Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Wiele organizacji ma pytania dotyczące wdrażania platformy Microsoft 365 w bezpieczny sposób. Zasady dostępu warunkowego, ochrony aplikacji i zgodności urządzeń w tym artykule są oparte na zaleceniach firmy Microsoft i trzech wytycznych dotyczących platformy Zero Trust:
- Zweryfikuj jawnie
- Użyj najniższych uprawnień
- Załóż naruszenie
Organizacje mogą używać tych zasad zgodnie z potrzebami lub dostosowywać je do swoich potrzeb. Przetestuj zasady w środowisku nieprodukcyjnym, aby zidentyfikować potencjalne skutki i przekazać je użytkownikom przed wdrożeniem ich w środowisku produkcyjnym. Testowanie ma kluczowe znaczenie dla identyfikowania i przekazywania możliwych efektów użytkownikom.
Te zasady są grupowane na trzy poziomy ochrony w zależności od tego, na jakim etapie wdrażania się znajdujesz.
- Punkt wyjścia: podstawowe mechanizmy kontroli, które wprowadzają uwierzytelnianie wieloskładnikowe, bezpieczne zmiany haseł i zasady ochrony aplikacji usługi Intune dla urządzeń przenośnych.
- Przedsiębiorstwo: ulepszone mechanizmy kontroli, które wprowadzają zgodność urządzeń.
- Wyspecjalizowane zabezpieczenia: zasady wymagające uwierzytelniania wieloskładnikowego za każdym razem dla określonych zestawów danych lub użytkowników.
Na tym diagramie przedstawiono poziomy ochrony dla poszczególnych zasad i typów urządzeń, do których mają zastosowanie:
Ten diagram można pobrać jako plik PDF lub edytowalny plik programu Visio .
Napiwek
Wymagaj uwierzytelniania wieloskładnikowego (MFA) dla użytkowników przed zarejestrowaniem urządzeń w usłudze Intune, aby potwierdzić, że urządzenie jest w rękach zamierzonego użytkownika. Uwierzytelnianie wieloskładnikowe jest domyślnie włączone w dokładnych wartościach zabezpieczeń lub można użyć zasad dostępu warunkowego, aby wymagać uwierzytelniania wieloskładnikowego dla wszystkich użytkowników.
Aby można było wymusić zasady zgodności urządzeń, należy zarejestrować je w usłudze Intune.
Wymagania wstępne
Uprawnienia
Wymagane są następujące uprawnienia w usłudze Microsoft Entra:
- Zarządzanie zasadami dostępu warunkowego: rola administratora dostępu warunkowego.
- Zarządzanie zasadami ochrony aplikacji i zgodności urządzeń: rola administratora Intune.
- Wyświetl tylko konfiguracje: Rola Czytelnika zabezpieczeń.
Aby uzyskać więcej informacji na temat ról i uprawnień w usłudze Microsoft Entra, zobacz Omówienie kontroli dostępu opartej na rolach w usłudze Microsoft Entra ID.
Rejestracja użytkownika
Upewnij się, że użytkownicy zarejestrują się do MFA, zanim będą musieli z niego korzystać. Jeśli twoje licencje obejmują Microsoft Entra ID P2, możesz użyć zasady rejestracji MFA w Microsoft Entra ID Protection, aby wymagać od użytkowników rejestracji. Udostępniamy szablony komunikacji , które można pobrać i dostosować w celu podwyższenia poziomu rejestracji użytkowników.
Grupy
Wszystkie grupy entra firmy Microsoft używane w tych zaleceniach muszą być grupami platformy Microsoft 365, a nie grupami zabezpieczeń. To wymaganie jest ważne w przypadku wdrażania etykiet poufności w celu zabezpieczenia dokumentów w usłudze Microsoft Teams i programie SharePoint. Aby uzyskać więcej informacji, zobacz Dowiedz się więcej o grupach i prawach dostępu w usłudze Microsoft Entra ID.
Przypisywanie zasad
Zasady dostępu warunkowego można przypisywać do ról użytkowników, grup i administratorów. Możesz przypisać ochronę aplikacji usługi Intune i zasady zgodności urządzeń tylko do grup . Przed skonfigurowaniem zasad określ, kto powinien zostać uwzględniony i wykluczony. Zazwyczaj zasady dotyczące poziomu ochrony punktu początkowego mają zastosowanie do wszystkich osób w organizacji.
W poniższej tabeli opisano przykładowe przypisania i wykluczenia grup dla uwierzytelniania wieloskładnikowego po zakończeniu rejestracji użytkowników:
| Zasady dostępu warunkowego firmy Microsoft Entra | Uwzględnij | Wyklucza | |
|---|---|---|---|
| Punkt początkowy | Wymaganie uwierzytelniania wieloskładnikowego dla ryzyka średniego lub wysokiego logowania | Wszyscy użytkownicy |
|
| Przedsiębiorstwo | Wymaganie uwierzytelniania wieloskładnikowego dla ryzyka niskiego, średniego lub wysokiego logowania | Grupa kadry kierowniczej |
|
| Wyspecjalizowane zabezpieczenia | Wymagaj uwierzytelniania wieloskładnikowego zawsze | Grupa projektu Top Secret Buckeye |
|
Napiwek
Ostrożnie stosuj wyższy poziom ochrony dla użytkowników i grup. Celem zabezpieczeń nie jest dodanie niepotrzebnych problemów do środowiska użytkownika. Na przykład członkowie grupy Top Secret Project Buckeye muszą używać uwierzytelniania wieloskładnikowego za każdym razem, gdy logują się, nawet jeśli nie pracują nad wyspecjalizowaną zawartością dla projektu. Nadmierne przeszkody związane z bezpieczeństwem mogą prowadzić do zmęczenia. Włącz metody uwierzytelniania odporne na wyłudzanie informacji (na przykład Windows Hello for Business lub klucze zabezpieczeń FIDO2), aby zmniejszyć tarcie spowodowane mechanizmami kontroli zabezpieczeń.
Konta dostępu awaryjnego
Każda organizacja potrzebuje co najmniej jednego konta dostępu awaryjnego monitorowanego do użycia i wykluczonego z zasad. Większe organizacje mogą wymagać większej liczby kont. Te konta są używane tylko w przypadku, gdy wszystkie inne konta administratora i metody uwierzytelniania staną się zablokowane lub w inny sposób niedostępne. Aby uzyskać więcej informacji, zobacz Zarządzanie kontami dostępu awaryjnego w Microsoft Entra ID.
Wykluczanie użytkowników
Zalecamy utworzenie grupy Microsoft Entra dla wykluczeń dostępu warunkowego. Ta grupa umożliwia zapewnienie dostępu użytkownikowi podczas rozwiązywania problemów z dostępem. Funkcje, takie jak przeglądy dostępu w usłudze Microsoft Entra ID Governance, ułatwiają zarządzanie użytkownikami wykluczonymi z zasad dostępu warunkowego
Ostrzeżenie
Zalecamy grupę wykluczającą tylko jako rozwiązanie tymczasowe. Stale monitoruj tę grupę pod kątem zmian i upewnij się, że jest ona używana tylko do zamierzonego celu.
Wykonaj poniższe kroki, aby dodać grupę wykluczeń do istniejących zasad.
- Zaloguj się do centrum administracyjnego Microsoft Entra jako co najmniej Administrator Dostępu Warunkowego.
- Przejdź do Ochrona>Warunkowy dostęp>Zasady.
- Wybierz istniejące zasady, klikając nazwę.
- W Przypisaniach wybierz pozycję Użytkownicy lub tożsamości robocze.
a. W obszarze Wyklucz wybierz pozycję Użytkownicy i grupy, a następnie wybierz następujące tożsamości:
- Użytkownicy: Konta dostępu awaryjnego.
- Grupy: Grupa wykluczeń dostępu warunkowego. b. Wybierz Wybierz.
- Wprowadź inne modyfikacje.
- Wybierz Zapisz.
Pomijanie aplikacji
Zalecamy utworzenie podstawowych zasad uwierzytelniania wieloskładnikowego przeznaczonych dla wszystkich użytkowników i wszystkich zasobów (bez żadnych wykluczeń aplikacji), takich jak w artykule Wymagaj uwierzytelniania wieloskładnikowego dla wszystkich użytkowników. Wykluczenie niektórych aplikacji może mieć niezamierzone konsekwencje zabezpieczeń i użyteczności opisane w artykule Zachowanie dostępu warunkowego, gdy wszystkie zasady zasobów mają wykluczenie aplikacji. Aplikacje, takie jak Platformy Microsoft 365 i Microsoft Teams, zależą od wielu usług, co sprawia, że zachowanie jest nieprzewidywalne po wystąpieniu wykluczeń.
Wdrożenie
Zalecamy zaimplementowanie zasad punktu początkowego w kolejności wymienionej w poniższej tabeli. Zasady uwierzytelniania wieloskładnikowego można zaimplementować dla przedsiębiorstw i wyspecjalizowanych poziomów zabezpieczeń w dowolnym momencie.
Punkt początkowy:
| Polityka | Więcej informacji | Licencjonowanie |
|---|---|---|
| Wymagaj uwierzytelniania wieloskładnikowego, gdy ryzyko logowania jest średnie lub wysokie | Wymagaj uwierzytelniania wieloskładnikowego tylko wtedy, gdy ryzyko jest wykrywane przez usługę Microsoft Entra ID Protection. |
|
| Blokuj klientów, którzy nie obsługują nowoczesnego uwierzytelniania | Klienci, którzy nie korzystają z nowoczesnego uwierzytelniania, mogą pominąć zasady dostępu warunkowego, dlatego ważne jest, aby je zablokować. | Microsoft 365 E3 lub E5 |
| Użytkownicy wysokiego ryzyka muszą zmieniać hasło | Wymusić na użytkownikach zmianę hasła podczas logowania się w przypadku wykrycia aktywności wysokiego ryzyka dla konta. |
|
| Stosowanie zasad ochrony aplikacji (APP) w celu ochrony danych | Jedna aplikacja usługi Intune na platformę urządzenia przenośnego (Windows, iOS/iPadOS i Android). | Microsoft 365 E3 lub E5 |
| Wymaganie zatwierdzonych aplikacji i zasad ochrony aplikacji | Wymusza zasady ochrony aplikacji dla urządzeń przenośnych przy użyciu systemów iOS, iPadOS lub Android. | Microsoft 365 E3 lub E5 |
Przedsiębiorstwo:
| Polityka | Więcej informacji | Licencjonowanie |
|---|---|---|
| Wymagaj uwierzytelniania wieloskładnikowego, gdy ryzyko logowania jest niskie, średnie lub wysokie | Wymagaj uwierzytelniania wieloskładnikowego tylko wtedy, gdy ryzyko jest wykrywane przez usługę Microsoft Entra ID Protection. |
|
| Definiowanie zasad zgodności urządzeń | Ustaw minimalne wymagania dotyczące konfiguracji. Jedna zasada dla każdej platformy. | Microsoft 365 E3 lub E5 |
| Wymaganie zgodnych komputerów i urządzeń przenośnych | Wymusza wymagania konfiguracyjne dotyczące urządzeń, które uzyskują dostęp do organizacji | Microsoft 365 E3 lub E5 |
Wyspecjalizowane zabezpieczenia:
| Polityka | Więcej informacji | Licencjonowanie |
|---|---|---|
| Wymagaj MFA zawsze | Użytkownicy muszą wykonać uwierzytelnianie wieloskładnikowe w dowolnym momencie logowania się do usług w organizacji. | Microsoft 365 E3 lub E5 |
zasady Ochrona aplikacji
Zasady ochrony aplikacji określają dozwolone aplikacje i działania, które mogą podejmować dotyczące danych organizacji. Chociaż istnieje wiele zasad do wyboru, poniższa lista zawiera opis naszych zalecanych punktów odniesienia.
Napiwek
Mimo że udostępniamy trzy szablony, większość organizacji powinna wybrać poziom 2 (mapy do punktu początkowego lub zabezpieczeń na poziomie przedsiębiorstwa ) i poziom 3 (mapy do wyspecjalizowanych zabezpieczeń).
poziom 1 — podstawowa ochrona danych przedsiębiorstwa: zalecamy tę konfigurację jako minimalną ochronę danych dla urządzeń przedsiębiorstwa.
poziom 2 — rozszerzona ochrona danych w przedsiębiorstwie: zalecamy tę konfigurację dla urządzeń, które uzyskują dostęp do poufnych danych lub informacji poufnych. Ta konfiguracja dotyczy większości użytkowników mobilnych, którzy uzyskują dostęp do danych służbowych. Niektóre kontrolki mogą mieć wpływ na środowisko użytkownika.
poziom 3 — wysoka ochrona danych w przedsiębiorstwie: W następujących scenariuszach zalecamy wykonanie tej konfiguracji:
- Organizacje z większymi lub bardziej zaawansowanymi zespołami ds. zabezpieczeń.
- Urządzenia używane przez określonych użytkowników lub grupy, które są wyjątkowo narażone na wysokie ryzyko. Na przykład użytkownicy, którzy obsługują wysoce poufne dane, w przypadku których nieautoryzowane ujawnienie spowodowałoby znaczną utratę organizacji
Organizacje, które prawdopodobnie są celem dobrze finansowanych i zaawansowanych atakujących, powinny dążyć do tej konfiguracji.
Utwórz nowe zasady ochrony aplikacji dla każdej platformy urządzeń w usłudze Microsoft Intune (iOS/iPadOS i Android) przy użyciu ustawień struktury ochrony danych przy użyciu jednej z następujących metod:
- Ręcznie utwórz zasady, wykonując kroki opisane w temacie Jak utworzyć i wdrożyć zasady ochrony aplikacji w usłudze Microsoft Intune.
- Zaimportuj przykładowe szablony JSON struktury konfiguracji zasad ochrony aplikacji usługi Intune za pomocą skryptów programu PowerShell usługi Intune.
Zasady zgodności urządzeń
Zasady zgodności urządzeń w usłudze Intune definiują wymagania dotyczące zgodności urządzeń. Należy utworzyć zasady dla każdego komputera, telefonu lub platformy tabletu. W poniższych sekcjach opisano zalecenia dotyczące następujących platform:
Tworzenie zasad zgodności urządzeń
Wykonaj następujące kroki, aby utworzyć zasady zgodności urządzeń:
- Zaloguj się do centrum administracyjnego usługi Microsoft Intune jako administrator usługi Intune.
- Przejdź do urządzeń>Zgodność>Utwórz politykę.
Aby uzyskać szczegółowe wskazówki, zobacz Tworzenie zasad zgodności w usłudze Microsoft Intune.
Ustawienia rejestracji i zgodności dla systemu iOS/iPadOS
System iOS/iPadOS obsługuje kilka scenariuszy rejestracji, z których dwa są objęte tą strukturą:
- Rejestrowanie urządzeń należących do użytkownika dla celów osobistych: Urządzenia należące do użytkownika (nazywane również urządzeniami BYOD), które są również używane do pracy.
- automatyczne rejestrowanie urządzeń należących do firmy: urządzenia należące do organizacji skojarzone z jednym użytkownikiem i są używane wyłącznie do pracy.
Napiwek
Jak opisano wcześniej, poziom 2 jest mapowany na punkt początkowy lub zabezpieczenia na poziomie przedsiębiorstwa , a poziom 3 jest mapowany na wyspecjalizowane zabezpieczenia. Aby uzyskać więcej informacji, zobacz konfiguracje dostępu do tożsamości i urządzeń w modelu Zero Trust.
Ustawienia zgodności dla urządzeń zarejestrowanych osobiście
- Osobiste podstawowe zabezpieczenia (poziom 1): zalecamy tę konfigurację jako minimalne zabezpieczenia urządzeń osobistych, które uzyskują dostęp do danych służbowych. Tę konfigurację można osiągnąć, wymuszając zasady haseł, charakterystykę blokady urządzenia i wyłączając niektóre funkcje urządzenia (na przykład niezaufane certyfikaty).
- Osobiste zwiększone zabezpieczenia (poziom 2): Zalecamy tę konfigurację dla urządzeń, które uzyskują dostęp do poufnych danych lub informacji poufnych. Ta konfiguracja umożliwia sterowanie udostępnianiem danych. Ta konfiguracja dotyczy większości użytkowników mobilnych, którzy uzyskują dostęp do danych służbowych.
- Osobiste wysoki poziom zabezpieczeń (poziom 3): zalecamy tę konfigurację dla urządzeń używanych przez określonych użytkowników lub grup, które są narażone na wyjątkowo wysokie ryzyko. Na przykład użytkownicy, którzy obsługują wysoce poufne dane, w przypadku których nieautoryzowane ujawnienie spowodowałoby znaczną utratę organizacji. Ta konfiguracja umożliwia silniejsze zasady haseł, wyłącza niektóre funkcje urządzenia i wymusza dodatkowe ograniczenia transferu danych.
Ustawienia zgodności dla automatycznej rejestracji urządzeń
- Nadzorowane podstawowe zabezpieczenia (poziom 1): Zalecamy tę konfigurację jako minimalne zabezpieczenia dla urządzeń przedsiębiorstwa, które uzyskują dostęp do danych służbowych. Tę konfigurację można osiągnąć, wymuszając zasady haseł, charakterystykę blokady urządzenia i wyłączając niektóre funkcje urządzenia (na przykład niezaufane certyfikaty).
- Nadzorowane rozszerzone zabezpieczenia (poziom 2): zalecamy tę konfigurację dla urządzeń, które uzyskują dostęp do poufnych danych lub informacji poufnych. Ta konfiguracja umożliwia sterowanie udostępnianiem danych i blokowanie dostępu do urządzeń USB. Ta konfiguracja ma zastosowanie do większości użytkowników mobilnych, którzy uzyskują dostęp do danych służbowych na urządzeniu.
- Nadzorowany poziom wysokiego bezpieczeństwa (poziom 3): zalecamy tę konfigurację dla urządzeń używanych przez określonych użytkowników albo grup, które są narażone na wyjątkowo wysokie ryzyko. Na przykład użytkownicy, którzy obsługują wysoce poufne dane, w przypadku których nieautoryzowane ujawnienie spowodowałoby znaczną utratę organizacji. Ta konfiguracja umożliwia silniejsze zasady haseł, wyłącza niektóre funkcje urządzeń, wymusza dodatkowe ograniczenia transferu danych i wymaga zainstalowania aplikacji za pośrednictwem programu zakupów zbiorczych firmy Apple.
Ustawienia rejestracji i zgodności dla systemu Android
System Android Enterprise obsługuje kilka scenariuszy rejestracji, z których dwa są objęte tą strukturą:
- profil służbowy Android Enterprise: urządzenia należące do użytkownika (znane również jako przynieś swoje własne urządzenie lub BYOD), które są także używane służbowo. Zasady kontrolowane przez dział IT zapewniają, że nie można przenieść danych służbowych do profilu osobistego.
- w pełni zarządzane urządzenia z systemem Android Enterprise: urządzenia należące do organizacji skojarzone z jednym użytkownikiem i są używane wyłącznie do pracy.
Struktura konfiguracji zabezpieczeń systemu Android Enterprise jest zorganizowana w kilka odrębnych scenariuszy konfiguracji, które zawierają wskazówki dotyczące profilów służbowych i w pełni zarządzanych scenariuszy.
Napiwek
Jak opisano wcześniej, poziom 2 jest mapowany na punkt początkowy lub zabezpieczenia na poziomie przedsiębiorstwa , a poziom 3 jest mapowany na wyspecjalizowane zabezpieczenia. Aby uzyskać więcej informacji, zobacz konfiguracje dostępu do tożsamości i urządzeń w modelu Zero Trust.
Ustawienia zgodności dla urządzeń z profilem służbowym systemu Android Enterprise
- Nie ma podstawowej oferty zabezpieczeń (poziom 1) dla urządzeń z profilem służbowym należącym do użytkownika. Dostępne ustawienia nie uzasadniają różnicy między poziomem 1 i poziomem 2.
- Zwiększone zabezpieczenia profilu służbowego (poziom 2): Zalecamy stosowanie tej konfiguracji jako minimalnych zalecanych zabezpieczeń dla urządzeń osobistych, które uzyskują dostęp do danych służbowych. Ta konfiguracja wprowadza wymagania dotyczące haseł, oddziela dane służbowe i osobowe oraz weryfikuje zaświadczania urządzeń z systemem Android.
- wysoki poziom zabezpieczeń profilu służbowego (poziom 3): zalecamy tę konfigurację dla urządzeń używanych przez określonych użytkowników lub grup, które są narażone na wyjątkowo wysokie ryzyko. Na przykład użytkownicy, którzy obsługują wysoce poufne dane, w przypadku których nieautoryzowane ujawnienie spowodowałoby znaczną utratę organizacji. Ta konfiguracja wprowadza usługę Mobile Threat Defense lub Microsoft Defender dla punktu końcowego, ustawia minimalną wersję systemu Android, włącza silniejsze zasady haseł i dodatkowo oddziela dane służbowe i osobowe.
Ustawienia zgodności dla w pełni zarządzanych urządzeń z systemem Android Enterprise
- w pełni zarządzane podstawowe zabezpieczenia (poziom 1): zalecamy tę konfigurację jako minimalne zabezpieczenia dla urządzenia przedsiębiorstwa. Ta konfiguracja ma zastosowanie do większości użytkowników mobilnych, którzy korzystają z danych w pracy lub szkole. Ta konfiguracja wprowadza wymagania dotyczące haseł, ustawia minimalną wersję systemu Android i włącza określone ograniczenia dotyczące urządzeń.
- w pełni zarządzane rozszerzone zabezpieczenia (poziom 2): zalecamy tę konfigurację dla urządzeń, które uzyskują dostęp do poufnych danych lub informacji poufnych. Ta konfiguracja umożliwia silniejsze zasady haseł i wyłącza możliwości użytkownika/konta.
- w pełni zarządzane urządzenia o wysokim poziomie zabezpieczeń (Poziom 3): zalecamy tę konfigurację dla urządzeń używanych przez określonych użytkowników lub grup, które są narażone na wyjątkowo wysokie ryzyko. Na przykład użytkownicy, którzy obsługują wysoce poufne dane, w przypadku których nieautoryzowane ujawnienie spowodowałoby znaczną utratę organizacji. Ta konfiguracja zwiększa minimalną wersję systemu Android, wprowadza ochronę przed zagrożeniami mobilnymi lub Microsoft Defender for Endpoint i wymusza dodatkowe ograniczenia urządzeń.
Zalecane ustawienia zgodności dla systemu Windows 10 lub nowszego
Skonfiguruj następujące ustawienia zgodnie z opisem w temacie Ustawienia zgodności urządzeń dla systemu Windows 10/11 w usłudze Intune. Te ustawienia są zgodne z zasadami opisanymi w konfiguracjach dostępu do urządzeń i tożsamości w modelu Zero Trust.
Kondycja> urządzeniaReguły oceny usługi zaświadczania o kondycji systemu Windows:
Nieruchomość Wartość Wymagaj funkcji BitLocker Wymagaj Wymagaj włączenia bezpiecznego rozruchu na urządzeniu Wymagaj Wymagaj integralności kodu Wymagaj Właściwości> urządzeniaWersja systemu operacyjnego: wprowadź odpowiednie wartości dla wersji systemu operacyjnego na podstawie Twoich zasad IT i zabezpieczeń.
Nieruchomość Wartość Minimalna wersja systemu operacyjnego Maksymalna wersja systemu operacyjnego Minimalny system operacyjny wymagany dla urządzeń przenośnych Maksymalny wymagany system operacyjny dla urządzeń przenośnych Prawidłowe kompilacje systemu operacyjnego Zgodność menedżera konfiguracji:
Nieruchomość Wartość Wymaganie zgodności urządzeń z programu Configuration Manager Wybierz wymagane w środowiskach współzarządzanych przy użyciu programu Configuration Manager. W przeciwnym razie wybierz opcję Nie skonfigurowano. Zabezpieczenia systemu:
Nieruchomość Wartość hasło Wymagaj hasła do odblokowania urządzeń przenośnych Wymagaj Proste hasła Zablokowanie Typ hasła Ustawienie domyślne urządzenia Minimalna długość hasła 6 Maksymalna nieaktywność w ciągu kilku minut przed wymaganym hasłem 15 minut Wygaśnięcie hasła (dni) 41 Liczba poprzednich haseł, aby zapobiec ponownemu używaniu 5 Wymagaj hasła, gdy urządzenie powraca ze stanu bezczynności (urządzenia przenośne i holograficzne) Wymagaj Szyfrowanie Wymaganie szyfrowania magazynu danych na urządzeniu Wymagaj zapory Zapora sieciowa Wymagaj program antywirusowy Antywirus Wymagaj program antyszpiegowski Oprogramowanie chroniące przed złośliwym kodem Wymagaj Obrońca Ochrona przed złośliwym oprogramowaniem w usłudze Microsoft Defender Wymagaj Minimalna wersja ochrony przed złośliwym oprogramowaniem w usłudze Microsoft Defender Zalecamy użycie wartości, która nie jest starsza niż pięć wersji wstecz od najnowszej wersji. Aktualna sygnatura ochrony przed złośliwym oprogramowaniem w usłudze Microsoft Defender Wymagaj Ochrona w czasie rzeczywistym Wymagaj Microsoft Defender dla Endpoint:
Nieruchomość Wartość Wymagaj, aby urządzenie miało ocenę ryzyka maszynowego równą lub niższą Średni
Zasady dostępu warunkowego
Po utworzeniu zasad ochrony aplikacji i zasad zgodności urządzeń w usłudze Intune można włączyć wymuszanie przy użyciu zasad dostępu warunkowego.
Wymaganie uwierzytelniania wieloskładnikowego zależnie od ryzyka logowania
Postępuj zgodnie ze wskazówkami w temacie: Wymagaj uwierzytelniania wieloskładnikowego na potrzeby ryzyka związanego z podwyższonym poziomem uprawnień logowania w celu utworzenia zasad wymagających uwierzytelniania wieloskładnikowego na podstawie ryzyka logowania.
Podczas konfigurowania zasad użyj następujących poziomów ryzyka:
| Poziom ochrony | Poziomy ryzyka |
|---|---|
| Punkt początkowy | Średni i wysoki |
| Przedsiębiorstwa | Niski, średni i wysoki |
Blokuj klientów, którzy nie obsługują uwierzytelniania wieloskładnikowego
Postępuj zgodnie ze wskazówkami w: Blokuj starsze uwierzytelnianie za pomocąDostępu Warunkowego.
Użytkownicy wysokiego ryzyka muszą zmieniać hasło
Postępuj zgodnie ze wskazówkami w: Wymagaj zmiany hasła na bezpieczne dla użytkowników o podwyższonym ryzyku, aby wymusić zmianę hasła u użytkowników z poświadczeniami naruszonymi zabezpieczeniami.
Użyj tych zasad wraz z Microsoft Entra Password Protection, które wykrywają i blokują znane słabe hasła, ich warianty i określone terminy w organizacji. Korzystanie z ochrony haseł firmy Microsoft Entra gwarantuje, że zmienione hasła są silniejsze.
Wymagaj zatwierdzonych aplikacji lub zasad ochrony aplikacji
Musisz utworzyć zasady dostępu warunkowego, aby wymusić zasady ochrony aplikacji utworzone w usłudze Intune. Wymuszanie zasad ochrony aplikacji wymaga zasad dostępu warunkowego i odpowiednich zasad ochrony aplikacji.
Aby utworzyć zasady dostępu warunkowego, które wymagają zatwierdzonych aplikacji lub ochrony aplikacji, wykonaj kroki opisane w Wymagaj zatwierdzonych aplikacji klienckich lub zasad ochrony aplikacji. Te zasady zezwalają na dostęp do punktów końcowych platformy Microsoft 365 tylko w aplikacjach chronionych przez zasady ochrony aplikacji.
Blokowanie starszego uwierzytelniania dla innych aplikacji na urządzeniach z systemami iOS/iPadOS i Android gwarantuje, że te urządzenia nie mogą pominąć zasad dostępu warunkowego. Postępując zgodnie ze wskazówkami w tym artykule, już blokujesz klientów, którzy nie obsługują nowoczesnego uwierzytelniania.
Wymaganie zgodnych komputerów i urządzeń przenośnych
Uwaga
Przed włączeniem tych zasad sprawdź, czy twoje własne urządzenie jest zgodne. W przeciwnym razie można zablokować dostęp i użyć konta dostępu awaryjnego , aby odzyskać dostęp.
Zezwalaj na dostęp do zasobów dopiero po ustaleniu zgodności urządzenia z zasadami zgodności usługi Intune. Aby uzyskać więcej informacji, zobacz Wymagaj zgodności urządzeń z dostępem warunkowym.
Możesz zarejestrować nowe urządzenia w usłudze Intune, nawet jeśli wybierzesz pozycję Wymagaj, aby urządzenie było oznaczone jako zgodne dla Wszyscy użytkownicy i Wszystkie aplikacje w chmurze w zasadach. Wymagaj, aby urządzenie było oznaczone jako zgodne, nie blokuje rejestracji w usłudze Intune ani dostępu do aplikacji Microsoft Intune Web Company Portal.
Aktywacja subskrypcji
Jeśli Twoja organizacja używa aktywacji subskrypcji systemu Windows, aby umożliwić użytkownikom przejście na wyższą wersję systemu Windows, należy wykluczyć interfejsy API usługi Sklepu Uniwersalnego i aplikację internetową (AppID: 45a330b1-b1ec-4cc1-9161-9f03992aa49f) ze zgodności urządzenia.
Zawsze wymagaj uwierzytelniania wieloetapowego
Wymagaj uwierzytelniania wieloskładnikowego dla wszystkich użytkowników, postępując zgodnie ze wskazówkami w tym artykule: Wymagaj uwierzytelniania wieloskładnikowego dla wszystkich użytkowników.
Następne kroki
Dowiedz się więcej o zaleceniach dotyczących zasad dotyczących dostępu gościa