DoD 零信任 策略和藍圖概述國防部元件和國防工業基地(DIB)合作夥伴根據 零信任 原則採用新的網路安全架構的路徑。 零信任 可消除傳統周邊和信任假設,以更有效率的架構來增強安全性、用戶體驗和任務效能。
本指南針對 DoD 零信任 功能執行藍圖中的 152 個 零信任 活動提供建議。 這些區段會對應 DoD 零信任 模型的七個支柱。
使用下列連結來移至指南的章節。
2 裝置
本節具有裝置支柱中 DoD 零信任 活動的Microsoft指導方針和建議。 若要深入瞭解,請參閱使用 零信任 保護端點。
2.1 裝置清查
Microsoft Intune 和 適用於端點的 Microsoft Defender 設定、評估健康情況,以及探索裝置的軟體弱點。 使用 Microsoft Entra ID 和 Microsoft Intune 整合來強制執行符合規範的資源存取裝置原則。
| DoD 活動描述和結果 | Microsoft指引和建議 |
|---|---|
Target2.1.1 裝置健康情況工具差距分析DoD 組織會開發環境中裝置的手動清查。 在清查中追蹤的裝置屬性會啟用 ZTA 目標層級中所述的功能。 結果: - 每個具有擁有者的組織會建立裝置的手動清查 |
Microsoft Entra ID 使用 Microsoft Entra ID 註冊終端使用者裝置,並從 Microsoft Entra 系統管理中心管理裝置身分識別。 [裝置概觀] 頁面會追蹤裝置資產、管理狀態、操作系統、聯結類型和擁有者。 - 已註冊的裝置 混合式聯結裝置 - 列出裝置- - 管理裝置身分識別 Microsoft Entra Connect Sync 使用 Connect Sync 同步處理 Active Directory 受控裝置與Microsoft Entra ID。 - 混合式已加入裝置 Microsoft Intune 從 Microsoft Intune 系統管理中心檢視受管理裝置的相關信息。 使用收集診斷遠端動作,從 Windows 裝置擷取診斷。 - 裝置詳細- 數據 Windows 裝置診斷Microsoft Endpoint Configuration Manager 使用共同管理將 Configuration Manager 部署連結至 Microsoft 365 雲端。 - 共同管理 適用於端點的 Microsoft Defender 在 Microsoft Defender 入口網站中,檢視受適用於端點的 Defender 保護的裝置。 - 裝置清查 |
Target2.1.2 NPE/PKI,管理下的裝置DoD 組織會利用 DoD Enterprise PKI 解決方案 / 服務,將 x509 憑證部署至所有支援的受管理裝置。 其他支援 x509 憑證的 Nonperson 實體 (NPE) 會在 PKI 和/或 IdP 系統中指派。 結果: - 非人員實體是透過組織 PKI 和組織 IDP 來管理 |
Microsoft Intune 新增 Intune 憑證連接器,以在端點上布建憑證。 - 憑證連接器 - 驗證 憑證 使用Intune網路配置文件來協助受控裝置向網路進行驗證。 新增簡單的憑證註冊通訊協定 (SCEP) 憑證。 - 裝置Wi-Fi設定 - Windows裝置有線網路設定 整合Intune與網路訪問控制(NAC) 合作夥伴,以在裝置存取內部部署資源時保護您的數據。 - NAC 整合 應用程式管理原則 設定租使用者應用程式管理原則,將應用程式認證限制為企業 PKI 所簽發的憑證。 請參閱使用者中的Microsoft指引 1.9.1。 Azure IoT 中樞 設定 Azure IoT 中樞,以使用並強制執行 X.509 驗證。 - 使用 x509 憑證 驗證身分識別 適用於身分識別的 Microsoft Defender 如果您的組織使用 Active Directory 憑證服務 (AD CS) 裝載其 PKI、部署適用於身分識別的 Defender 感測器,以及設定 AD CS 的稽核。 - AD CS 感測器 - 設定AD CS的稽核 |
Target2.1.3 企業 IDP Pt1DoD 會使用集中式技術或同盟組織技術來整合非個人實體(NPE),例如裝置和服務帳戶。 在適用於是否整合的企業 裝置管理 解決方案中,會追蹤整合。 無法與IdP整合的NPE會標示為淘汰,或使用以風險為基礎的方法除外。 結果: - 包含裝置的 NPE 與企業 IdP 整合 |
Microsoft已加入 Entra 的裝置註冊 使用已加入Microsoft新裝置和重新建立映像的 Windows 用戶端裝置。 Microsoft已加入 Entra 的裝置已改善登入雲端應用程式的用戶體驗,例如 Microsoft 365。 使用者使用已加入 entra 的裝置Microsoft存取內部部署資源。 - 已加入的裝置 - SSO 到已加入裝置 上的內部部署資源,Microsoft Intune 設定已加入 Microsoft Entra 租使用者的 Windows 10 或 11 裝置自動註冊。 - 自動註冊 Microsoft Entra Connect Sync 如果您的組織使用 Connect Sync 將 Active Directory 與 Microsoft Entra ID 同步。若要使用 Microsoft Entra ID 自動註冊裝置,請設定已加入混合式裝置。 - 混合式聯結裝置 Microsoft Entra 應用程式 使用 Microsoft Entra 註冊應用程式,並使用服務主體以程式設計方式存取 Microsoft Entra 和受保護的 API,例如 Microsoft Graph。 設定應用程式管理原則以限制應用程式認證類型。 請參閱Microsoft指引 2.1.2。 Microsoft Entra 工作負載 ID 使用工作負載身分識別同盟來存取 GitHub 動作和其他支援的案例中Microsoft Entra 受保護的資源。 - 工作負載身分識別同盟 受控識別 針對支援的 Azure 資源和已啟用 Azure Arc 的 VM 使用受控識別。 - Azure 資源- 已啟用 Azure Arc 的伺服器受控識別 Azure IoT 中樞 使用 Microsoft Entra 標識符來驗證對 Azure IoT 中樞 服務 API 的要求。 - 控制對 IoT 中樞 的存取 |
Advanced2.1.4 企業 IDP Pt2DoD 企業識別提供者 (IdP) 會使用集中式技術或同盟組織技術,為 NPE 新增額外的動態屬性,例如位置、使用模式等。 結果: - 條件式裝置屬性是 IdP 設定檔的一部分 |
適用於端點的 Microsoft Defender 適用於端點的Defender到終端使用者桌面裝置、受控行動裝置和伺服器。 - 使用 Intune 將適用於端點的裝置上線 裝置- 上線,Microsoft Intune 使用 Intune 管理終端使用者裝置。- 設定受管理裝置的 Intune 合規性政策。 在 Intune 合規性政策中包含 適用於端點的 Microsoft Defender 計算機風險分數。 - 規劃裝置風險層級 - 合規性政策 合規性政策- :- 在 Intune Android Enterprise 安全性 - 設定 iOS 和 Intune- 中的 iPadOS 裝置中設定 Windows 裝置。如果您的組織使用第三方 Mobile Threat Defense (MTD) 解決方案,請設定 Intune 連接器。 - MTD 設定 行動裝置應用程式管理 針對未註冊的裝置使用 Intune MAM 來設定及保護攜帶您自己的裝置的應用程式(BYOD)。 - 應用程式管理 |
2.2 裝置偵測與合規性
Microsoft Intune 合規性政策可確保裝置符合組織標準。 合規性原則可以根據安全性基準評估裝置設定。 原則會使用 適用於端點的 Microsoft Defender 保護狀態和計算機風險分數來判斷合規性。 條件式存取會使用裝置合規性狀態來為使用者和裝置做出動態存取決策,包括自備裝置 (BYOD)。
| DoD 活動描述和結果 | Microsoft指引和建議 |
|---|---|
Target2.2.1 實作 C2C/合規性型網路授權 Pt1與組織合作的 DoD 企業會開發符合 Connect 的原則、標準和需求。 一旦達成協議,解決方案採購就會啟動、選取廠商,而實作會從 ZT 目標環境中的基底層級功能開始(低風險)。 基底層級檢查是在新的符合連線解決方案中實作,能夠符合 ZTA 目標功能。 結果: - C2C 在企業層級強制執行低風險和測試環境 - 基本裝置檢查是使用 C2C 實作 |
Microsoft Intune 使用 Intune 管理裝置,並設定裝置合規性政策。 使用 Intune 行動應用程式管理 (MAM) 來保護未註冊 BYOD 上的應用程式。 請參閱 2.1.4 中的Microsoft指引。 條件式存取 在條件式存取原則中使用符合 Intune 規範的裝置訊號、位置和登入風險訊號。 根據裝置屬性使用條件式存取原則的裝置篩選器。 - 需要合規性裝置- - 條件篩選使用 Intune 的裝置- 條件式存取 Microsoft Entra 工作負載 ID 使用風險和位置控制為工作負載身分識別建立條件式存取原則。 - 工作負載身分 - 識別的條件式存取保護工作負載身分識別 |
Advanced2.2.2 實作 C2C/合規性型網路授權 Pt2DoD 組織擴充符合 ZT 進階功能所需的所有支持環境,以部署和使用符合符合 ZT 進階功能。 遵守 Connect 小組將其解決方案與企業 IdP 和授權閘道整合,以更妥善地管理資源的存取和授權。 結果: - 在所有支援的環境中 強制執行 C2C- 進階裝置檢查已完成並與動態存取、企業 IdP 和 ZTNA 整合。 |
Microsoft Entra 應用程式 整合應用程式,並使用 Microsoft Entra 識別符控管使用者存取權。 請參閱 user 中的Microsoft指引 1.2.4。 Microsoft Intune 和 適用於端點的 Microsoft Defender 使用 Intune 管理裝置、部署適用於端點的 Defender,以及使用適用於端點的 Defender 計算機風險分數來設定裝置合規性原則。 請參閱本節中的Microsoft指引 2.1.4。 條件式存取 :建立需要相容裝置才能存取應用程式的條件式存取原則。 請參閱 2.2.1 中的Microsoft指導方針。 Microsoft Entra 應用程式 Proxy 部署應用程式 Proxy或安全的混合式存取 (SHA) 合作夥伴解決方案,以透過 零信任 網路存取 (ZTNA) 為內部部署和舊版應用程式啟用條件式存取。 - 具有 Microsoft Entra 整合 的 SHA Microsoft Tunnel Tunnel 是一種虛擬專用網 (VPN) 網關解決方案,適用於受 Intune 管理的裝置,以及使用 Intune 管理的應用程式進行未註冊的裝置。 Tunnel 會使用 Microsoft Entra ID 進行驗證,並使用條件式存取原則來存取內部部署應用程式。 - Intune 的通道 |
2.3 裝置授權與實時檢查
條件式存取是Microsoft雲端產品和服務 零信任 原則引擎。 在IdP上評估 零信任 原則會先套用調適型控件,再存取資源,藉此推進符合規範的連線 (C2C) 模型。 條件式存取原則會使用來自 Microsoft Entra ID、Microsoft Defender 全面偵測回應 和 Microsoft Intune 的安全性訊號。
Microsoft Defender 全面偵測回應元件會使用機器學習 (ML) 偵測來評估裝置和身分識別風險層級,以及啟用動態、風險型決策,以允許、封鎖或控制對數據、應用程式、資產和服務 (DAAS) 的存取。
| DoD 活動描述和結果 | Microsoft指引和建議 |
|---|---|
Advanced2.3.1 實體活動監視 Pt1使用開發的使用者和裝置基準,DoD 組織會利用實作的使用者和實體行為活動 (UEBA) 解決方案來整合基準。 UEBA 裝置屬性和基準可用於裝置授權偵測。 結果: - UEBA 屬性已針對裝置基準 整合-UEBA 屬性可用於使用裝置存取 |
Microsoft Intune 和 適用於端點的 Microsoft Defender 使用 Intune 管理裝置、部署適用於端點的 Defender,以及使用適用於端點的 Defender 計算機風險分數來設定裝置合規性原則。 請參閱 2.1.4 中的Microsoft指引。 條件式存取 :建立需要相容裝置以進行應用程式存取的條件式存取原則。 請參閱 2.2.1 中的Microsoft指引。 Microsoft Entra ID Protection Microsoft Entra ID Protection 中設定身分識別風險層級的條件式存取原則。 請參閱 user 中的Microsoft指引 1.6.1。 |
Advanced2.3.2 實體活動監視 Pt2DoD 組織利用使用者和實體行為活動 (UEBA) 解決方案搭配網路存取解決方案來授權 UEBA 屬性(例如裝置健康情況、登入模式等)來存取環境和資源。 結果: - 裝置存取需要 UEBA 屬性 |
條件式存取 在條件式存取 原則中使用符合 Intune 規範的裝置狀態、位置和身分識別風險訊號。 使用裝置篩選器,根據裝置屬性以條件式存取原則為目標。 請參閱 2.2.1 和 2.3.1 中的Microsoft指引。 |
Target2.3.3 實作應用程控和檔案完整性監視 (FIM) 工具DoD 組織會採購並實作檔案完整性監視 (FIM) 和應用程控解決方案。 FIM 會繼續開發和擴充數據支柱中的監視。 應用程控會部署至僅監視模式中建立基準津貼的低風險環境。 與企業和組織 PKI 環境整合的應用程式控制小組會利用應用程式津貼的憑證。 NextGen AV 涵蓋所有可能的服務和應用程式 結果: - AppControl 和 FIM 工具會在所有重要服務/應用程式上實作- EDR 工具涵蓋服務/應用程式 的最大數量 - AppControl 和 FIM 數據會視需要傳送至 C2C |
適用於端點的 適用於端點的 Microsoft Defender Defender 會匯總來自檔案完整性監視 (FIM)、應用程控、新一代防病毒軟體 (NGAV) 等機器風險分數的訊號。 - 適用於受管理裝置 - 的新一代保護- 防毒受控制資料夾存取 Microsoft Intune Microsoft 在 Intune 中設定應用程控安全策略。 - 具有商務 - 用 App Control 的已核准應用程式 Windows Defender AppControl 原則和檔案規則 條件式存取 若要達到符合性連線 (C2C) 模型,請將應用程式與 Microsoft Entra 標識符整合,並要求條件式存取中的兼容裝置授與控制。 請參閱 2.2.2 中的Microsoft指引。 |
Advanced2.3.4 整合 NextGen AV Tools C2CDoD 組織會視需要採購並實作新一代防病毒軟體和反惡意代碼解決方案。 這些解決方案會與[遵守連線] 的初始部署整合,以取得簽章、更新等基準狀態檢查。 結果: - 重要 NextGen AV 數據會傳送至 C2C 進行檢查 - NextGen AV 工具會在所有重要服務/應用程式上實作 |
Microsoft Intune 建立防毒和 適用於端點的 Microsoft Defender 計算機風險分數的裝置合規性原則。 - 端點安全性 的防毒原則 請參閱 2.2.2 中的Microsoft指導方針。 |
Advanced2.3.5 適當地將裝置安全性堆疊與 C2C 完全整合DoD 組織會繼續將應用程控部署至所有環境和預防模式。 檔案完整性監視 (FIM) 和應用程控分析已整合至符合連線,以擴充存取決策數據點。 遵守 Connect 分析會評估為進一步的裝置/端點安全性堆疊數據點,例如 UEDM,並視需要整合。 結果: - AppControl 和 FIM 部署已擴充至所有必要的服務/應用程式 - 裝置安全性工具的剩餘數據會使用 C2C 實作 |
完成活動 2.3.4。 適用於雲端的 Microsoft Defender 應用程式 使用 適用於雲端的 Defender Apps 原則識別及控制有風險的雲端應用程式。 - 使用原則控制雲端應用程式 |
Advanced2.3.6 企業 PKI Pt1DoD 企業公鑰基礎結構 (PKI) 已擴充,以包含 NPE 和裝置憑證的新增。 不支援 PKI 憑證的 NPE 和裝置會標示為淘汰和解除委任。 結果: -無法有憑證的裝置已逐步淘汰及/或移至最低存取環境 - 所有裝置和 NPE 皆已安裝憑證,以在企業 PKI 中驗證 |
Microsoft Intune 使用 Microsoft Intune 將 DoD PKI 憑證部署至裝置。 請參閱 2.1.2 中的Microsoft指引。 應用程式管理原則 設定租使用者應用程式管理原則,將應用程式認證限制為企業 PKI 所簽發的憑證。 請參閱 user 中的Microsoft指引 1.5.3。 適用於雲端的 Microsoft Defender 應用程式 設定存取原則以要求客戶端憑證進行應用程式存取,並封鎖未經授權的裝置存取。 - 存取原則 |
Advanced2.3.7 企業 PKI Pt2DoD 組織會利用憑證進行裝置驗證,以及計算機對計算機通訊。 不支援的裝置會使用以風險為基礎的方法核准淘汰和例外狀況。 結果: - 需要裝置才能進行驗證,才能與其他服務和裝置通訊 |
Microsoft Intune 和條件式存取 整合應用程式與 Microsoft Entra ID、使用 Intune 管理裝置、使用 適用於端點的 Microsoft Defender 保護裝置,以及設定合規性政策。 包含適用於端點的Defender機器風險分數的合規性政策。 要求條件式存取原則中的相容授與控制。 請參閱 2.2.2 中的Microsoft指引。 |
2.4 遠端訪問
Microsoft Entra ID 是預設的拒絕識別提供者 (IdP)。 如果您使用 Microsoft Entra 進行應用程式登入,則用戶必須先驗證並傳遞條件式存取原則檢查,再Microsoft Entra 授權存取。 您可以使用 Microsoft Entra ID 來保護裝載於雲端或內部部署的應用程式。
| DoD 活動描述和結果 | Microsoft指引和建議 |
|---|---|
Target2.4.1 預設拒絕裝置DoD 組織會封鎖所有 Unmanaged 遠端和本機裝置對資源的存取。 符合規範的受管理裝置會遵循 ZTA 目標層級概念來提供風險型方法存取。 結果: - 元件預設會封鎖裝置存取資源(應用程式/數據),並明確允許每個 原則的相容裝置- 遠端訪問是遵循「預設拒絕裝置原則」方法啟用 |
Microsoft Entra ID 應用程式 預設會拒絕存取受Microsoft Entra ID 保護的應用程式和資源。 資源存取需要條件式存取原則的驗證、作用中權利和授權。 - 將應用程式應用程式 - 整合 Microsoft Intune 管理裝置與 Intune。 設定裝置合規性原則。 針對所有使用者和應用程式,要求條件式存取原則中的相容裝置。 請參閱 2.2.1 中的Microsoft指引。 |
Target2.4.2 受控和有限的 BYOD 和 IOT 支援DoD 組織會利用整合端點和 裝置管理 (UEDM) 和類似的解決方案,以確保受控攜帶您自己的裝置 (BYOD) 和物聯網 (IoT) 裝置已與企業 IdP 完全整合,可支援使用者和裝置型授權。 所有應用程式的裝置存取都需要動態存取原則。 結果: - 所有應用程式都需要裝置 的動態許可權存取權-BYOD 和 IOT 裝置許可權會基準並與企業 IDP 整合 |
完成活動 2.4.1。 Microsoft Intune 使用 Intune 裝置管理和行動應用程式管理來攜帶您自己的裝置(BYOD)。 - 未註冊裝置的行動應用程式 - 管理 應用程式防護 原則 條件式存取 在所有使用者和應用程式的條件式存取中需要符合規範的裝置和/或應用程式保護原則。 - 已核准的用戶端應用程式或應用程式保護原則 - 應用程式防護 Windows 裝置 上的原則 Microsoft Entra 外部 ID 設定跨租使用者存取設定,以信任信任合作夥伴的相容裝置控件。 - 適用於適用於IoT的IoT部署Defender感測器的B2B共同 作業Microsoft適用於IoT 的Defender的跨租使用者存取設定,也可用來監視及保護IoT和操作技術 (OT) 裝置。 確定裝置軟體是最新的,並變更本機密碼。 請勿使用默認密碼。 - 適用於IoT- IoT的Defender和OT安全性,零信任 - US國家網路安全策略來保護IoT |
Advanced2.4.3 受控和完整的 BYOD 和 IOT 支援 Pt1DoD 組織會使用整合端點和 裝置管理 (UEDM) 和類似的解決方案,以使用動態存取原則來啟用受控和核准裝置對任務和操作關鍵服務/應用程式的存取。 授權之前,需要 BYOD 和物聯網 (IoT) 裝置才能符合標準基準檢查。 結果: - 只有 BYOD 和 IOT 裝置符合允許存取資源的 授權設定標準 - 關鍵服務需要裝置的動態存取 |
完成活動 2.4.2。 適用於雲端的 Microsoft Defender 應用程式 設定存取原則以要求客戶端憑證才能存取應用程式。 封鎖未經授權的裝置存取。 請參閱 2.3.6 中的Microsoft指引。 |
Advanced2.4.4 受控和完整的 BYOD 和 IOT 支援 Pt2DoD 組織會利用整合端點和 裝置管理 (UEDM) 和類似的解決方案來啟用非受控裝置會議裝置檢查和標準基準的存取。 所有可能的服務/應用程式都會整合,以允許存取受管理的裝置。 非受控裝置會根據風險驅動方法與服務/應用程式整合。 結果: - 所有可能的服務都需要裝置的動態存取 |
Azure 虛擬桌面部署 Azure 虛擬桌面 (AVD) 以支援從非受控裝置進行遠端訪問。 將AVD會話主機 VM 加入 Microsoft Entra,並管理 Microsoft Intune 的合規性。 允許從非受控裝置使用無密碼或無密碼網路釣魚驗證器登入AVD。 - Microsoft已加入 AVD - 驗證強度 的 VM 適用於雲端的 Microsoft Defender 應用程式使用 適用於雲端的 Defender Apps 會話控件來監視和限制來自非受控裝置的 Web 會話。 - 會話原則 |
2.5 部分且完全自動化的資產、弱點和修補程式管理
Microsoft端點管理員支援雲端式和混合式(共同管理)解決方案以進行裝置管理。 設定和合規性原則可確保裝置符合組織的修補程式層級和安全性設定需求。
| DoD 活動描述和結果 | Microsoft指引和建議 |
|---|---|
Target2.5.1 實作資產、弱點和修補程式管理工具DoD 組織會實作解決方案來管理資產/裝置組態、弱點和修補程式。 使用最低合規性標準(例如 STIG 等)小組可以確認或拒絕受管理的裝置合規性。 作為解決方案的採購和實作程式的一部分,API 或其他程式設計介面將在未來的自動化和整合層級範圍內。 結果: - 元件可以確認裝置是否符合最低合規性標準- 元件具有資產管理、弱點和修補具有 API 的系統,以啟用跨系統整合的 API |
Microsoft Intune 管理 Intune 中的裝置。 請參閱 2.1.4 中的Microsoft指引。 針對舊版端點裝置使用Microsoft端點管理員共同管理。 - 端點管理 - 共同管理 使用 Intune 管理的裝置平台設定和更新原則。 - iOS 和 iPadOS 軟體更新原則 macOS 軟體更新原則 - - Android FOTA 更新- Windows 10 和 11 更新 適用於端點的 Microsoft Defender 使用 Microsoft Intune 整合 適用於端點的 Microsoft Defender。 使用 Microsoft Intune 設定原則補救端點弱點。 - - Microsoft Defender 弱點管理 使用 Microsoft Intune 和 適用於端點的 Microsoft Defender 所識別的弱點 |
2.6 統一端點管理和行動裝置管理
Microsoft Intune 設定和合規性原則可確保裝置符合組織安全性設定需求。 Intune 會評估合規性政策,並將裝置標示為符合規範或不符合規範。 條件式存取原則可以使用裝置合規性狀態來封鎖不符合規範裝置的使用者存取受Microsoft Entra標識符保護的資源。
Microsoft Entra 外部 ID 跨租使用者存取設定包括來賓共同作業的信任設定。 您可以為每個合作夥伴租使用者自定義這些設定。 當您信任來自另一個租使用者的相容裝置時,使用其主租使用者中相容裝置的來賓滿足需要租使用者中相容裝置的 Condtional Access 原則。 您不需要對條件式存取原則進行例外狀況,以避免封鎖外部來賓。
| DoD 活動描述和結果 | Microsoft指引和建議 |
|---|---|
Target2.6.1 實作 UEDM 或對等工具DoD 組織將與「實作資產、弱點和修補程式管理工具」活動密切合作,以採購和實作和整合端點和 裝置管理 (UEDM) 解決方案,確保需求與採購程式整合。 一旦採購解決方案之後,UEDM 小組可確保重要的 ZT 目標功能,例如最低合規性、資產管理和 API 支援。 結果: -元件可以確認裝置是否符合最低合規性標準或不符合 -元件對於維護IT合規性的使用者裝置(手機、桌面電腦、膝上型電腦)具有資產管理系統(s),而該裝置會報告至 DoD 企業 -元件資產管理系統可以程式設計方式,也就是 API,提供裝置合規性狀態,以及是否符合最低標準 |
完成活動 2.3.2。 Microsoft Intune 裝置合規性狀態會由條件式存取中的 Intune 合規性訊號與識別提供者 (IdP), Microsoft Entra ID 整合。 在 Microsoft Entra 系統管理中心或使用 Microsoft Graph API 檢視裝置合規性狀態。 - 合規性政策 - Intune 報告 Microsoft Entra 外部 ID 若要將裝置合規性政策延伸至組織外部的使用者,請設定跨租使用者存取設定,以信任來自受信任 DoD 租使用者的 MFA 和相容的裝置宣告。 - 跨租使用者存取 Microsoft Graph API Microsoft Graph API 查詢裝置合規性狀態。 - 合規性和隱私權 API |
Target2.6.2 Enterprise 裝置管理 Pt1DoD 組織會使用整合端點和 裝置管理 解決方案,將手動裝置清查移轉至自動化方法。 無論位置為何,核准的裝置都可以管理。 重要服務的裝置必須受統一端點管理,並支援自動化 裝置管理 解決方案。 結果: - 手動清查與重要服務的 自動化管理解決方案整合 - 啟用 ZT 裝置管理 (從具有或沒有遠端訪問的任何位置) |
Microsoft Intune 和條件式存取 使用 Microsoft Intune 管理裝置。 設定裝置合規性原則。 需要符合規範的裝置條件式存取原則。 請參閱 2.1.4 中的Microsoft指引。 |
Target2.6.3 Enterprise 裝置管理 Pt2DoD 組織會將其餘裝置移轉至 Enterprise 裝置管理 解決方案。 EDM 解決方案會適當地與風險和合規性解決方案整合。 結果: - 手動清查會與所有服務的自動化管理解決方案整合 |
Microsoft Intune 和條件式存取 使用 Intune 管理裝置。 設定裝置合規性原則。 條件式存取原則中需要符合規範的裝置。 請參閱 2.1.4 中的Microsoft指引。 |
2.7 端點和擴充偵測和回應 (EDR 和 XDR)
Microsoft Defender 全面偵測回應 統一防禦套件會協調端點、身分識別、電子郵件和應用程式的偵測、預防、調查和回應。 Microsoft Defender 全面偵測回應元件偵測並防禦複雜的攻擊。
Microsoft Defender 全面偵測回應元件的整合可延伸裝置以外的保護。 請參閱Microsoft Entra ID Protection 中參與用戶風險層級的範例偵測事件:
- Microsoft適用於 Office 的 Defender 偵測到可疑的電子郵件傳送模式
- 適用於雲端的 Microsoft Defender Apps 中不可能的移動偵測
- 嘗試存取 適用於端點的 Microsoft Defender 偵測到的主要重新整理令牌
風險型條件式存取原則可以保護、限制或封鎖對有風險使用者的雲端服務的存取,即使他們在受信任的網路上使用符合規範的裝置也一樣。
若要深入瞭解,請參閱啟用 Microsoft Defender 全面偵測回應元件,以及哪些風險?
| DoD 活動描述和結果 | Microsoft指引和建議 |
|---|---|
Target2.7.1 實作端點偵測和回應 (EDR) 工具和與 C2C整合DoD 組織會在環境中採購並實作端點偵測和回應 (EDR) 解決方案。 EDR 正在保護、監視及回應啟用 ZT 目標功能的惡意和異常活動,並將數據傳送至符合連線解決方案以進行擴充的裝置和用戶檢查。 結果: - 已實 作端點偵測和回應工具 - 重大 EDR 數據會傳送至 C2C 進行檢查 - NextGen AV 工具涵蓋服務/應用程式數量上限 |
適用於終端使用者裝置的適用於端點的 適用於端點的 Microsoft Defender Deploy Defender。 請參閱本節中的Microsoft指引 2.3.1。 Microsoft Intune 設定 Intune 裝置合規性政策。 包含適用於端點的 Defender 計算機風險分數,以符合原則。 請參閱Microsoft指引 2.1.4。 在 2.3.2 中。 適用於雲端的 Microsoft Defender 適用於 Azure 中虛擬機 (VM) 訂用帳戶的適用於伺服器的 Defender 適用於雲端的 Microsoft Defender Enable Microsoft Defender。 適用於伺服器的 Defender 方案包括伺服器 適用於雲端的 Defender。 - 適用於伺服器的 Defender 使用已啟用 Azure Arc 的伺服器來管理及保護 Azure 外部的 Windows 和 Linux 實體伺服器和 VM。 針對裝載於 Azure 外部的伺服器部署 Azure Arc 代理程式。 將已啟用 Arc 的伺服器上線至受適用於伺服器的 Defender Microsoft 保護的訂用帳戶。 - 已啟用 Azure Arc 的伺服器 - Azure Connected Machine 代理程式 |
Target 2.7.2 實作擴充偵測和回應 (XDR) 工具,並與 C2C Pt1DoD 組織整合,並實作延伸偵測和回應 (XDR) 解決方案(s)。 識別具有跨支柱功能的整合點,並根據風險設定優先順序。 這些整合點的風險最大的是動作,並啟動整合。 EDR 會繼續涵蓋端點,以在 XDR 實作中包含服務與應用程式數目上限。 基本分析會從 XDR 解決方案堆疊傳送至 SIEM。 結果: - 已依功能 識別整合點- 已整合風險最高的整合點 w/ XDR - 基本警示已與 SIEM 和/或其他機制一起就緒 |
Microsoft Defender 全面偵測回應 Pilot 並部署 Microsoft Defender 全面偵測回應元件和服務。 - 適用於已部署 Microsoft Defender 全面偵測回應元件的 零信任 設定整合的 Defender XDR- Sentinel 和 Defender XDR。 - 適用於端點的 Defender 搭配適用於身分識別的 適用於雲端的 Defender Apps Defender 和 適用於雲端的 Defender Apps - Purview 資訊保護 和 適用於雲端的 Defender Apps - Microsoft Sentinel 設定 Sentinel 數據連接器Microsoft Defender 全面偵測回應。 啟用分析規則。 - 將 Defender XDR - Connect Defender XDR 數據安裝至 Sentinel |
Advanced2.7.3 實作擴充偵測和回應 (XDR) 工具,並與 C2C Pt2整合XDR 解決方案堆疊會完成整合點的識別,將涵蓋範圍擴充到可能的最大數量。 使用持續作業的風險型方法追蹤和管理例外狀況。 啟用 ZT 進階功能的擴充分析會整合到 SIEM 和其他適當的解決方案中。 結果: - 剩餘整合點已適當 地整合- 至少使用 SIEM 與其他分析工具一起啟用擴充警示和回應 |
Microsoft Defender 全面偵測回應 在您的安全性作業策略中使用 Microsoft Defender 全面偵測回應。 - 將 Defender XDR 整合到安全性作業 |
下一步
設定 DoD 零信任 策略的Microsoft雲端服務: