Рекомендуемые политики для определенных рабочих нагрузок Microsoft 365

После настройки политик безопасности common для "Никому не доверяй" в организации Microsoft 365 необходимо настроить дополнительные политики и параметры для конкретных приложений и рабочих нагрузок на основе трех руководящих принципов "Никому не доверяй":

  • Явная проверка
  • Использование наименьших привилегий
  • Предположим взлом.

Дополнительные политики и параметры для определенных приложений и рабочих нагрузок описаны в этой статье.

Подсказка

По возможности протестируйте политики в непроизводственных средах, прежде чем развертывать их для рабочих пользователей. Тестирование имеет критическое значение для выявления и передачи пользователям возможных последствий.

рекомендации Microsoft Copilot для "Никому не доверяй"

Дополнительные сведения см. в разделе Использование безопасности "Никому не доверяй" для подготовки к компаньонам ИИ, включая Майкрософт Copilots.

рекомендации Exchange Online для "Никому не доверяй"

В этом разделе описаны рекомендуемые параметры "Никому не доверяй" в Exchange Online.

Проверка отключения автоматического перенаправления электронной почты внешним получателям

По умолчанию политики исходящей нежелательной почты во встроенных функциях безопасности для всех облачных почтовых ящиков блокируют автоматическую пересылку электронной почты внешним получателям, выполняемым правилами папки "Входящие " или пересылкой почтовых ящиков (также называемой SMTP-пересылкой). Дополнительные сведения см. в разделе Управление автоматической пересылкой электронной почты извне в Microsoft 365.

Во всех политиках исходящей нежелательной почты убедитесь, что значение параметра правил автоматической пересылкиавтоматическое управление системой (значение по умолчанию) или отключение — пересылка отключена. Оба значения блокируют автоматическую пересылку электронной почты внешним получателям затронутыми пользователями. Политика по умолчанию применяется ко всем пользователям, а администраторы могут создавать пользовательские политики, которые применяются к определенным группам пользователей. Дополнительные сведения см. в статье Настройка политик исходящей нежелательной почты в EOP.

Блокировка клиентов Exchange ActiveSync

Exchange ActiveSync — это клиентский протокол, который синхронизирует данные электронной почты и календаря на настольных и мобильных устройствах. Заблокировать доступ к корпоративной электронной почте с небезопасными клиентами ActiveSync, как описано в следующих процедурах:

  • Мобильные устройства. Чтобы заблокировать доступ к электронной почте из следующих типов мобильных устройств, создайте политику условного доступа, описанную в разделе "Требовать утвержденные приложения или политики защиты приложений".

    • Клиенты ActiveSync, использующие обычную проверку подлинности.
    • Клиенты ActiveSync, поддерживающие современную проверку подлинности, но не политики защиты приложений Intune.
    • Устройства, поддерживающие политики защиты приложений Intune, но не определены в политике защиты приложений. Дополнительные сведения см. в разделе "Требовать политику защиты приложений".

    Подсказка

    Мы рекомендуем Microsoft Outlook для iOS и Android в качестве приложения для доступа к корпоративной электронной почте с устройств iOS/iPadOS и Android.

  • PCs и другие устройства. Чтобы заблокировать все клиенты ActiveSync, использующие базовую проверку подлинности, создайте политику условного доступа, описанную в Block Exchange ActiveSync на всех устройствах.

Ограничение доступа к вложениям электронной почты в Outlook в Интернете и новым Outlook для Windows

Вы можете ограничить, как пользователи на неуправляемых устройствах могут взаимодействовать с вложениями электронной почты в Outlook в Интернете (прежнее название — Outlook Веб-приложение или OWA) и в новом Outlook для Windows:

  • Запретить пользователям загружать вложения электронной почты. Они могут просматривать и изменять эти файлы с помощью Office Online без утечки и хранения файлов на устройстве.
  • Запретить пользователям даже видеть вложения.

Эти ограничения применяются с помощью Outlook в политиках веб-почтовых ящиков. Организации Microsoft 365 с почтовыми ящиками Exchange Online имеют встроенную, по умолчанию, политику почтовых ящиков в веб-версии Outlook с именем OwaMailboxPolicy-Default. По умолчанию эта политика применяется ко всем пользователям. Администраторы также могут создавать пользовательские политики, которые применяются к определенным группам пользователей.

Ниже приведены шаги по ограничению доступа к вложениям электронной почты на неуправляемых устройствах:

  1. Connect to Exchange Online PowerShell.

  2. Чтобы просмотреть доступные политики почтовых ящиков в Интернете для Outlook, выполните следующую команду:

    Get-OwaMailboxPolicy | Format-Table Name,ConditionalAccessPolicy

  3. Используйте следующий синтаксис, чтобы ограничить доступ к вложениям электронной почты в Outlook в Интернете и новым Outlook для Windows на неуправляемых устройствах:

    Set-OwaMailboxPolicy -Identity "<PolicyName>" -ConditionalAccessPolicy <ReadOnly | ReadOnlyPlusAttachmentsBlocked>

    В этом примере можно просматривать, но не загружать вложения в политике по умолчанию.

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnly

    В этом примере в политике по умолчанию блокируется просмотр вложений .

    Set-OwaMailboxPolicy -Identity "OwaMailboxPolicy-Default" -ConditionalAccessPolicy ReadOnlyPlusAttachmentsBlocked

  4. На странице Conditional Access | Обзор в центре администрирования Microsoft Entra на https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Overview, создайте новую политику условного доступа с такими настройками:

    • Раздел "Назначения":
      • Пользователи. Выберите соответствующих пользователей и группы для добавления на вкладку "Включить" и исключения на вкладку "Исключить".
      • Target resources: Выберите, к чему применяется эта политика>Ресурсы (ранее облачные приложения)>Вкладка "Включить">Выберите ресурсы>Выбрать> найти и выбрать Office 365 Exchange Online.
    • элементы управления доступом раздел: сеанса> выберите Использовать ограничения, применяемые приложением.
    • Раздел "Включить политику": выберите Включено.

Настройка шифрования сообщений

С помощью Шифрование сообщений Microsoft Purview, которая использует функции защиты в Azure Information Protection, ваша организация может легко поделиться защищенной электронной почтой с любым пользователем на любом устройстве. Пользователи могут отправлять и получать защищенные сообщения с другими организациями, которые используют Microsoft 365, Outlook.com, Gmail и другие службы электронной почты.

Дополнительные сведения см. в настройке шифрования сообщений.

рекомендации SharePoint для "Никому не доверяй"

В этом разделе описаны рекомендуемые параметры "Никому не доверяй" в SharePoint.

Настройка управления доступом SharePoint для ограничения доступа неуправляемых устройств

Подсказка

Параметры в этом разделе требуют Microsoft Entra ID P1 или P2. Дополнительные сведения см. в разделе Microsoft Entra планы и цены.

При настройке управления доступом для неуправляемых устройств в SharePoint соответствующая политика условного доступа для принудительного применения уровня доступа автоматически создается в Microsoft Entra ID. Этот параметр для всей организации применяется ко всем пользователям организации, но влияет только на доступ к сайтам, специально включенным в управление доступом SharePoint.

В частности, необходимо включить сайты в управление доступом SharePoint, использующие enterprise или специализированную безопасность для "Никому не доверяй", как описано в следующих шагах:

  1. Настройте ограниченный доступ только через веб, или заблокируйте доступ для неуправляемых устройств в управлении доступом SharePoint. Этот параметр применяется ко всем пользователям, но не влияет на их доступ к сайтам, где у них уже есть разрешения, если сайт не включен в контроль доступа SharePoint (следующий шаг).

    Подсказка

    Доступ на уровне сайта не может быть более разрешительным, чем параметр управления доступом организации. Например, выберите "Разрешить ограниченный" доступ только для веб-сайтов для неуправляемых устройств в области управления доступом на уровне организации, чтобы можно было использовать AllowLimitedAccess или BlockAccess на определенных сайтах. Если выбрать блокировку доступа для неуправляемых устройств в области управления доступом на уровне организации, вы не можете использовать AllowLimitedAccess на определенных сайтах (доступно только BlockAccess ).

  2. Connect to SharePoint Online PowerShell и используйте параметр ConditionalAccessPolicy в командлете Set-SPOSite, чтобы включить сайт в контроль доступа SharePoint для неуправляемых устройств:

    • Корпоративные сайты: используйте значение AllowLimitedAccess , чтобы запретить пользователям на неуправляемых устройствах скачивание, печать или синхронизацию файлов.
    • Специализированные сайты безопасности: используйте значение BlockAccess для блокировки доступа с неуправляемых устройств.

    См. инструкции в разделе Заблокировать или ограничить доступ к конкретному сайту SharePoint или OneDrive

Традиционно владельцы сайтов управляют разрешениями доступа к сайту SharePoint, исходя из деловой необходимости в доступе к сайту. Настройка SharePoint контроля доступа для неуправляемых устройств на уровне организации и уровне сайта обеспечивает согласованную защиту этих сайтов на основе уровня защиты "Никому не доверяй".

Рассмотрим следующие примеры сайтов в организации Contoso. Управление доступом SharePoint для неуправляемых устройств настраивается на уровне Ограниченный доступ только через веб для организации:

  • Сайт команды Analytics, настроенный с защитой на уровне предприятия: сайт настроен с AllowLimitedAccess для неуправляемых устройств в контроле доступа SharePoint. Пользователи с разрешениями сайта получают доступ только для браузера к сайту на неуправляемых устройствах. Они могут получить доступ к сайту с помощью других приложений на управляемых устройствах.
  • Сайт с коммерческой тайной, настроенный с помощью специализированной защиты: сайт настроен с Block для неуправляемых устройств в системе контроля доступа SharePoint. Пользователи с разрешениями сайта заблокированы для доступа к сайту на неуправляемых устройствах. Они могут получить доступ к сайту только на управляемых устройствах.

рекомендации Microsoft Teams для "Никому не доверяй"

В этом разделе описаны рекомендуемые параметры "Никому не доверяй" в Microsoft Teams.

Архитектура сервисов, от которых зависит Teams

Схема на Microsoft Teams и связанных службах производительности в Microsoft 365 для ИТ-архитекторов иллюстрирует службы, которые использует Microsoft Teams.

Гостевой и внешний доступ для Teams

Microsoft Teams определяет следующие типы доступа для пользователей за пределами организации:

  • Guest access: использует учетную запись Microsoft Entra B2B для каждого пользователя, который можно добавить в качестве члена команды. Гостевой доступ позволяет получать доступ к ресурсам Teams и взаимодействию с внутренними пользователями в групповых беседах, чатах и собраниях.

    Дополнительные сведения о гостевом доступе и его реализации см. в разделе Guest access in Microsoft Teams.

  • External access: пользователи за пределами организации, у которых нет Microsoft Entra учетных записей B2B. Внешний доступ может включать приглашения и участие в звонках, чатах и собраниях, но не включает членство в команде или доступ к ресурсам команды. Внешний доступ — это способ для пользователей Teams во внешнем домене для поиска, звонка, чата и настройки собраний в Teams с пользователями в организации.

    Администраторы Teams могут использовать пользовательские политики для настройки внешнего доступа для организации, групп пользователей или отдельных пользователей. Дополнительные сведения см. в разделе IT Admins — управление внешними собраниями и чатом с людьми и организациями с помощью удостоверений Майкрософт.

Пользователи внешнего доступа имеют меньше доступа и функциональных возможностей, чем пользователи гостевого доступа. Например, пользователи внешнего доступа могут общаться с внутренними пользователями с помощью Teams, но не могут получать доступ к каналам группы, файлам или другим ресурсам.

Политики условного доступа применяются только к пользователям гостевого доступа в Teams, так как существуют соответствующие учётные записи Microsoft Entra B2B. Внешний доступ не использует учетные записи Microsoft Entra B2B, и поэтому не может применять политики условного доступа.

Для получения рекомендаций по политикам предоставления доступа через учетную запись Microsoft Entra B2B см. раздел Политики для разрешения доступа к гостевым и внешним учетным записям B2B.

Рекомендации приложений SaaS для "Никому не доверяй"

Microsoft Defender for Cloud Apps основывается на политиках Условный доступ Microsoft Entra, чтобы обеспечить мониторинг и контроль в режиме реального времени за подробными действиями с помощью приложений SaaS, таких как блокировка загрузки, выгрузки, копирования/вставки и печати. Эта функция добавляет безопасность к сеансам, которые несут внутренний риск, например, когда корпоративные ресурсы получают доступ с неуправляемых устройств или гостей.

Для получения дополнительной информации см. Интеграция SaaS-приложений для "Никому не доверяй" с Microsoft 365.

  • Last updated on