Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Организации сталкиваются с множеством проблем при развертывании Microsoft 365 для своей организации. Политики условного доступа, защиты приложений и соответствия устройств, упомянутые в этой статье, основаны на рекомендациях Microsoft и трех основных принципах концепции "Нулевого доверия".
- Проверьте явно
- Используйте минимально необходимые привилегии
- Предполагать взлом
Организации могут использовать эти политики в их исходном виде или адаптировать их в соответствии со своими потребностями. По возможности протестируйте политики в непроизводственных средах, прежде чем развертывать их для рабочих пользователей. Тестирование жизненно важно для выявления и передачи пользователям информации о возможных эффектах.
Мы делим эти политики на три уровня защиты, которые зависят от того, на каком этапе развертывания вы находитесь.
- Отправная точка. Основные элементы управления, которые вводят многофакторную проверку подлинности, безопасные изменения паролей и политики защиты приложений Intune для мобильных устройств.
- Enterprise: расширенные элементы управления, вводящие соответствие устройств.
- Специализированная безопасность: политики, требующие многофакторной проверки подлинности каждый раз для определенных наборов данных или пользователей.
На следующей схеме показаны уровни защиты, к которым применяется каждая политика, и к каким типам устройств применяются политики:
Эту схему можно скачать как PDF-файл или редактируемый файл Visio .
Подсказка
Мы рекомендуем требовать многофакторную аутентификацию (МФА) от пользователей перед регистрацией устройств в Intune, чтобы убедиться, что они действительно имеют устройство в наличии. Многофакторная проверка подлинности включена по умолчанию из-за значений по умолчанию безопасности или можно использовать политики условного доступа, чтобы требовать MFA для всех пользователей.
Устройства должны быть зарегистрированы в Intune, прежде чем применять политики соответствия устройств.
Предпосылки
Разрешения
Требуются следующие разрешения в Microsoft Entra:
- Управление политиками условного доступа: роль администратора условного доступа .
- Управление политиками защиты приложений и соответствия устройств: роль администратора Intune .
- Только просмотр конфигураций: роль читателя безопасности .
Дополнительные сведения о ролях и разрешениях в Microsoft Entra см. в разделе "Обзор управления доступом на основе ролей" в идентификаторе Microsoft Entra.
Регистрация пользователя
Убедитесь, что пользователи зарегистрировались в MFA перед тем, как оно станет обязательным. Если лицензии включают идентификатор Microsoft Entra ID P2, вы можете использовать политику регистрации MFA в Службе защиты идентификаторов Microsoft Entra, чтобы требовать регистрации пользователей. Мы предоставляем шаблоны коммуникации , которые можно скачать и настроить для повышения регистрации пользователей.
Группы
Все группы Microsoft Entra, используемые в рамках этих рекомендаций, должны быть группами Microsoft 365, а не группами безопасности. Это требование важно для развертывания меток конфиденциальности для защиты документов в Microsoft Teams и SharePoint. Дополнительные сведения см. в статье о группах и правах доступа в идентификаторе Microsoft Entra.
Назначение политик
Политики условного доступа можно назначать пользователям, группам и ролям администратора. Политику защиты приложений Intune и политику соответствия устройств можно назначать исключительно группам . Перед настройкой политик определите, кто должен быть включен и исключен. Как правило, политики уровня начальной защиты применяются ко всем в организации.
В следующей таблице описаны примеры назначений групп и исключений для MFA после завершения регистрации пользователей:
| Политика условного доступа Microsoft Entra | Включить | Исключить | |
|---|---|---|---|
| Начальная точка | Требовать многофакторную проверку подлинности для среднего или высокого риска входа | Все пользователи |
|
| Предприятие | Требовать многофакторную проверку подлинности для низкого, среднего или высокого риска входа | Группа руководителей |
|
| Специализированная безопасность | Всегда требуется многофакторная проверка подлинности | Группа Top Secret Project Buckeye |
|
Подсказка
Будьте осторожны при применении более высокого уровня защиты к пользователям и группам. Цель безопасности заключается в том, чтобы не добавлять ненужные трения в взаимодействие с пользователем. Например, члены группы Top Secret Project Buckeye должны использовать многофакторную проверку подлинности при каждом входе, даже если они не работают над специализированным содержимым для своего проекта. Излишняя фрикция в сфере безопасности может привести к усталости. Включите методы проверки подлинности, устойчивые к фишингу (например, ключи безопасности Windows Hello для бизнеса или FIDO2), чтобы снизить трения, вызванные элементами управления безопасностью.
Учетные записи аварийного доступа
Все организации должны иметь как минимум одну учетную запись для экстренного доступа (а возможно, и больше, в зависимости от размера организации), которая контролируется для использования и исключена из политик. Эти учетные записи используются только в том случае, если все остальные учетные записи администратора и методы проверки подлинности будут заблокированы или недоступны. Дополнительные сведения см. в разделе "Управление учетными записями аварийного доступа" в идентификаторе Microsoft Entra.
Исключения
Рекомендуемая практика — создать группу Microsoft Entra для исключений в условном доступе. Эта группа предоставляет вам возможность предоставить доступ пользователю, в то время как вы устраняете проблемы с доступом.
Предупреждение
Мы рекомендуем использовать исключающую группу только в качестве временного решения. Не забудьте постоянно следить за изменениями в этой группе и проверять, что группа используется только для её целевого назначения.
Выполните следующие действия, чтобы добавить группу исключений в любые существующие политики. Как описано ранее, вам потребуется разрешение администратора условного доступа .
В Центре администрирования Microsoft Entra https://entra.microsoft.com перейдите к защита>, условный доступ>, политики. Или, чтобы перейти непосредственно на условный доступ | Политики, используйте https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policies/fromNav/Identity.
На странице "Условный доступ | Политики" выберите существующую политику, щелкнув по значению имени.
На открывающейся странице сведений о политике выберите ссылку на "Пользователи " в разделе "Назначения ".
В открываемом элементе управления выберите вкладку "Исключить ", а затем выберите "Пользователи и группы".
В открывшемся всплывающем элементе "Выбор исключенных пользователей и групп" найдите и выберите следующие идентификаторы:
- Пользователи: учетные записи аварийного доступа.
- Группы: группа исключений условного доступа
После завершения всплывающего меню "Выбор исключенных пользователей и групп" нажмите кнопку "Выбрать"
Развертывание
Мы рекомендуем внедрять начальные политики в порядке, указанном в следующей таблице. Вы можете внедрять политики многофакторной аутентификации для корпоративных и специализированных уровней защиты в любое время.
Отправная точка:
Политика Дополнительная информация Лицензирование Требовать многофакторную проверку подлинности, если риск входа — средний или высокий Требовать многофакторную проверку подлинности только в том случае, если риск обнаружен защитой идентификаторов Microsoft Entra. - Microsoft 365 E5
- Microsoft 365 E3 с надстройкой E5 Security
- Microsoft 365 с EMS E5
- Индивидуальные лицензии Microsoft Entra ID P2
Блокировать клиенты, не поддерживающие современную проверку подлинности Клиенты, которые не используют современную проверку подлинности, могут обойти политики условного доступа, поэтому важно заблокировать их. Microsoft 365 E3 или E5 Пользователи с высоким уровнем риска должны изменить пароль Заставлять пользователей менять свой пароль при входе в систему, если обнаружена подозрительная активность для их учетной записи. - Microsoft 365 E5
- Microsoft 365 E3 с надстройкой E5 Security
- Microsoft 365 с EMS E5
- Индивидуальные лицензии Microsoft Entra ID P2
Применение политик защиты приложений (APP) для защиты данных Одно приложение Intune на каждую платформу мобильных устройств (Windows, iOS/iPadOS и Android). Microsoft 365 E3 или E5 Требовать утвержденные приложения и политики защиты приложений Применяет политики защиты приложений для мобильных устройств, использующих iOS, iPadOS или Android. Microsoft 365 E3 или E5 Предприятие
Политика Дополнительная информация Лицензирование Требовать многофакторную проверку подлинности, если риск входа — низкий, средний или высокий Требовать многофакторную проверку подлинности только в том случае, если риск обнаружен защитой идентификаторов Microsoft Entra. - Microsoft 365 E5
- Microsoft 365 E3 с надстройкой E5 Security
- Microsoft 365 с EMS E5
- Индивидуальные лицензии Microsoft Entra ID P2
Определение политик соответствия устройств Установите минимальные требования к конфигурации. Одна политика для каждой платформы. Microsoft 365 E3 или E5 Требовать совместимые компьютеры и мобильные устройства Обеспечивает выполнение требований конфигурации для устройств, которые подключаются к вашей организации. Microsoft 365 E3 или E5 Специализированная безопасность:
Политика Дополнительная информация Лицензирование Всегда требовать многофакторную проверку подлинности Пользователи должны выполнять многофакторную проверку подлинности в любое время, когда они входят в службы в организации. Microsoft 365 E3 или E5
Политики защиты приложений
Политики защиты приложений указывают разрешенные приложения и действия, которые они могут предпринять с данными вашей организации. Хотя существует множество политик для выбора, в следующем списке описаны рекомендуемые базовые показатели.
Подсказка
Хотя мы предоставляем три шаблона, большинству организаций следует выбрать уровень 2 (соответствует начальной точке или корпоративной безопасности) и уровень 3 (соответствует специализированной безопасности).
Уровень 1 корпоративная базовая защита данных. Мы рекомендуем эту конфигурацию в качестве минимальной защиты данных для корпоративных устройств.
Расширенная защита данных уровня 2. Мы рекомендуем использовать эту конфигурацию для устройств, обращаюющихся к конфиденциальным данным или конфиденциальной информации. Эта конфигурация применяется к большинству мобильных пользователей, которые обращаются к рабочим или учебным данным. Некоторые элементы управления могут повлиять на взаимодействие с пользователем.
Уровень 3 корпоративной высокой защиты данных: рекомендуется использовать эту конфигурацию в следующих сценариях:
- Организации с более крупными или более продвинутыми командами безопасности.
- Устройства, используемые определенными пользователями или группами, которые подвергаются уникально высокому риску. Например, пользователи, обрабатывающие особо конфиденциальные данные, где несанкционированное раскрытие приведет к значительным потерям для организации.
Организации, которые с высокой вероятностью могут стать целью хорошо финансируемых и сложных злоумышленников, должны стремиться к этой конфигурации.
Создайте новую политику защиты приложений для каждой платформы устройств в Microsoft Intune (iOS/iPadOS и Android), используя настройки структуры защиты данных одним из следующих способов:
- Вручную создайте политики, выполнив инструкции по созданию и развертыванию политик защиты приложений с помощью Microsoft Intune.
- Импортируйте примерные шаблоны JSON для конфигурации политики защиты приложений Intune с помощью PowerShell-скриптов Intune.
Политики соответствия устройств
Политики соответствия устройств Intune определяют требования к устройствам, чтобы они были в соответствии с нормами. Необходимо создать политику для каждой платформы пк, телефона или планшета. Следующие разделы описывают рекомендации для следующих платформ:
Чтобы создать политики соответствия устройств, выполните следующие действия.
- В Центре администрирования Microsoft Intune https://endpoint.microsoft.com перейдите на вкладку Управление устройствами>Соответствие>Политики. Или, чтобы перейти непосредственно на вкладку Политики на странице Устройства | Соответствие, используйте https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/compliance.
- На вкладке "Политики"устройства | Страница соответствия требованиям выберите "Создать политику".
Пошаговые инструкции см. в статье "Создание политики соответствия требованиям" в Microsoft Intune.
Настройки регистрации и соответствия для iOS/iPadOS
IOS/iPadOS поддерживает несколько сценариев регистрации, два из которых рассматриваются этой платформой:
- Регистрация устройств для личных устройств: Личные устройства (также известные как собственные устройства или BYOD), которые также используются для работы.
- Автоматическая регистрация устройств для корпоративных устройств: устройства, принадлежащие организации, связанные с одним пользователем, и используются исключительно для работы.
Подсказка
Как описано ранее, уровень 2 сопоставляется с начальной точкой или безопасностью корпоративного уровня, а уровень 3 сопоставляется с специализированной безопасностью. Дополнительные сведения см. в разделе "Удостоверение нулевого доверия" и конфигурации доступа к устройству.
Настройки соответствия для персонально зарегистрированных устройств
- Личная базовая безопасность (уровень 1): рекомендуется использовать эту конфигурацию в качестве минимальной безопасности для персональных устройств, обращаюющихся к рабочим или учебным данным. Эта конфигурация достигается путем применения политик паролей, характеристик блокировки устройства и отключения некоторых функций устройства (например, ненадежных сертификатов).
- Личная улучшенная безопасность (уровень 2): рекомендуется использовать эту конфигурацию для устройств, обращаюющихся к конфиденциальным данным или конфиденциальной информации. Эта конфигурация позволяет управлять доступом к данным. Эта конфигурация применяется к большинству мобильных пользователей, которые обращаются к рабочим или учебным данным.
- Личная высокий уровень безопасности (уровень 3): мы рекомендуем эту конфигурацию для устройств, используемых определенными пользователями или группами, которые находятся в уникально высоком риске. Например, пользователи, обрабатывающие конфиденциальные данные, где несанкционированное раскрытие информации приведет к значительным потерям для организации. Эта конфигурация позволяет более строгим политикам паролей, отключать определенные функции устройства и применять дополнительные ограничения на передачу данных.
Настройки соответствия для автоматизированной регистрации устройств
- Контрольная базовая безопасность (уровень 1) — рекомендуется использовать эту конфигурацию в качестве минимальной безопасности для корпоративных устройств, обращаюющихся к рабочим или учебным данным. Эта конфигурация достигается путем применения политик паролей, характеристик блокировки устройства и отключения некоторых функций устройства (например, ненадежных сертификатов).
- Защищенный расширенный уровень безопасности (уровень 2): мы рекомендуем использовать эту конфигурацию для устройств, обращаюющихся к конфиденциальным данным или конфиденциальной информации. Эта конфигурация позволяет управлять доступом к данным и блокировать доступ к USB-устройствам. Эта конфигурация применима для большинства мобильных пользователей, которые получают доступ к рабочим или учебным данным на устройстве.
- Защищенный высокий уровень безопасности (уровень 3). Мы рекомендуем эту конфигурацию для устройств, используемых определенными пользователями или группами, которые находятся в уникально высоком риске. Например, пользователи, обрабатывающие конфиденциальные данные, где несанкционированное раскрытие информации приведет к значительным потерям для организации. Эта конфигурация обеспечивает более строгие политики паролей, отключает определенные функции устройства, применяет дополнительные ограничения передачи данных и требует установки приложений через программу массовых закупок Apple.
Настройки регистрации и соответствия для Android
Android Enterprise поддерживает несколько сценариев регистрации, два из которых охватываются этой платформой:
- Рабочий профиль Android Enterprise: Устройства, принадлежащие сотруднику (также известные как собственные устройства или BYOD), которые также используются в рабочих целях. Политики, контролируемые ИТ-отделом, гарантируют, что рабочие данные не могут быть переданы в личный профиль.
- Полностью управляемые устройства Android Enterprise: устройства, принадлежащие организации, связанные с одним пользователем, и используются исключительно для работы.
Платформа конфигурации безопасности Android Enterprise организована в несколько различных сценариев конфигурации, которые предоставляют рекомендации по рабочим профилям и полностью управляемым сценариям.
Подсказка
Как описано ранее, уровень 2 сопоставляется с начальной точкой или безопасностью корпоративного уровня, а уровень 3 сопоставляется с специализированной безопасностью. Дополнительные сведения см. в разделе "Удостоверение нулевого доверия" и конфигурации доступа к устройству.
Настройки соответствия для устройств с рабочим профилем Android Enterprise
- Для устройств с рабочим профилем, находящихся в личной собственности, не предлагается базовая безопасность (Уровень 1). Доступные настройки не оправдывают разницу между Уровнем 1 и Уровнем 2.
- Улучшенная безопасность рабочего профиля (уровень 2): рекомендуется использовать эту конфигурацию в качестве минимальной безопасности для персональных устройств, обращаюющихся к рабочим или учебным данным. Эта конфигурация вводит требования к паролю, разделяет рабочие и личные данные, а также проверяет засвидетельствование устройства Android.
- Высокий уровень безопасности рабочего профиля (уровень 3) — мы рекомендуем эту конфигурацию для устройств, используемых определенными пользователями или группами, которые находятся в уникально высоком риске. Например, пользователи, обрабатывающие конфиденциальные данные, где несанкционированное раскрытие информации приведет к значительным потерям для организации. Эта конфигурация представляет защиту от угроз для мобильных устройств или Microsoft Defender для конечной точки, задает минимальную версию Android, обеспечивает более надежные политики паролей, а также разделяет рабочие и персональные данные.
Настройки соответствия для полностью управляемых устройств Android Enterprise
- Полностью управляемая базовая безопасность (уровень 1) — мы рекомендуем эту конфигурацию как минимальную безопасность для корпоративного устройства. Эта конфигурация применяется к большинству мобильных пользователей, использующих данные для работы или учебы. Эта конфигурация вводит требования к паролям, задает минимальную версию Android и включает определенные ограничения устройств.
- Полностью управляемая расширенная безопасность (уровень 2): рекомендуется использовать эту конфигурацию для устройств, обращаюющихся к конфиденциальным данным или конфиденциальной информации. Эта конфигурация включает более надежные политики паролей и отключает возможности пользователя или учетной записи.
- Полностью управляемая высокая безопасность (уровень 3): мы рекомендуем эту конфигурацию для устройств, используемых определенными пользователями или группами, которые находятся в уникально высоком риске. Например, пользователи, обрабатывающие конфиденциальные данные, где несанкционированное раскрытие информации приведет к значительным потерям для организации. Эта конфигурация увеличивает минимальную версию Android, вводит защиту от мобильных угроз или Microsoft Defender для Endpoint, и применяет дополнительные ограничения на устройство.
Рекомендуемые настройки соответствия для Windows 10 и более поздних версий
Настройте следующие параметры, как описано в параметрах соответствия устройств для Windows 10/11 в Intune. Эти параметры соответствуют принципам, описанным в конфигурациях доступа к устройству и удостоверению нулевого доверия.
Работоспособность устройства > Правила оценки Windows для службы аттестации: /intune/intune-service/
Собственность Значение Требуется BitLocker Требовать Требовать включения безопасной загрузки на устройстве Требовать Требовать целостности кода. Требовать Свойства > устройства Версия операционной системы: укажите соответствующие значения версий операционной системы на основе политик ИТ и безопасности.
Собственность Значение Минимальная версия ОС Максимальная версия ОС Минимальная ОС, необходимая для мобильных устройств Максимальная операционная система, необходимая для мобильных устройств Допустимые сборки операционной системы Соответствие диспетчера конфигураций:
Собственность Значение Требовать соответствия устройств через Configuration Manager Выберите "Обязательный" в средах, совместно управляемых с Configuration Manager. В противном случае выберите "Не настроено". Системная безопасность:
Собственность Значение Пароль Требовать пароль для разблокировки мобильных устройств Требовать Простые пароли Блок Тип пароля Настройки устройства по умолчанию Минимальная длина пароля 6 Максимальное бездействие в минутах до того, как требуется пароль 15 минут Срок действия пароля (дни) 41 Количество предыдущих паролей для предотвращения повторного использования 5 Требовать пароль при возвращении устройства из неактивного состояния (мобильные и голографические устройства) Требовать Шифрование Требуйте шифрования хранилища данных на устройстве Требовать Брандмауэр межсетевой экран Требовать Антивирус Антивирус Требовать Антишпиостер Антишпионское ПО Требовать Защитник Антивредоносная программа Microsoft Defender Требовать Минимальная версия защиты от вредоносных программ в Microsoft Defender Мы рекомендуем использовать значение, которое отстает от последней версии не более чем на пять версий. Обновленная подпись защиты от вредоносных программ в Microsoft Defender Требовать Защита в реальном времени Требовать Microsoft Defender для Endpoint:
Собственность Значение Требовать, чтобы устройство имело уровень оценки риска, соответствующий машинному или ниже Средний
Политики условного доступа
После создания политик защиты приложений и политик соответствия устройств в Intune можно включить принудительное применение с помощью политик условного доступа.
Требовать многофакторную проверку подлинности на основе риска входа
Следуйте указаниям из Требовать многофакторную проверку подлинности при повышенном риске входа, чтобы создать политику, требующую многофакторной проверки подлинности на основе риска входа.
При настройке политики используйте следующие уровни риска:
| Уровень защиты | Уровни риска |
|---|---|
| Начальная точка | Средний и Высокий |
| Предприятие | Низкий, Средний и Высокий |
Заблокируйте клиентов, которые не поддерживают многофакторную аутентификацию
Следуйте указаниям: блокировка устаревшей проверки подлинности с помощью условного доступа.
Пользователи с высоким уровнем риска должны изменить пароль.
Следуйте указаниям в: Требуйте безопасного изменения пароля для пользователей с повышенным риском , чтобы пользователи с скомпрометированными учетными данными изменили свои пароли.
Используйте эту политику вместе с защитой паролей Microsoft Entra, которая обнаруживает и блокирует известные слабые пароли, их варианты и конкретные термины в вашей организации. Использование защиты паролей Microsoft Entra гарантирует, что измененные пароли сильнее.
Требовать утвержденные приложения или политики защиты приложений
Необходимо создать политику условного доступа, чтобы применить политики защиты приложений, создаваемые в Intune. Для применения политик защиты приложений требуется политика условного доступа и соответствующая политика защиты приложений.
Чтобы создать политику условного доступа, требующую утвержденных приложений или защиты приложений, выполните действия, описанные в разделе "Требовать утвержденные клиентские приложения" или политику защиты приложений. Эта политика позволяет учетным записям только в приложениях, защищенных политиками защиты приложений, получать доступ к конечным точкам Microsoft 365.
Блокировка устаревшей проверки подлинности для других приложений на устройствах iOS/iPadOS и Android гарантирует, что эти устройства не могут обойти политики условного доступа. Следуя инструкциям в этой статье, вы уже блокируете клиенты, которые не поддерживают современную проверку подлинности.
Требуйте соответствующие стандартам ПК и мобильные устройства
Осторожно
Убедитесь, что ваше устройство соответствует требованиям, прежде чем включать эту политику. В противном случае вас могут заблокировать, и потребуется использовать учетную запись аварийного доступа для восстановления доступа.
Разрешите доступ к ресурсам только после того, как устройство будет соответствовать политикам соответствия Intune. Дополнительные сведения см. в разделе "Требовать соответствие устройств условному доступу".
Вы можете зарегистрировать новые устройства в Intune, даже если выбран параметр "Требовать, чтобы устройство было помечено как соответствующее требованиям для всех пользователей и всех облачных приложений в политике". Требовать, чтобы устройство было помечено как соответствующее не блокирует регистрацию в Intune или доступ к приложению Microsoft Intune Company Portal через веб.
Активация подписки
Если ваша организация использует активацию подписки Windows для того, чтобы пользователи могли перейти на более новую версию Windows, следует исключить API-интерфейсы универсальной службы Магазина и веб-приложение (AppID: 45a330b1-b1ec-4cc1-9161-9f03992aa49f) из критериев соответствия устройств.
Всегда требовать MFA
Требовать многофакторную проверку подлинности для всех пользователей, следуя инструкциям в этой статье: требуется многофакторная проверка подлинности для всех пользователей.
Следующие шаги
