组织在为其部署 Microsoft 365 时有很多担忧。 本文中引用的条件访问、应用保护和设备合规性策略基于 Microsoft 的建议和零信任的三个指导原则:
- 明确地验证
- 使用最小特权
- 假定违约
组织可以按原样采用这些策略,也可以对其进行自定义以满足自身需求。 如果可能,请在非生产环境中测试策略,然后再将其推广到生产用户。 测试对于确定任何可能的影响并将其传达给用户至关重要。
我们根据你在部署历程中的位置将这些策略分为三个保护级别:
- 起点:引入多重身份验证、安全密码更改和移动设备 Intune 应用保护策略的基本控制。
- 企业:增强控制,引入设备合规性。
- 专用安全性:每次针对特定数据集或用户都需要多重身份验证的策略。
下图显示了每个策略适用的保护级别以及策略适用的设备类型:
可以将此图表下载为 PDF 文件或可编辑 的 Visio 文件。
小贴士
建议在 Intune 中注册设备之前要求用户进行多重身份验证(MFA),以确保他们拥有该设备。 MFA 默认处于打开状态,因为 安全默认值,或者你可以使用 条件访问策略来要求所有用户使用 MFA。
必须先在 Intune 中注册设备,然后才能强制实施设备符合性策略。
先决条件
权限
Microsoft Entra 中的以下权限是必需的:
- 管理条件访问策略: 条件访问管理员 角色。
- 管理应用保护和设备符合性策略: Intune 管理员 角色。
- 仅查看配置:安全审阅者角色。
有关 Microsoft Entra 中的角色和权限的详细信息,请参阅 Microsoft Entra ID 中基于角色的访问控制概述。
用户注册
在要求用户使用 MFA 之前,请确保他们已注册。 如果许可证包括Microsoft Entra ID P2,则可以在 Microsoft Entra ID Protection 中使用 MFA 注册策略 来要求用户注册。 我们提供 通信模板 ,你可以下载和自定义以提升用户注册。
群组
作为这些建议的一部分使用的所有 Microsoft Entra 组都必须是 Microsoft 365 组,而不是 安全组。 此要求对于部署敏感度标签来保护 Microsoft Teams 和 SharePoint 中的文档非常重要。 有关详细信息,请参阅了解Microsoft Entra ID中的组和访问权限。
分配策略
可以将条件访问策略分配给用户、组和管理员角色。 只能将 Intune 应用保护和设备符合性策略分配给 组。 在配置策略之前,请确定应包括和排除的人员。 通常,起点保护级别策略适用于组织中的每个人。
下表描述了用户完成 用户注册后 MFA 的示例组分配和排除项:
| Microsoft Entra 条件访问策略 | 包括 | 排除 | |
|---|---|---|---|
| 起点 | 需要 中等 或 高 登录风险的多重身份验证 | 所有用户 |
|
| 企业 | 要求 对低、 中或 高 登录风险进行多重身份验证 | 执行人员组 |
|
| 定制化安全 | 始终要求 多重身份验证 | 绝密项目 Buckeye 组 |
|
提示
将更高级别的保护应用于用户和组时,请小心。 安全目标不是为用户体验增加不必要的摩擦。 例如,顶级机密项目 Buckeye 组的成员每次登录时都需要使用 MFA,即使他们没有处理项目专用内容也是如此。 过度的安全摩擦可能导致疲劳。 启用 防钓鱼身份验证方法 (例如 Windows Hello 企业版或 FIDO2 安全密钥),以帮助减少安全控制造成的摩擦。
紧急访问帐户
所有组织均应至少有一个紧急访问帐户(且可能会有更多,具体取决于受监视组织的规模),而该帐户会受到监视以掌握其使用情况并排除在策略之外。 仅当所有其他管理员帐户和身份验证方法都被锁定或不可用时,才能使用这些帐户。 有关详细信息,请参阅 Microsoft Entra ID 中的“管理紧急访问帐户”。
排除项
建议的做法是为条件访问排除项创建 Microsoft Entra 组。 此组为你提供了一种在排查访问问题时向用户提供访问权限的方法。
警告
我们建议仅将排除组作为临时解决方案。 请务必持续监视此组是否有更改,并验证组是否仅用于其预期目的。
执行以下步骤,将排除组添加到任何现有策略。 如前所述,需要 条件访问管理员 权限。
在Microsoft Entra 管理中心, https://entra.microsoft.com转到 “保护>条件访问>策略”。 或者,直接转到 条件访问 |“策略 ”页,使用 https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policies/fromNav/Identity。
在 条件访问 |“策略 ”页,通过单击名称值选择现有策略。
在打开的策略详细信息页面上,选择分配部分中用户处的链接。
在打开的控件中,选择“ 排除 ”选项卡,然后选择“ 用户和组”。
在打开的 “选择排除的用户和组” 浮出控件中,找到并选择以下标识:
- 用户:紧急访问帐户。
- 组:条件访问排除组
使用完选择排除的用户和组浮出控件后,选择选择
部署
建议按照下表中列出的顺序实施起点策略。 可随时为企业和专用安全级别的保护实施 MFA 策略。
起点:
策略 详细信息 许可 登录风险为中或高时需要 MFA 仅当Microsoft Entra ID 保护检测到风险时,才要求 MFA。 - Microsoft 365 E5
- 附加 E5 安全加载项的 Microsoft 365 E3
- Microsoft 365 与 EMS E5
- 单个 Microsoft Entra ID P2 许可证
阻止不支持新式验证的客户端 不使用新式身份验证的客户端可以绕过条件访问策略,因此请务必阻止它们。 Microsoft 365 E3 或 E5 高风险用户必须更改密码 如果检测到其帐户的高风险活动,则强制用户在登录时更改其密码。 - Microsoft 365 E5
- 具有 E5 安全性附加产品的 Microsoft 365 E3
- 具有 EMS E5 的 Microsoft 365
- 单个 Microsoft Entra ID P2 许可证
应用应用程序保护策略 (APP) 进行数据保护 每个移动设备平台一个 Intune APP(Windows、iOS/iPadOS 和 Android)。 Microsoft 365 E3 或 E5 需要批准的应用和应用保护策略 使用 iOS、iPadOS 或 Android 为移动设备强制实施应用保护策略。 Microsoft 365 E3 或 E5 企业:
策略 详细信息 许可 登录风险为“低”、“中”或“高”时要求 MFA 仅当Microsoft Entra ID 保护检测到风险时,才要求 MFA。 - Microsoft 365 E5
- 具有 E5 安全性附加产品的 Microsoft 365 E3
- 具有 EMS E5 的 Microsoft 365
- 单个 Microsoft Entra ID P2 许可证
定义设备合规性策略 设置最低配置要求。 每个平台一个策略。 Microsoft 365 E3 或 E5 需要合规的电脑和移动设备 对访问组织的设备强制实施配置要求 Microsoft 365 E3 或 E5 专用安全性:
策略 详细信息 许可 始终需要 MFA 每当用户登录到组织中的服务时,都需要执行 MFA。 Microsoft 365 E3 或 E5
应用保护策略
应用保护策略 指定允许的应用以及他们可以对您的组织数据执行的操作。 尽管有许多策略可供选择,但以下列表描述了建议的基线。
级别 1 企业基本数据保护:建议将此配置作为企业设备的最低数据保护。
级别 2 企业增强数据保护:对于访问敏感数据或机密信息的设备,我们建议使用此配置。 此配置适用于访问工作或学校数据的大部分移动用户。 某些控件可能会影响用户体验。
级别 3 企业高数据保护:建议在以下方案中使用此配置:
- 具有更大或更复杂的安全团队的组织。
- 特定用户或组使用的设备面临独特的高风险。 例如,处理高度敏感的数据的用户,其中未经授权的泄露会导致组织遭受重大损失
可能以资金良好且复杂的攻击者为目标的组织应该渴望这种配置。
使用以下任一方法,根据数据保护框架设置,在 Microsoft Intune 中为每个设备平台(iOS/iPadOS 和 Android)创建新的应用保护策略:
- 按照如何使用 Microsoft Intune 创建和部署应用保护策略中的步骤手动创建策略。
- 使用 Intune 的 PowerShell 脚本导入示例 Intune 应用保护策略配置框架 JSON 模板。
设备合规性策略
Intune 设备符合性策略定义设备符合性要求。 需要为每个电脑、手机或平板电脑平台创建策略。 以下部分介绍以下平台的建议:
若要创建设备符合性策略,请执行以下步骤:
- 在 Microsoft Intune 管理中心https://endpoint.microsoft.com,转到“管理设备>”“符合性>”“策略”选项卡。或者,可以直接前往“设备 | 符合性”页面的“策略”选项卡,使用https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/compliance。
- 在设备 | 合规性页面的策略选项卡上,选择创建策略。
有关分步指南,请参阅 Microsoft Intune 中创建合规性策略。
iOS/iPadOS 的注册和合规性设置
iOS/iPadOS 支持多种注册方案,其中两种方案由此框架介绍:
- 个人拥有设备的设备注册:也用于工作的个人拥有设备(也称为自带设备或 BYOD)。
- 企业拥有设备的自动设备注册:与单个用户关联且专用于工作的企业拥有设备。
提示
如前所述,级别 2 映射到 起点 或 企业级 安全性,级别 3 映射到 专用 安全性。 有关详细信息,请参阅 零信任标识和设备访问配置。
个人注册设备的合规性设置
- 个人基本安全性(级别 1):建议将此配置作为访问工作或学校数据的个人设备的最低安全性。 可以通过强制实施密码策略、设备锁定特征和禁用某些设备功能(例如,不受信任的证书)来实现此配置。
- 个人增强的安全性(级别 2):建议将此配置用于访问敏感数据或机密信息的设备。 此配置启用数据共享控件。 此配置适用于访问工作或学校数据的大部分移动用户。
- 个人高安全性(级别 3):对于处于独特高风险的特定用户或组使用的设备,我们建议使用此配置。 例如,处理高度敏感数据的用户,其中未经授权的泄露会导致组织遭受重大损失。 此配置支持更强的密码策略、禁用某些设备功能,并强制实施额外的数据传输限制。
自动设备注册的合规性设置
- 受监督的基本安全性(级别 1):建议将此配置作为访问工作或学校数据的企业设备的最低安全性。 可以通过强制实施密码策略、设备锁定特征和禁用某些设备功能(例如,不受信任的证书)来实现此配置。
- 受监督增强的安全性(级别 2):对于访问敏感数据或机密信息的设备,我们建议使用此配置。 此配置允许数据共享控件并阻止访问 USB 设备。 此配置适用于大多数在设备上访问工作或学校数据的移动用户。
- 受监督的高安全性(级别 3) :对于处于独特高风险的特定用户或组使用的设备,我们建议使用此配置。 例如,处理高度敏感数据的用户,其中未经授权的泄露会导致组织遭受重大损失。 此配置支持更强的密码策略、禁用某些设备功能、强制实施额外的数据传输限制,并要求通过 Apple 批量购买计划安装应用。
Android 的注册和合规性设置
Android Enterprise 支持多种注册方案,其中两种方案由此框架介绍:
- Android Enterprise 工作配置文件:个人拥有的设备(也称为自带设备或 BYOD)也用于工作。 IT 部门控制的策略可确保无法将工作数据传输到个人个人资料中。
- Android Enterprise 完全托管设备:这是由组织拥有并与单个用户关联的设备,仅用于工作。
Android Enterprise 安全配置框架被组织为多个不同的配置场景,而这些场景可为工作配置文件场景和完全托管场景提供指导。
提示
如前所述,级别 2 映射到 起点 或 企业级 安全性,级别 3 映射到 专用 安全性。 有关详细信息,请参阅 零信任标识和设备访问配置。
Android Enterprise 工作配置文件设备的合规性设置
- 针对个人拥有的工作配置文件设备,不存在基本安全性(级别 1)产品/服务。 可用设置并不能证明级别 1 和级别 2 之间的差异。
- 工作配置文件增强的安全性(级别 2):建议将此配置作为访问工作或学校数据的个人设备的最低安全性。 此配置会引入密码要求,将工作数据和个人数据分隔,并验证 Android 设备证明。
- 工作配置文件高安全性(级别 3):对于处于独特高风险的特定用户或组使用的设备,我们建议使用此配置。 例如,处理高度敏感数据的用户,其中未经授权的泄露会导致组织遭受重大损失。 此配置引入了移动威胁防御或 Microsoft Defender for Endpoint、设置最低 Android 版本、启用更强的密码策略,并进一步分隔工作和个人数据。
Android Enterprise 完全托管设备的合规性设置
- 完全托管的基本安全性(级别 1):建议将此配置作为企业设备的最低安全性。 此配置会应用于访问工作或学校数据的大多数移动用户。 此配置引入了密码要求,设置最低 Android 版本,并启用特定的设备限制。
- 完全托管增强的安全性(级别 2):建议将此配置用于访问敏感数据或机密信息的设备。 此配置启用更强的密码策略并禁用用户/帐户功能。
- 完全托管的高安全性(级别 3):对于处于独特高风险的特定用户或组使用的设备,我们建议使用此配置。 例如,处理高度敏感数据的用户,其中未经授权的泄露会导致组织遭受重大损失。 此配置会增加最低 Android 版本,引入移动威胁防御或 Microsoft Defender for Endpoint,并强制实施额外的设备限制。
针对 Windows 10 及更高版本建议的合规性设置
按照 Intune 中 Windows 10/11 的设备符合性设置中所述配置以下设置。 这些设置符合零信任标识和设备访问权限配置中概述的原则。
设备运行状况> Windows Health 证明服务评估规则:/intune/intune-service/
属性 价值 需要 BitLocker 必需 需要在设备上启用安全启动 必需 需要代码完整性 必需 设备属性 > 作系统版本:根据 IT 和安全策略为作系统版本指定适当的值。
财产 价值 最低操作系统版本 最高 OS 版本 移动设备所需的最低 OS 移动设备所需的最高版本操作系统 有效的操作系统版本 Configuration Manager 合规性:
属性 价值 要求符合 Configuration Manager 的设备合规性 在与 Configuration Manager 共同管理的环境中选择 “必需”。 否则,请选择“ 未配置”。 系统安全性:
财产 价值 密码 需要密码以解锁移动设备 必需 简单密码 阻止 密码类型 设备默认值 最短密码长度 6 要求输入密码前的最大不活动分钟数 15 分钟 密码过期(天) 41 防止重复使用的旧密码数 5 当设备从空闲状态返回时需要提供密码(移动和全息) 必需 加密 要求对设备上的数据存储进行加密 必需 火墙 防火墙 必需 防病毒 防病毒 必需 反间谍软件 反间谍软件 必需 防御者 Microsoft Defender反恶意软件 必需 Microsoft Defender 反恶意软件最低版本 建议使用的值应不超过最新版本的 5 个版本。 Microsoft Defender 反恶意软件签名已更新 必需 实时保护 必需 Microsoft Defender for Endpoint:
财产 价值 要求设备不高于计算机风险评分 中型
条件访问策略
在 Intune 中创建应用保护策略和设备符合性策略后,可以使用条件访问策略启用强制实施。
需要根据登录风险执行 MFA
按照以下指南进行作: 要求对提升的登录风险进行多重身份验证 ,以创建需要基于登录风险进行多重身份验证的策略。
配置策略时,请使用以下风险级别:
| 保护级别 | 风险级别 |
|---|---|
| 起点 | 中和高 |
| 企业 | 低、中和高 |
阻止不支持多重身份验证的客户端
按照以下指南进行操作:使用条件访问阻止旧式身份验证。
高风险用户必须更改密码
请遵循以下指南:要求具有提升用户风险的用户进行安全密码更改,以确保具有泄露凭据的用户更改其密码。
将此策略与 Microsoft Entra 密码保护一起使用,它可以检测和阻止已知的弱密码、其变体以及组织中的特定术语。 使用 Microsoft Entra 密码保护可确保更改后的密码更强。
要求使用已批准的应用或应用保护策略
需要创建条件访问策略,以强制实施在 Intune 中创建的应用保护策略。 强制实施应用保护策略需要条件访问策略和相应的应用保护策略。
若要创建需要已批准应用或应用保护的条件访问策略,请按照 要求批准的客户端应用或应用保护策略中的步骤进行操作。 此策略仅允许受到应用保护策略保护的应用内帐户访问 Microsoft 365 端点。
阻止 iOS/iPadOS 和 Android 设备上的其他应用的旧式身份验证可确保这些设备无法绕过条件访问策略。 按照本文中的指南作,你已经 阻止了不支持新式身份验证的客户端。
需要合规的电脑和移动设备
注意
在启用此策略之前,请验证自己的设备是否合规。 否则,可能会被锁定,需要使用 紧急访问帐户 来恢复访问权限。
仅在确定设备符合 Intune 符合性策略后,才允许访问资源。 有关详细信息,请参阅要求设备符合条件访问的要求。
即使在策略中为所有用户和所有云应用选择要求将设备标记为合规,也可将新设备注册到 Intune。 要求将设备标记为合规 ,不会阻止 Intune 注册或访问 Microsoft Intune Web 公司门户应用。
订阅激活
如果你的组织使用 Windows 订阅激活 使用户能够从一个版本的 Windows 升级到另一个版本,则应从设备符合性中排除通用应用商店服务 API 和 Web 应用程序(AppID:45a330b1-b1ec-4cc1-9161-9f03992aa49f)。
始终需要 MFA
按照本文中的指导要求所有用户进行 MFA: 要求所有用户进行多重身份验证。
后续步骤
