Megosztás a következőn keresztül:

Teljes felügyelet identitás- és eszközelérési konfigurációk

  • Cikk

A mai munkaerőnek olyan alkalmazásokhoz és erőforrásokhoz kell hozzáférnie, amelyek a hagyományos vállalati hálózati határokon túl is léteznek. Már nem elegendőek azok a biztonsági architektúrák, amelyek hálózati tűzfalakra és virtuális magánhálózatokra (VPN-ekre) támaszkodnak az erőforrásokhoz való hozzáférés elkülönítéséhez és korlátozásához.

A Számítástechnika új világának kezelése érdekében a Microsoft erősen ajánlja a Teljes felügyelet biztonsági modellt, amely az alábbi alapelveken alapul:

  • Explicit ellenőrzés: Mindig hitelesítse és engedélyezze az összes rendelkezésre álló adatpont alapján. A bejelentkezéshez és a folyamatos ellenőrzéshez elengedhetetlen a zéró megbízhatósági identitás- és eszközhozzáférési szabályzat.
  • A minimális jogosultsági hozzáférés használata: A felhasználói hozzáférés korlátozása a Just-In-Time és a Just-Enough-Access (JIT/JEA), a kockázatalapú adaptív szabályzatok és az adatvédelem használatával.
  • Feltételezzük, hogy a robbanási sugár és a szegmens hozzáférése minimálisra csökken. Ellenőrizze a teljes körű titkosítást, és használja az elemzést a láthatóság eléréséhez, a fenyegetésészleléshez és a védelem javításához.

Íme a Teljes felügyelet általános architektúrája:

A Microsoft Teljes felügyelet architektúrát bemutató diagram.

Teljes felügyelet identitás- és eszközhozzáférés-szabályzatok a Ellenőrizze, hogy a következőhöz kifejezetten vezérelve van-e:

  • Identitások: Amikor egy identitás megpróbál hozzáférni egy erőforráshoz, ellenőrizze, hogy az identitás erős hitelesítéssel rendelkezik-e, és győződjön meg arról, hogy a kért hozzáférés megfelelő és jellemző.
  • Eszközök (más néven végpontok): Az eszköz állapotának és megfelelőségi követelményeinek monitorozása és betartatása a biztonságos hozzáférés érdekében.
  • Alkalmazások: Vezérlők és technológiák alkalmazása a következőre:
    • Győződjön meg a megfelelő alkalmazáson belüli engedélyekről.
    • A hozzáférés szabályozása valós idejű elemzés alapján.
    • Rendellenes viselkedés figyelése
    • Felhasználói műveletek vezérlése.
    • Ellenőrizze a biztonságos konfigurációs beállításokat.

Ez a cikksorozat a Microsoft Entra ID, a feltételes hozzáférés, a Microsoft Intune és más funkciók használatával ismerteti az identitás- és eszközhozzáférés konfigurációit és szabályzatait. Ezek a konfigurációk és szabályzatok zéró megbízhatósági hozzáférést biztosítanak a következő helyekhez:

  • Microsoft 365 vállalati felhőalkalmazásokhoz és -szolgáltatásokhoz.
  • Egyéb SaaS-szolgáltatások.
  • A Microsoft Entra alkalmazásproxyval közzétett helyszíni alkalmazások.

Teljes felügyelet identitás- és eszközhozzáférés beállításai és szabályzatai három szinten ajánlottak:

  • Kiindulópont.
  • Vállalat.
  • Speciális biztonság a szigorúan szabályozott vagy minősített adatokkal rendelkező környezetekhez.

Ezek a szintek és a hozzájuk tartozó konfigurációk egységes szintű Teljes felügyelet védelmet biztosítanak az adatok, identitások és eszközök számára. Ezek a képességek és azok javaslatai:

Ha a szervezet egyedi követelményekkel vagy összetettségekkel rendelkezik, használja ezeket a javaslatokat kiindulópontként. A legtöbb szervezet azonban az előírásoknak megfelelően implementálhatja ezeket a javaslatokat.

Ebből a videóból gyorsan áttekintheti a Nagyvállalati Microsoft 365 identitás- és eszközhozzáférés-konfigurációit.

Feljegyzés

A Microsoft nagyvállalati mobilitási és biztonsági (EMS-) licenceket is értékesít Office 365-előfizetésekhez. Az EMS E3 és AZ EMS E5 képességei egyenértékűek a Microsoft 365 E3 és a Microsoft 365 E5 szolgáltatásokkal. További információ: EMS-csomagok.

Célközönség

Ezek a javaslatok olyan nagyvállalati tervezőknek és informatikai szakembereknek szólnak, akik ismerik a Microsoft 365 felhőalapú termelékenységi és biztonsági szolgáltatásait. Ezek a szolgáltatások közé tartozik a Microsoft Entra ID (identitás), a Microsoft Intune (eszközkezelés) és a Microsoft Purview információvédelem (adatvédelem).

Ügyfélkörnyezet

Az ajánlott szabályzatok olyan vállalati szervezetekre vonatkoznak, amelyek teljes mértékben a Microsoft-felhőben működnek, valamint a hibrid identitással rendelkező ügyfelek számára. A hibrid identitásinfrastruktúra szinkronizál egy helyszíni Active Directory-erdőt a Microsoft Entra-azonosítóval.

Számos javaslatunk csak az alábbi licencekkel elérhető szolgáltatásokra támaszkodik:

  • Microsoft 365 E5
  • Microsoft 365 E3 az E5 Biztonsági bővítményrel
  • EMS E5
  • Microsoft Entra ID P2-licencek

Azoknak a szervezeteknek, amelyek nem rendelkeznek ezekkel a licencekkel, javasoljuk, biztonsági alapértelmezett, amely minden Microsoft 365-csomagban elérhető, és alapértelmezés szerint engedélyezve van.

Figyelmeztetések

Előfordulhat, hogy a szervezetre szabályozási vagy egyéb megfelelőségi követelmények vonatkoznak, beleértve azokat a konkrét javaslatokat is, amelyek megkövetelik az ajánlott konfigurációktól eltérő szabályzatokat. Ezeket a vezérlőket azért javasoljuk, mert úgy gondoljuk, hogy egyensúlyt jelentenek a biztonság és a termelékenység között.

Bár számos szervezeti védelmi követelményt próbáltunk figyelembe venni, nem tudunk figyelembe venni minden lehetséges követelményt vagy a szervezet egyedi elemeit.

A védelem három szintje

A legtöbb szervezetnek speciális követelményei vannak a biztonságra és az adatvédelemre vonatkozóan. Ezek a követelmények iparági szegmensenként és a szervezeteken belüli feladatfüggvények szerint változnak. Előfordulhat például, hogy a jogi részleg és a rendszergazdák több biztonsági és információvédelmi ellenőrzést igényelnek az e-mail-levelezésük körül, amelyek más üzleti egységekhez nem szükségesek.

Minden iparág saját speciális szabályozásokat is biztosít. Nem szeretnénk felsorolni az összes lehetséges biztonsági lehetőséget, illetve iparági szegmensenként vagy feladatfüggvényenként egy javaslatot. Ehelyett a biztonság és a védelem három szintjére kínálunk javaslatokat, amelyek az igényeinek részletessége alapján alkalmazhatók.

  • Kiindulópont: Javasoljuk, hogy minden ügyfél hozzon létre és használjon minimális szabványt az adatok, valamint az adatokhoz hozzáférő identitások és eszközök védelméhez. Ezeket a javaslatokat követve erős alapértelmezett védelmet biztosíthat minden szervezet számára.
  • Vállalati: Egyes ügyfeleknek olyan adathalmazuk van, amelyet magasabb szinten kell védeni, vagy az összes adatot magasabb szinten kell védeni. A Microsoft 365-környezetében fokozott védelmet alkalmazhat az összes vagy adott adatkészletre. Javasoljuk az identitások és eszközök védelmét, amelyek hasonló szintű biztonsági szinttel férnek hozzá a bizalmas adatokhoz.
  • Speciális biztonság: Szükség esetén néhány ügyfél kis mennyiségű, szigorúan besorolt, üzleti titkos kulcsnak minősülő vagy szabályozott adatmennyiséggel rendelkezik. A Microsoft olyan képességeket biztosít, amelyek segítenek ezeknek az ügyfeleknek megfelelni ezeknek a követelményeknek, beleértve az identitások és eszközök fokozott védelmét.

Képernyőkép az ügyféltartományt megjelenítő Biztonsági kúpról.

Ez az útmutató bemutatja, hogyan valósíthat meg Teljes felügyelet identitások és eszközök védelmét ezen védelmi szintek mindegyikéhez. Használja ezt az útmutatót minimálisan a szervezet számára, és módosítsa a szabályzatokat a szervezet egyedi követelményeinek megfelelően.

Fontos, hogy egységes védelmi szinteket használjon az identitások, az eszközök és az adatok között. A prioritási fiókkal rendelkező felhasználók (vezetők, vezetők, vezetők stb.) védelmének például azonos szintű védelmet kell tartalmaznia identitásaik, eszközeik és az általuk elért adatok számára.

Lásd még a megoldást: Információvédelem üzembe helyezése adatvédelmi szabályozásokhoz a Microsoft 365-ben tárolt információk védelme érdekében.

Biztonsági és termelékenységi kompromisszumok

Bármely biztonsági stratégia implementálásához kompromisszumra van szükség a biztonság és a termelékenység között. Hasznos kiértékelni, hogy az egyes döntések hogyan befolyásolják a biztonság, a funkcionalitás és a könnyű használat egyensúlyát.

A security triad kiegyensúlyozása a biztonság, a funkcionalitás és a könnyű használat között

A megadott javaslatok a következő alapelveken alapulnak:

  • Ismerje meg a felhasználókat, és rugalmasan alkalmazkodjon a biztonsági és funkcionális követelményekhez.
  • Csak időben alkalmazza a biztonsági szabályzatokat, és győződjön meg arról, hogy az jelentéssel bír.

Szolgáltatások és fogalmak Teljes felügyelet identitás- és eszközhozzáférés-védelemhez

A Nagyvállalati Microsoft 365-öt úgy tervezték, hogy mindenki számára kreatív legyen, és biztonságosan működjön együtt.

Ez a szakasz áttekintést nyújt azokról a Microsoft 365-szolgáltatásokról és képességekről, amelyek Teljes felügyelet identitás- és eszközhozzáférés szempontjából fontosak.

Microsoft Entra ID

A Microsoft Entra ID teljes körű identitáskezelési képességeket biztosít. Javasoljuk, hogy használja ezeket a képességeket a hozzáférés biztonságossá tételéhez.

Képesség vagy funkció Leírás Licencek
Többtényezős hitelesítés (MFA) Az MFA megköveteli, hogy a felhasználók két ellenőrzési formát adjanak meg, például egy felhasználói jelszót, valamint a Microsoft Authenticator alkalmazás értesítését vagy egy telefonhívást. Az MFA jelentősen csökkenti annak kockázatát, hogy az ellopott hitelesítő adatok felhasználhatók a környezet eléréséhez. A Microsoft 365 a Microsoft Entra többtényezős hitelesítési szolgáltatást használja az MFA-alapú bejelentkezésekhez. Microsoft 365 E3 vagy E5
Feltételes hozzáférés A Microsoft Entra ID kiértékeli a felhasználói bejelentkezés feltételeit, és feltételes hozzáférési szabályzatokkal határozza meg az engedélyezett hozzáférést. Ebben az útmutatóban például bemutatjuk, hogyan hozhat létre feltételes hozzáférési szabályzatot, amely megköveteli az eszközök megfelelőségét a bizalmas adatokhoz való hozzáféréshez. Ez a konfiguráció jelentősen csökkenti annak kockázatát, hogy egy hacker saját eszközével és ellopott hitelesítő adataival hozzáférhessen a bizalmas adatokhoz. Emellett védi a bizalmas adatokat az eszközökön, mivel az eszközöknek meg kell felelniük az egészségügyi és biztonsági követelményeknek. Microsoft 365 E3 vagy E5
Microsoft Entra-csoportok A feltételes hozzáférési szabályzatok, az Intune-nal való eszközkezelés, valamint a szervezet fájljaira és webhelyeire vonatkozó engedélyek a felhasználói fiókokhoz vagy a Microsoft Entra-csoportokhoz való hozzárendelésre támaszkodnak. Javasoljuk, hogy olyan Microsoft Entra-csoportokat hozzon létre, amelyek megfelelnek a megvalósított védelmi szinteknek. Például a vezető személyzet tagjai valószínűleg magas értékű célpontok a hackerek számára. Ezeket a felhasználói fiókokat hozzá kell adnia egy Microsoft Entra-csoporthoz, és ezt a csoportot feltételes hozzáférési szabályzatokhoz és más, magasabb szintű védelmet kényszerítő szabályzatokhoz kell hozzárendelnie. Microsoft 365 E3 vagy E5
Eszközregisztráció Regisztrálhat egy eszközt a Microsoft Entra-azonosítóba, hogy identitást hozzon létre az eszközhöz. Ez az identitás az eszköz hitelesítésére szolgál, amikor egy felhasználó bejelentkezik, és olyan feltételes hozzáférési szabályzatokat alkalmaz, amelyek tartományhoz csatlakoztatott vagy megfelelő számítógépeket igényelnek. Ebben az útmutatóban az eszközregisztráció használatával automatikusan regisztráljuk a tartományhoz csatlakoztatott Windows-számítógépeket. Az eszközregisztráció előfeltétele az eszközök Intune-nal való kezelésének. Microsoft 365 E3 vagy E5
Microsoft Entra ID-védelem Lehetővé teszi a szervezet identitásait érintő lehetséges biztonsági rések észlelését, valamint az automatizált szervizelési szabályzat alacsony, közepes és magas bejelentkezési kockázatra és felhasználói kockázatra való konfigurálását. Ez az útmutató a kockázatelemzésre támaszkodik a feltételes hozzáférési szabályzatok többtényezős hitelesítéshez való alkalmazásához. Ez az útmutató egy feltételes hozzáférési szabályzatot is tartalmaz, amely megköveteli a felhasználóktól, hogy változtassák meg a jelszavukat, ha magas kockázatú tevékenységet észlelnek a fiókjukban. Microsoft 365 E5, Microsoft 365 E3 az E5 Biztonsági bővítmény, EMS E5 vagy Microsoft Entra ID P2 licencekkel
Önkiszolgáló jelszó-visszaállítás (SSPR) Lehetővé teszi, hogy a felhasználók biztonságosan és ügyfélszolgálati beavatkozás nélkül visszaállíthassák a jelszavukat a rendszergazda által vezérelhető több hitelesítési módszer ellenőrzésével. Microsoft 365 E3 vagy E5
Microsoft Entra jelszóvédelem Észlelheti és letilthatja a szervezetre jellemző ismert gyenge jelszavakat, jelszóvariánsokat és egyéb gyenge kifejezéseket. A rendszer automatikusan alkalmazza az alapértelmezett globális tiltott jelszólistákat a Microsoft Entra-szervezet összes felhasználója számára. Az egyéni tiltott jelszólistában meghatározott bejegyzéseket is megadhat. Amikor a felhasználók módosítják vagy visszaállítják a jelszavaikat, a tiltott jelszólistákat ellenőrzik, hogy kényszerítsék az erős jelszavak használatát. Microsoft 365 E3 vagy E5

Íme az Teljes felügyelet identitás- és eszközhozzáférés összetevői, beleértve az Intune-t és a Microsoft Entra-objektumokat, beállításokat és alszolgáltatásokat.

Az Teljes felügyelet identitás- és eszközhozzáférés összetevői

Microsoft Intune

Az Intune a Microsoft felhőalapú mobileszköz-kezelési szolgáltatása. Ez az útmutató a Windows rendszerű számítógépek Intune-nal való eszközfelügyeletét és az eszközmegfelelési szabályzat konfigurációit javasolja. Az Intune meghatározza, hogy az eszközök megfelelőek-e, és elküldi ezeket az adatokat a Microsoft Entra-azonosítónak, amelyet a feltételes hozzáférési szabályzatok alkalmazásakor használni kell.

Intune alkalmazásvédelem

Az Intune alkalmazásvédelmi szabályzataival megvédheti a szervezet adatait a mobilalkalmazásokban az eszközök felügyeletbe való regisztrálásával vagy anélkül. Az Intune segít az információk védelmében a felhasználók termelékenységének fenntartása és az adatvesztés megakadályozása mellett. Alkalmazásszintű szabályzatok implementálásával korlátozhatja a vállalati erőforrásokhoz való hozzáférést, és az adatokat az informatikai részleg felügyelete alatt tarthatja.

Ez az útmutató bemutatja, hogyan hozhat létre szabályzatokat a jóváhagyott alkalmazások használatának kikényszerítéséhez, és hogyan adhatja meg, hogyan használhatók ezek az alkalmazások az üzleti adatokkal.

Microsoft 365

Ez az útmutató bemutatja, hogyan valósíthat meg szabályzatokat a Microsoft 365 felhőszolgáltatásokhoz való hozzáférés védelméhez, beleértve a Microsoft Teamst, az Exchange-et, a SharePointot és a OneDrive-ot. A szabályzatok implementálása mellett javasoljuk, hogy az alábbi erőforrások használatával növelje a szervezet védelmi szintjét is:

Windows 11 vagy Windows 10 Nagyvállalati Microsoft 365-alkalmazások

A Windows 11 vagy a Windows 10 Nagyvállalati Microsoft 365-alkalmazások a számítógépekhez ajánlott ügyfélkörnyezet. A Windows 11-et vagy a Windows 10-et javasoljuk, mert a Microsoft Entra úgy lett kialakítva, hogy a lehető leggördülékenyebb élményt nyújtsa a helyszíni és a Microsoft Entra-azonosító számára is. A Windows 11 vagy a Windows 10 olyan speciális biztonsági képességeket is tartalmaz, amelyek az Intune-on keresztül kezelhetők. Nagyvállalati Microsoft 365-alkalmazások tartalmazza a Office-app lications legújabb verzióit. Ezek az alkalmazások modern hitelesítést használnak, amely biztonságosabb, és a feltételes hozzáféréshez szükséges. Ezek az alkalmazások továbbfejlesztett megfelelőségi és biztonsági eszközöket is tartalmaznak.

E képességek alkalmazása a védelem három szintjén

Az alábbi táblázat összefoglalja a képességek három védelmi szinten való használatára vonatkozó javaslatainkat.

Védelmi mechanizmus Kiindulópont Vállalat Speciális biztonság
MFA kényszerítése A bejelentkezési kockázat közepes vagy magas. A bejelentkezési kockázat alacsony, közepes vagy magas. Minden új munkamenet.
Jelszómódosítás kényszerítése Magas kockázatú felhasználók számára. Magas kockázatú felhasználók számára. Magas kockázatú felhasználók számára.
Az Intune alkalmazásvédelem kényszerítése Igen Igen Igen
Intune-regisztráció kényszerítése a szervezet tulajdonában lévő eszközhöz Megfelelően beállított vagy tartományhoz csatlakoztatott PC-t igényel, de lehetővé teszi a saját tulajdonú (BYOD) telefonok és táblagépek használatát. Megfelelő vagy tartományhoz csatlakoztatott eszköz szükséges. Megfelelő vagy tartományhoz csatlakoztatott eszköz megkövetelése.

Eszköz tulajdonjoga

Az előző táblázat azt a trendet tükrözi, hogy számos szervezet támogatja a vállalati adatokhoz hozzáférő szervezeti és személyes (BYOD) eszközök kombinációját. Az Intune alkalmazásvédelmi szabályzatai biztosítják, hogy a vállalati adatok védettek legyenek az iOS- és Android Outlookban, valamint más Microsoft 365-mobilalkalmazásokban a vállalati és a személyes eszközökön egyaránt.

Javasoljuk, hogy az Intune használatával kezelje a szervezet tulajdonában lévő eszközöket, vagy hogy az eszközök tartományhoz csatlakozva további védelmet és vezérlést alkalmazzanak. Az adatérzékenységtől függően előfordulhat, hogy a szervezet nem engedélyezi a BYOD-k használatát adott felhasználói csoportokhoz vagy alkalmazásokhoz.

Üzembe helyezés és az alkalmazások

Mielőtt konfigurálja és üzembe helyezené a Zero Trust identitás- és eszközhozzáférés-konfigurációt a Microsoft Entra integrált alkalmazásaihoz, hajtsa végre a következő lépéseket:

  • Döntse el, hogy milyen alkalmazásokat szeretne védeni a szervezetében.

  • Elemezze az alkalmazások listáját a megfelelő védelmi szinteket biztosító szabályzatok meghatározásához.

    Nem javasoljuk külön szabályzatkészletek használatát az egyes alkalmazásokhoz, mert a különálló szabályzatok kezelése nehézkessé válhat. Ehelyett azt javasoljuk, hogy azonos védelmi követelményekkel rendelkező alkalmazásokat csoportosítsa ugyanazon felhasználók számára.

    Kezdje például egy olyan szabályzatkészlettel, amely az összes Microsoft 365-alkalmazást tartalmazza az összes felhasználó számára. Használjon egy másik, szigorúbb szabályzatkészletet az összes bizalmas alkalmazáshoz (például az emberi erőforrások vagy a pénzügyi részlegek által használt alkalmazásokhoz), és alkalmazza ezeket a korlátozó szabályzatokat az érintett csoportokra.

Miután meghatározta a biztonságossá tenni kívánt alkalmazásokra vonatkozó szabályzatokat, növekményesen hajtsa végre a szabályzatokat a felhasználók számára, és kezelje az út során felmerülő problémákat. Példa:

  1. Konfigurálja az összes Microsoft 365-alkalmazáshoz használni kívánt szabályzatokat.
  2. Adja hozzá az Exchange-t a szükséges módosításokkal, terjessze ki a szabályzatokat a felhasználók számára, és oldja meg a problémákat.
  3. Adja hozzá a Teamst a szükséges módosításokkal, hajtsa végre a szabályzatokat a felhasználók számára, és végezze el a problémákat.
  4. Adja hozzá a SharePointot a szükséges módosításokkal, hajtsa végre a szabályzatokat a felhasználók számára, és végezze el a problémákat.
  5. Folytassa az alkalmazások hozzáadását, amíg magabiztosan nem konfigurálhatja ezeket a kezdőszabályzatokat úgy, hogy az tartalmazza az összes Microsoft 365-alkalmazást.

Hasonlóképpen, hozzon létre szabályzatokat a bizalmas alkalmazásokhoz úgy, hogy egyszerre egy alkalmazást ad hozzá. Dolgozzon ki minden problémát, amíg azok mind bele nem kerülnek a bizalmas alkalmazásszabályzat-készletbe.

A Microsoft azt javasolja, hogy ne hozzon létre olyan szabályzatkészleteket, amelyek minden alkalmazásra vonatkoznak, mert az nem kívánt konfigurációkat eredményezhet. Az összes alkalmazást letiltó szabályzatok például kizárhatják a rendszergazdákat a Microsoft Entra felügyeleti központból, és a kizárások nem konfigurálhatók fontos végpontokhoz, például a Microsoft Graphhoz.

Az Teljes felügyelet identitás- és eszközhozzáférés konfigurálásához szükséges lépések

Az Teljes felügyelet identitás- és eszközhozzáférés konfigurálásához szükséges lépések

  1. Konfigurálja az előfeltételként megadott identitásszolgáltatásokat és beállításokat.
  2. Konfigurálja a közös identitás- és hozzáférési feltételes hozzáférési szabályzatokat.
  3. Feltételes hozzáférési szabályzatok konfigurálása vendéghozzáféréshez.
  4. Konfiguráljon feltételes hozzáférési szabályzatokat a Microsoft 365-felhőalkalmazásokhoz (például Microsoft Teams, Exchange és SharePoint), és konfigurálja a Microsoft Defender for Cloud Apps szabályzatait.

A nulla megbízhatósági identitás és az eszközhozzáférés konfigurálása után tekintse meg a Microsoft Entra szolgáltatás üzembe helyezési útmutatóját, a Microsoft Entra id governance figyelembe veendő és egyéb funkciók szakaszos ellenőrzőlistájához a hozzáférés védelme, monitorozása és naplózása érdekében.

Következő lépés

Az Teljes felügyelet identitás- és eszközhozzáférési szabályzatok implementálásának előfeltételei