Предварительные требования для реализации политик доступа к удостоверениям и устройствам "Никому не доверяй"

В этой статье описаны предварительные требования, которые должны выполнять администраторы, чтобы использовать рекомендованные политики "Никому не доверяй" для управления доступом к идентификации и устройствам, а также для использования условий условного доступа. В нем также рассматриваются рекомендуемые значения по умолчанию для настройки клиентских платформ для оптимального единого входа.

Предварительные условия

Прежде чем использовать рекомендуемые политики доступа к удостоверениям и устройствам "Никому не доверяй", вашей организации необходимо соответствовать предварительным требованиям. Требования отличаются для различных моделей идентификации и проверки подлинности, перечисленных ниже.

  • Только облако
  • Аутентификация с гибридной синхронизацией хэша паролей (PHS)
  • Гибридная среда с сквозной проверкой подлинности (PTA)
  • Федеративный

В следующей таблице описаны необходимые компоненты и их конфигурация, которые применяются ко всем моделям удостоверений, за исключением указанных.

Настройка Исключения Лицензирование
Настройка синхронизации хэша паролей (PHS). Эту функцию необходимо включить для обнаружения утечки учетных данных и принятия мер по ним в рамках условного доступа, основанного на рисках. Эта конфигурация требуется независимо от того, использует ли ваша организация федеративную проверку подлинности. Только облако Microsoft 365 E3 или E5
Включите простой единый вход для автоматического входа пользователей на устройствах организации, подключенных к сети организации. Только облачные решения и федеративные системы Microsoft 365 E3 или E5
Настройка сетевых расположений. Защита Microsoft Entra ID собирает и анализирует все доступные данные сеанса для создания оценки риска. Мы рекомендуем указать диапазоны общедоступных IP-адресов вашей организации для вашей сети в конфигурации Named Locations Microsoft Entra ID. Трафик из этих диапазонов получает сниженную оценку риска, а трафик извне этих диапазонов получает более высокую оценку риска. Microsoft 365 E3 или E5
Зарегистрируйте всех пользователей для самостоятельного сброса пароля (SSPR) и многофакторной проверки подлинности (MFA). Мы рекомендуем выполнить этот шаг заранее. Защита Microsoft Entra ID использует многофакторную проверку подлинности Microsoft Entra для добавленной проверки безопасности. Для оптимального входа рекомендуется использовать приложение Microsoft Authenticator и приложение Microsoft Корпоративный портал на устройствах. Пользователи могут устанавливать эти приложения из магазина приложений для своей платформы устройств. Microsoft 365 E3 или E5
Спланируйте внедрение гибридного подключения Microsoft Entra. Условный доступ проверяет, что устройства, подключающиеся к приложениям, присоединены к домену или соответствуют требованиям. Для поддержки этого требования на Windows компьютерах устройство должно быть зарегистрировано в Microsoft Entra ID. Эта статья обсуждает, как настроить автоматическую регистрацию устройств. Только облако Microsoft 365 E3 или E5
Подготовьте команду поддержки. Создайте план для пользователей, которые не могут выполнить MFA. Например, добавьте их в группу исключений политик или зарегистрируйте новые данные для многофакторной аутентификации. Если вы делаете исключения с учетом безопасности, убедитесь, что пользователь фактически выполняет запрос. Требование менеджеров помочь с утверждением для пользователей является эффективным шагом. Microsoft 365 E3 или E5
Настройка обратной записи паролей в локальная служба Active Directory. Обратная запись паролей позволяет Microsoft Entra ID требовать, чтобы пользователи изменили локальные пароли при обнаружении компрометации учетной записи с высоким риском. Эту функцию можно включить с помощью Microsoft Entra Connect одним из двух способов:
  • Включите Password Writeback на странице дополнительных функций программы установки Microsoft Entra Connect.
  • Включите его с помощью Windows PowerShell.
Только облако Microsoft 365 E3 или E5
Настройка защиты паролей Microsoft Entra. Microsoft Entra защита паролей обнаруживает и блокирует известные слабые пароли и их варианты, а также может блокировать другие слабые термины, относящиеся к вашей организации. Глобальные списки запрещенных паролей по умолчанию автоматически применяются ко всем пользователям в Microsoft Entra организации. Вы можете определить другие записи в пользовательском списке запрещенных паролей. Когда пользователи изменяют или сбрасывают свои пароли, эти списки запрещенных паролей проверяются для обеспечения использования надежных паролей. Microsoft 365 E3 или E5
Включите Защита идентификации Microsoft Entra. Защита Microsoft Entra ID позволяет обнаруживать потенциальные уязвимости, влияющие на идентификации вашей организации, и настраивать политику автоматического исправления для низкого, среднего и высокого уровня риска входа и риска пользователей. Microsoft 365 E5 или Microsoft 365 E3 с надстройкой E5 Security
Включите непрерывную оценку доступа для Microsoft Entra ID. Предварительная оценка непрерывного доступа прерывает активные сеансы пользователей и применяет изменения политики организации практически в режиме реального времени. Microsoft 365 E3 или E5

В этом разделе описываются рекомендуемые конфигурации платформы по умолчанию для наилучшего единого входа в систему и технические требования для условного доступа.

устройства Windows

Рекомендуется Windows 11 или Windows 10 (версия 2004 или более поздняя), так как Azure предназначен для обеспечения максимально плавного SSO (единого входа) как для локальной среды, так и для Microsoft Entra ID. Настройте устройства, принадлежащие организации, с помощью любого из следующих параметров:

  • Подключитесь к Microsoft Entra ID напрямую.
  • Настройте устройства, присоединенные к домену локальной Active Directory, чтобы они автоматически и бесшумно регистрировались в Microsoft Entra ID.

Для личных устройств Windows (использование собственных устройств (BYOD)) пользователи могут использовать Добавить рабочую или учебную учетную запись. Пользователи Google Chrome на устройствах Windows 11 или Windows 10 должны установить расширение, чтобы получить тот же плавный вход, что и Microsoft Edge пользователями.

Устройства iOS/iPadOS

Мы рекомендуем установить приложение Microsoft Authenticator на пользовательских устройствах перед развертыванием политик условного доступа или MFA. Если вы не можете, установите приложение в следующих сценариях:

  • Когда пользователям предлагается зарегистрировать устройство в Microsoft Entra ID, добавив рабочую или учебную учетную запись.
  • Когда пользователи устанавливают приложение корпоративного портала Intune для регистрации устройства для управления.

Запрос зависит от настроенной политики условного доступа.

Устройства Android

Мы рекомендуем пользователям установить приложение Intune Корпоративный портал и приложение Microsoft Authenticator перед развертыванием политик условного доступа или при определенных попытках проверки подлинности. После установки приложения пользователям может потребоваться зарегистрировать Microsoft Entra ID или зарегистрировать устройство в Intune в зависимости от настроенной политики условного доступа.

Мы также рекомендуем, чтобы устройства, принадлежащие организации, поддерживали Android for Work или Samsung Knox, чтобы разрешить управление учетными записями почты и защиту с помощью политик управления мобильными устройствами Intune (MDM).

Клиенты электронной почты в следующей таблице поддерживают современную проверку подлинности и условный доступ:

Платформа Клиент Версия и примечания
Windows Outlook 2016 или позже

Обязательные обновления
iOS/iPadOS Outlook для iOS Последняя версия
Android Outlook для Android Последняя версия
macOS Outlook 2016 или позже
Linux Не поддерживается

Мы рекомендуем клиентские приложения в следующей таблице при применении политики безопасных документов:

Платформа Word/Excel/PowerPoint OneNote приложение OneDrive приложение SharePoint клиент синхронизации OneDrive
Windows 11 или Windows 10 Поддерживается Поддерживается Неприменимо Неприменимо Поддерживается
Android Поддерживается Поддерживается Поддерживается Поддерживается Неприменимо
iOS/iPadOS Поддерживается Поддерживается Поддерживается Поддерживается Неприменимо
macOS Поддерживается Поддерживается Неприменимо Неприменимо Не поддерживается
Linux Не поддерживается Не поддерживается Не поддерживается Не поддерживается Не поддерживается

поддержка клиентов Microsoft 365

Дополнительные сведения о поддержке клиентов в Microsoft 365 см. в разделе Развертывание инфраструктуры удостоверений для Microsoft 365.

Защита учетных записей администратора

Для Microsoft 365 E3 или E5 или с отдельными лицензиями Microsoft Entra ID P1 или P2 можно требовать устойчивую к фишингу MFA для учетных записей администраторов с созданной вручную политикой условного доступа. Дополнительные сведения см. в "Условный доступ: Требуется MFA, устойчивый к фишингу, для администраторов".

Для выпусков Microsoft 365 или Office 365, которые не поддерживают условный доступ, вы можете включить параметры безопасности по умолчанию, чтобы требовать многофакторную аутентификацию (MFA) для всех учетных записей.

Ниже приведены некоторые другие рекомендации.

  • Используйте Microsoft Entra управление привилегированными пользователями для уменьшения числа постоянных административных учетных записей.
  • Использовать управление привилегированным доступом для защиты организации от нарушений, которые могут использовать существующие привилегированные учетные записи администратора с постоянным доступом к конфиденциальным данным или доступу к критически важным параметрам конфигурации.
  • Создавайте и используйте отдельные учетные записи, назначьте которым роли администратора Microsoft 365 только для администрирования. Администраторы должны иметь собственную учетную запись пользователя для регулярного использования. Они должны использовать учетную запись администратора только при необходимости для выполнения задачи, связанной с их ролью или функцией задания.
  • Следуйте рекомендациям для защиты привилегированных учетных записей в Microsoft Entra ID.

Следующий шаг

Шаг 2: Настройка общих политик удостоверения и доступа

Настройка общих политик идентификации "Никому не доверяй" и доступа к устройствам