командами безопасности.
  • Устройства, используемые определенными пользователями или группами, которые подвергаются уникально высокому риску. Например, пользователи, обрабатывающие особо конфиденциальные данные, где несанкционированное раскрытие приведет к значительным потерям для организации.

  Организации, которые с высокой вероятностью могут стать целью хорошо финансируемых и сложных злоумышленников, должны стремиться к этой конфигурации.

Создайте новую политику защиты приложений для каждой платформы устройств в Microsoft Intune (iOS/iPadOS и Android), используя настройки структуры защиты данных одним из следующих способов:

• Вручную создайте политики, выполнив инструкции по созданию и развертыванию политик защиты приложений с помощью Microsoft Intune.
• Импортируйте примерные шаблоны JSON для конфигурации политики защиты приложений Intune с помощью PowerShell-скриптов Intune.

Политики соответствия устройств

Политики соответствия устройств Intune определяют требования к устройствам, чтобы они были в соответствии с нормами. Необходимо создать политику для каждой платформы пк, телефона или планшета. Следующие разделы описывают рекомендации для следующих платформ:

• Андроид
• iOS/iPadOS
• Windows 10 и более поздних версий

Создание политик соответствия устройств

Выполните следующие действия, чтобы создать политики соответствия устройств:

1. Войдите в Центр администрирования Microsoft Intune в качестве администратора Intune.
2. Перейдите к устройствам>соответствию требованиям>созданию политики.

Пошаговые инструкции см. в статье "Создание политики соответствия требованиям" в Microsoft Intune.

Настройки регистрации и соответствия для iOS/iPadOS

IOS/iPadOS поддерживает несколько сценариев регистрации, два из которых рассматриваются этой платформой:

• Регистрация устройств для личных устройств: Личные устройства (также известные как собственные устройства или BYOD), которые также используются для работы.
• Автоматическая регистрация устройств для корпоративных устройств: устройства, принадлежащие организации, связанные с одним пользователем, и используются исключительно для работы.

Настройки соответствия для персонально зарегистрированных устройств

• Личная базовая безопасность (уровень 1): рекомендуется использовать эту конфигурацию в качестве минимальной безопасности для персональных устройств, обращаюющихся к рабочим или учебным данным. Эта конфигурация достигается путем применения политик паролей, характеристик блокировки устройства и отключения некоторых функций устройства (например, ненадежных сертификатов).
• Личная улучшенная безопасность (уровень 2): рекомендуется использовать эту конфигурацию для устройств, обращаюющихся к конфиденциальным данным или конфиденциальной информации. Эта конфигурация позволяет управлять доступом к данным. Эта конфигурация применяется к большинству мобильных пользователей, которые обращаются к рабочим или учебным данным.
• Личная высокий уровень безопасности (уровень 3): мы рекомендуем эту конфигурацию для устройств, используемых определенными пользователями или группами, которые находятся в уникально высоком риске. Например, пользователи, обрабатывающие конфиденциальные данные, где несанкционированное раскрытие информации приведет к значительным потерям для организации. Эта конфигурация позволяет более строгим политикам паролей, отключать определенные функции устройства и применять дополнительные ограничения на передачу данных.

Настройки соответствия для автоматизированной регистрации устройств

• Контрольная базовая безопасность (уровень 1) — рекомендуется использовать эту конфигурацию в качестве минимальной безопасности для корпоративных устройств, обращаюющихся к рабочим или учебным данным. Эта конфигурация достигается путем применения политик паролей, характеристик блокировки устройства и отключения некоторых функций устройства (например, ненадежных сертификатов).
• Защищенный расширенный уровень безопасности (уровень 2): мы рекомендуем использовать эту конфигурацию для устройств, обращаюющихся к конфиденциальным данным или конфиденциальной информации. Эта конфигурация позволяет управлять доступом к данным и блокировать доступ к USB-устройствам. Эта конфигурация применима для большинства мобильных пользователей, которые получают доступ к рабочим или учебным данным на устройстве.
• Защищенный высокий уровень безопасности (уровень 3). Мы рекомендуем эту конфигурацию для устройств, используемых определенными пользователями или группами, которые находятся в уникально высоком риске. Например, пользователи, обрабатывающие конфиденциальные данные, где несанкционированное раскрытие информации приведет к значительным потерям для организации. Эта конфигурация обеспечивает более строгие политики паролей, отключает определенные функции устройства, применяет дополнительные ограничения передачи данных и требует установки приложений через программу массовых закупок Apple.

Настройки регистрации и соответствия для Android

Android Enterprise поддерживает несколько сценариев регистрации, два из которых охватываются этой платформой:

• Рабочий профиль Android Enterprise: Устройства, принадлежащие сотруднику (также известные как собственные устройства или BYOD), которые также используются в рабочих целях. Политики, контролируемые ИТ-отделом, гарантируют, что рабочие данные не могут быть переданы в личный профиль.
• Полностью управляемые устройства Android Enterprise: устройства, принадлежащие организации, связанные с одним пользователем, и используются исключительно для работы.

Платформа конфигурации безопасности Android Enterprise организована в несколько различных сценариев конфигурации, которые предоставляют рекомендации по рабочим профилям и полностью управляемым сценариям.

Настройки соответствия для устройств с рабочим профилем Android Enterprise

• Для устройств с рабочим профилем, находящихся в личной собственности, не предлагается базовая безопасность (Уровень 1). Доступные настройки не оправдывают разницу между Уровнем 1 и Уровнем 2.
• Улучшенная безопасность рабочего профиля (уровень 2): рекомендуется использовать эту конфигурацию в качестве минимальной безопасности для персональных устройств, обращаюющихся к рабочим или учебным данным. Эта конфигурация вводит требования к паролю, разделяет рабочие и личные данные, а также проверяет засвидетельствование устройства Android.
• Высокий уровень безопасности рабочего профиля (уровень 3) — мы рекомендуем эту конфигурацию для устройств, используемых определенными пользователями или группами, которые находятся в уникально высоком риске. Например, пользователи, обрабатывающие конфиденциальные данные, где несанкционированное раскрытие информации приведет к значительным потерям для организации. Эта конфигурация представляет защиту от угроз для мобильных устройств или Microsoft Defender для конечной точки, задает минимальную версию Android, обеспечивает более надежные политики паролей, а также разделяет рабочие и персональные данные.

Настройки соответствия для полностью управляемых устройств Android Enterprise

• Полностью управляемая базовая безопасность (уровень 1) — мы рекомендуем эту конфигурацию как минимальную безопасность для корпоративного устройства. Эта конфигурация применяется к большинству мобильных пользователей, использующих данные для работы или учебы. Эта конфигурация вводит требования к паролям, задает минимальную версию Android и включает определенные ограничения устройств.
• Полностью управляемая расширенная безопасность (уровень 2): рекомендуется использовать эту конфигурацию для устройств, обращаюющихся к конфиденциальным данным или конфиденциальной информации. Эта конфигурация включает более надежные политики паролей и отключает возможности пользователя или учетной записи.
• Полностью управляемая высокая безопасность (уровень 3): мы рекомендуем эту конфигурацию для устройств, используемых определенными пользователями или группами, которые находятся в уникально высоком риске. Например, пользователи, обрабатывающие конфиденциальные данные, где несанкционированное раскрытие информации приведет к значительным потерям для организации. Эта конфигурация увеличивает минимальную версию Android, вводит защиту от мобильных угроз или Microsoft Defender для Endpoint, и применяет дополнительные ограничения на устройство.

Рекомендуемые настройки соответствия для Windows 10 и более поздних версий

Настройте следующие параметры, как описано в параметрах соответствия устройств для Windows 10/11 в Intune. Эти параметры соответствуют принципам, описанным в конфигурациях доступа к устройству и удостоверению нулевого доверия.

• Работоспособность устройства>Правила оценки службы проверки состояния системы Windows:

  Собственность	Значение
  Требуется BitLocker	Требовать
  Требовать включения безопасной загрузки на устройстве	Требовать
  Требовать целостности кода.	Требовать

• Свойства> устройстваВерсия операционной системы: введите соответствующие значения для версий операционной системы на основе политик ИТ и безопасности.

  Собственность	Значение
  Минимальная версия ОС
  Максимальная версия ОС
  Минимальная ОС, необходимая для мобильных устройств
  Максимальная операционная система, необходимая для мобильных устройств
  Допустимые сборки операционной системы

• Соответствие диспетчера конфигураций:

  Собственность	Значение
  Требовать соответствия устройств через Configuration Manager	Выберите "Обязательный" в средах, совместно управляемых с Configuration Manager. В противном случае выберите "Не настроено".

• Системная безопасность:

  Собственность	Значение
  Пароль
  Требовать пароль для разблокировки мобильных устройств	Требовать
  Простые пароли	Блок
  Тип пароля	Настройки устройства по умолчанию
  Минимальная длина пароля	6
  Максимальное бездействие в минутах до того, как требуется пароль	15 минут
  Срок действия пароля (дни)	41
  Количество предыдущих паролей для предотвращения повторного использования	5
  Требовать пароль при возвращении устройства из неактивного состояния (мобильные и голографические устройства)	Требовать
  Шифрование
  Требуйте шифрования хранилища данных на устройстве	Требовать
  Брандмауэр
  межсетевой экран	Требовать
  Антивирус
  Антивирус	Требовать
  Антишпиостер
  Антишпионское ПО	Требовать
  Защитник
  Антивредоносная программа Microsoft Defender	Требовать
  Минимальная версия защиты от вредоносных программ в Microsoft Defender	Мы рекомендуем использовать значение, которое отстает от последней версии не более чем на пять версий.
  Обновленная подпись защиты от вредоносных программ в Microsoft Defender	Требовать
  Защита в реальном времени	Требовать

• Microsoft Defender для Endpoint:

  Собственность	Значение
  Требовать, чтобы устройство имело уровень оценки риска, соответствующий машинному или ниже	Средний

Политики условного доступа

После создания политик защиты приложений и политик соответствия устройств в Intune можно включить принудительное применение с помощью политик условного доступа.

Требовать многофакторную проверку подлинности на основе риска входа

Следуйте указаниям из Требовать многофакторную проверку подлинности при повышенном риске входа, чтобы создать политику, требующую многофакторной проверки подлинности на основе риска входа.

При настройке политики используйте следующие уровни риска:

Заблокируйте клиентов, которые не поддерживают многофакторную аутентификацию

Следуйте указаниям: блокировка устаревшей проверки подлинности с помощью условного доступа.

Пользователи с высоким уровнем риска должны изменить пароль.

Следуйте указаниям в: Требуйте безопасного изменения пароля для пользователей с повышенным риском , чтобы пользователи с скомпрометированными учетными данными изменили свои пароли.

Используйте эту политику вместе с защитой паролей Microsoft Entra, которая обнаруживает и блокирует известные слабые пароли, их варианты и конкретные термины в вашей организации. Использование защиты паролей Microsoft Entra гарантирует, что измененные пароли сильнее.

Требовать утвержденные приложения или политики защиты приложений

Необходимо создать политику условного доступа, чтобы применить политики защиты приложений, создаваемые в Intune. Для применения политик защиты приложений требуется политика условного доступа и соответствующая политика защиты приложений.

Чтобы создать политику условного доступа, требующую утвержденных приложений или защиты приложений, выполните действия, описанные в разделе "Требовать утвержденные клиентские приложения" или политику защиты приложений. Эта политика позволяет учетным записям только в приложениях, защищенных политиками защиты приложений, получать доступ к конечным точкам Microsoft 365.

Блокировка устаревшей проверки подлинности для других приложений на устройствах iOS/iPadOS и Android гарантирует, что эти устройства не могут обойти политики условного доступа. Следуя инструкциям в этой статье, вы уже блокируете клиенты, которые не поддерживают современную проверку подлинности.

Требуйте соответствующие стандартам ПК и мобильные устройства

Разрешите доступ к ресурсам только после того, как устройство будет соответствовать политикам соответствия Intune. Дополнительные сведения см. в разделе "Требовать соответствие устройств условному доступу".

Вы можете зарегистрировать новые устройства в Intune, даже если выбран параметр "Требовать, чтобы устройство было помечено как соответствующее требованиям для всех пользователей и всех облачных приложений в политике". Требовать, чтобы устройство было помечено как соответствующее не блокирует регистрацию в Intune или доступ к приложению Microsoft Intune Company Portal через веб.

Активация подписки

Если ваша организация использует активацию подписки Windows для того, чтобы пользователи могли перейти на более новую версию Windows, следует исключить API-интерфейсы универсальной службы Магазина и веб-приложение (AppID: 45a330b1-b1ec-4cc1-9161-9f03992aa49f) из критериев соответствия устройств.

Всегда требовать MFA

Требовать многофакторную проверку подлинности для всех пользователей, следуя инструкциям в этой статье: требуется многофакторная проверка подлинности для всех пользователей.

Следующие шаги

Сведения о рекомендациях по политике для гостевого доступа