本文提供了有关使用 Microsoft 365 商业高级版部署零信任的指导和资源,以及中小企业常用的其他技术。 这些资源可帮助你实现零信任原则:
- 显式验证:始终使用标识和设备访问策略进行身份验证和授权。
- 使用最低特权访问:仅向用户提供所需的访问权限,以及执行其任务所需的时间。
- 假设入侵:尽量阻止攻击,防范威胁,然后准备好做出响应。
本文还包括Microsoft合作伙伴的信息和资源。
Microsoft 365 商业高级版的配置指南
Microsoft 365 商业高级 版是专为中小企业设计的综合性云生产力和安全解决方案。 本文中的指南使用 Business Premium 中提供的功能在端到端配置过程中应用零信任原则。
| 网络安全 playbook | Description |
|---|---|
|
在此库中:
|
有关详细信息,请参阅以下资源:
| 零信任原则 | 满足者 |
|---|---|
| 显式验证 | 使用安全默认值(或条件访问)启用多重身份验证(MFA)。 此配置要求用户注册 MFA。 它还通过旧式身份验证(不支持新式身份验证的设备)禁用访问权限,并要求管理员每次登录时进行身份验证。 |
| 使用最低权限访问 | 提供了保护管理员帐户而不是将这些帐户用于用户任务的指导。 |
| 假定遭遇安全漏洞 | 通过使用预设的安全策略来增强对恶意软件和其他网络安全威胁的保护。 提供了指导,用于培训团队以设置非托管、个人拥有的设备(BYOD),安全地使用电子邮件,并更安全地进行协作和共享。 还提供了保护托管设备(通常为公司拥有的设备)的指导。 |
其他威胁防护
Business Premium 包括 Microsoft Defender for Business,它为设备提供全面的安全性,并提供针对中小企业优化的简化配置体验。 功能包括威胁和漏洞管理、下一代防护(防病毒和防火墙)、自动调查和修正等。
商业高级版还包括针对电子邮件内容和 Office 文件(安全链接和安全附件)的高级反钓鱼、反垃圾邮件和反恶意软件防护,以及 Microsoft Defender for Office 365 计划 1。 借助这些功能,电子邮件和协作内容更安全且受到更好的保护。
有关详细信息,请参阅以下资源:
| 零信任原则 | 满足者 |
|---|---|
| 显式验证 | 访问公司数据的设备必须满足安全要求。 |
| 使用最低权限访问 | 提供了有关使用角色分配权限和安全策略以防止未经授权的访问的指导。 |
| 假定遭遇安全漏洞 | 为设备、电子邮件和协作内容提供高级保护。 检测到威胁时,将采取修正措施。 |
合作伙伴指南和工具
如果你是Microsoft合作伙伴,可以使用多个资源来帮助管理业务客户的安全性。 这些资源包括学习路径、指南和集成。
解决方案安全合作伙伴指定使客户能够将你标识为合作伙伴,他们可以信任集成的安全性、合规性和标识解决方案。 请参阅安全学习路径解决方案合作伙伴(Microsoft合作伙伴中心)。
指导资源可帮助客户审查授予合作伙伴的权限和管理访问权限。 还提供了指导来帮助Microsoft托管安全服务提供商(MSSP)与其客户组织集成。 如需了解更多信息,请参阅以下文章:
资源可用于帮助你作为Microsoft合作伙伴来管理客户的安全设置,并帮助保护其设备和数据。 Microsoft 365 Lighthouse 与 Microsoft 365 商业高级版、 Microsoft Defender for Business 和 Microsoft Defender for Endpoint 集成。
Defender for Endpoint API 可用于将 Business Premium 中的设备安全功能与远程监视和管理(RMM)工具和专业服务自动化(PSA)软件集成。 请参阅以下文章:
| 零信任原则 | 满足者 |
|---|---|
| 显式验证 | 资源可帮助Microsoft合作伙伴为其客户配置和管理标识、访问方法和策略。 |
| 使用最低权限访问 | 合作伙伴可以配置与客户组织的集成。 客户可以查看授予合作伙伴的权限和管理访问权限。 |
| 假定遭遇安全漏洞 | Microsoft 365 Lighthouse 与中小企业Microsoft威胁防护功能集成。 |
保护你或你的客户使用的其他 SaaS 应用
你或你的小型企业客户可能会使用其他软件即服务(SaaS)应用程序,如 Salesforce、Adobe Creative Cloud 和 DocuSign。 可以将这些应用程序与 Microsoft Entra ID 集成,并将这些应用程序包含在 MFA 和条件访问策略中。
Microsoft Entra 应用程序库是软件即服务(SaaS)应用程序的集合,这些应用程序与 Microsoft Entra ID 预先集成。 只需在画廊中找到应用并将其添加到您的环境中。 然后,应用程序可以包含在 MFA 和条件访问规则的范围内。 请参阅 Microsoft Entra 应用程序库概述。
将 SaaS 应用添加到环境后,这些应用将自动受到Microsoft Entra MFA 保护,以及安全默认值提供的其他保护。 如果使用条件访问策略而不是安全默认值,则需要将这些应用添加到条件访问和相关策略的范围。 请参阅 在 Microsoft 365 商业高级版中启用 MFA。
Microsoft Entra ID 根据位置、设备、角色和任务等因素确定何时提示用户输入 MFA。 此功能保护注册Microsoft Entra ID 的所有应用程序,包括 SaaS 应用程序。 请参阅 “要求用户在必要时执行 MFA”。
| 零信任原则 | 满足者 |
|---|---|
| 显式验证 | 添加的所有 SaaS 应用都需要多因素身份验证 (MFA) 才能访问。 |
| 使用最低权限访问 | 用户必须满足身份验证要求才能使用访问公司数据的应用。 |
| 假定遭遇安全漏洞 | 在对用户进行身份验证时,会考虑位置、设备、角色和任务等因素。 必要时使用 MFA。 |
更多零信任文档
根据文档集或组织中的角色,使用本部分中的零信任内容。
文档集
请遵循此表,了解所需的最佳零信任文档集。
| 文档集 | 帮助你... | 角色 |
|---|---|---|
| 为关键业务解决方案和结果提供阶段和步骤指导的采用框架 | 将零信任保护从高管层应用到 IT 实施。 | 安全架构师、IT 团队和项目经理 |
| 技术领域的常规部署指南的概念和部署目标 | 应用与技术领域一致的零信任保护。 | IT 团队和安全人员 |
| 零信任快速升级计划(RaMP) 为项目管理提供指导和便于实现成果的清单 | 快速实现零信任保护的关键层。 | 安全架构师和 IT 实施者 |
| 面向 Microsoft 365 的零信任部署计划,提供分步和详细的设计与部署指南 | 将零信任保护应用于 Microsoft 365 组织。 | IT 团队和安全人员 |
| 适用于 Microsoft Copilots 的零信任 分步且详细的设计和部署指南 | 将零信任保护应用于 Microsoft Copilots。 | IT 团队和安全人员 |
| 适用于 Azure 服务的零信任提供分步和详细的设计和部署指南 | 将零信任保护应用于 Azure 工作负荷和服务。 | IT 团队和安全人员 |
| 合作伙伴与零信任集成,针对技术领域和专门化提供设计指南 | 将零信任保护应用于合作伙伴Microsoft云解决方案。 | 合作伙伴开发人员、IT 团队和安全人员 |
| 在应用程序开发设计指南和最佳实践中 采用零信任原则进行开发 | 将零信任保护应用于应用程序。 | 应用程序开发人员 |
你的角色
请根据此表,获取在您的组织中为您的角色最合适的文档集。
| 角色 | 文档集 | 帮助你... |
|---|---|---|
| 安全架构师 IT 项目经理 IT 实现者 |
为关键业务解决方案和结果提供阶段和步骤指导的采用框架 | 将零信任保护从高管层应用到 IT 实施。 |
| IT 或安全团队的成员 | 技术领域的常规部署指南的概念和部署目标 | 应用与技术领域一致的零信任保护。 |
| 安全架构师 IT 实现者 |
零信任快速升级计划(RaMP) 为项目管理提供指导和便于实现成果的清单 | 快速实现零信任保护的关键层。 |
| Microsoft 365 的 IT 或安全团队的成员 | Microsoft 365 零信任部署计划以及 Microsoft 365 的分步详细设计和部署指南 | 将零信任保护应用于 Microsoft 365 组织。 |
| Microsoft Copilots 的 IT 或安全团队的成员 | 适用于 Microsoft Copilots 的零信任 分步且详细的设计和部署指南 | 将零信任保护应用于 Microsoft Copilots。 |
| Azure 服务的 IT 或安全团队的成员 | 适用于 Azure 服务的零信任提供分步和详细的设计和部署指南 | 将零信任保护应用于 Azure 工作负荷和服务。 |
| IT 或安全团队的合作伙伴开发人员或成员 | 合作伙伴与零信任集成,针对技术领域和专门化提供设计指南 | 将零信任保护应用于合作伙伴Microsoft云解决方案。 |
| 应用程序开发人员 | 在应用程序开发设计指南和最佳实践中 采用零信任原则进行开发 | 将零信任保护应用于应用程序。 |