本文提供使用 Microsoft 365 商務進階版和中小型企業常用的其他技術來部署零信任的指引和資源。 這些資源可協助您實現零信任的原則:
- 明確驗證:始終使用身分識別和裝置存取策略進行身份驗證和授權。
- 使用最低權限存取:僅為使用者提供他們需要的存取權限以及執行任務所需的時間。
- 假設違規:盡您所能防止攻擊、防範威脅,然後準備好回應。
本文也包含 Microsoft 合作夥伴的資訊和資源。
Microsoft 365 商務進階版的設定指引
Microsoft 365 商業高級版 是專為中小型企業設計的全面雲端生產力和安全解決方案。 本文中的指引會使用商務進階版中提供的功能,在端對端設定程式中套用零信任原則。
| 網路安全手冊 | Description |
|---|---|
|
在此程式庫中:
|
如需詳細資訊,請參閱下列資源:
| 零信任原則 | 被會見者 |
|---|---|
| 明確驗證 | 多重要素驗證 (MFA) 會使用安全性預設值 (或條件式存取) 來開啟。 此組態需要使用者註冊 MFA。 它也會停用透過舊版驗證 (不支援新式驗證的裝置) 進行存取,並要求系統管理員每次登入時進行驗證。 |
| 使用最低權限存取權 | 提供保護系統管理員帳戶的指引,以及不將這些帳戶用於使用者工作。 |
| 假設入侵 | 使用預設的安全策略可以增強對惡意軟體和其他網路安全威脅的保護。 提供指引,以訓練您的小組設定非受控個人擁有的裝置 (BYOD)、安全地使用電子郵件,以及更安全地共同作業和共用。 也提供保護受管理裝置 (通常是公司擁有的裝置) 的指引。 |
其他威脅防護
商務進階版包含適用於商務的 Microsoft Defender,可為裝置提供全面的安全性,並提供針對中小型企業最佳化的簡化設定體驗。 功能包括威脅和漏洞管理、下一代保護(防病毒和防火牆)、自動調查和補救等。
商務進階版還包括適用於 Office 365 的 Microsoft Defender Plan 1,為電子郵件內容和 Office 檔案(安全連結和安全附件)提供進階反網路釣魚攻擊、反垃圾郵件和反惡意代碼保護。 有了這些功能,您的電子郵件和協作內容將更加安全並得到更好的保護。
如需詳細資訊,請參閱下列資源:
| 零信任原則 | 被會見者 |
|---|---|
| 明確驗證 | 存取公司資料的裝置必須符合安全性需求。 |
| 使用最低權限存取權 | 提供使用角色指派權限和安全策略以防止未經授權的存取的指引。 |
| 假設入侵 | 為裝置、電子郵件和協作內容提供進階保護。 偵測到威脅時,會採取補救動作。 |
合作夥伴指導和工具
如果您是 Microsoft 合作夥伴,則有數個資源可協助您管理商務客戶的安全性。 這些資源包括學習路徑、指導和整合。
安全解決方案合作夥伴稱號使客戶能夠將您識別為他們可以信任的整合安全、合規性和身分識別解決方案的合作夥伴。 請參閱安全性解決方案合作夥伴學習路徑 (Microsoft 合作夥伴中心)。
指引可協助客戶檢閱授與合作夥伴的許可權和管理存取權。 也提供指引,協助 Microsoft 受控安全性服務提供者 (MSSP) 與其客戶組織整合。 如需詳細資訊,請參閱下列文章:
資源可協助您身為 Microsoft 合作夥伴,管理客戶的安全性設定,並協助保護其裝置和資料。 Microsoft 365 Lighthouse 與 Microsoft 365 商務進階版、適用於 商務用的 Microsoft Defender 和適用於 端點的 Microsoft Defender 整合。
適用於端點的 Defender API 可用來將商務進階版中的裝置安全性功能與遠端監視和管理 (RMM) 工具和專業服務自動化 (PSA) 軟體整合。 請參閱以下文章:
| 零信任原則 | 被會見者 |
|---|---|
| 明確驗證 | 資源可協助 Microsoft 合作夥伴為其客戶設定和管理身分識別、存取方法和原則。 |
| 使用最低權限存取權 | 合作夥伴可以設定與客戶組織的整合。 客戶可以檢閱授與合作夥伴的權限和管理存取權。 |
| 假設入侵 | Microsoft 365 Lighthouse 與適用於中小型企業的 Microsoft 威脅防護功能整合。 |
保護您或您的客戶使用的其他 SaaS 應用程式
您或您的小型企業客戶可能會使用其他軟體即服務 (SaaS) 應用程式,例如 Salesforce、Adobe Creative Cloud 和 DocuSign。 您可以將這些應用程式與 Microsoft Entra ID 整合,並將這些應用程式包含在 MFA 和條件式存取原則中。
Microsoft Entra 應用程式資源庫是預先與 Microsoft Entra ID 整合的軟體即服務 (SaaS) 應用程式集合。 您需要做的就是在圖庫中找到該應用程序並將其添加到您的環境中。 然後,應用程式可以包含在 MFA 和條件式存取規則的範圍內。 請參閱 Microsoft Entra 應用程式資源庫概觀。
將 SaaS 應用程式新增至您的環境之後,這些應用程式會自動受到 Microsoft Entra MFA 和安全性預設值所提供的其他保護的保護。 如果您使用條件式存取原則,而不是安全性預設值,您必須將這些應用程式新增至條件式存取和相關原則的範圍。 請參閱 在 Microsoft 365 商務進階版中開啟 MFA。
Microsoft Entra ID 會根據位置、裝置、角色和工作等因素,決定何時提示使用者進行 MFA。 這項功能會保護向 Microsoft Entra ID 註冊的所有應用程式,包括 SaaS 應用程式。 請參閱 必要時要求使用者執行 MFA。
| 零信任原則 | 被會見者 |
|---|---|
| 明確驗證 | 您新增的所有 SaaS 應用程式都需要 MFA 才能存取。 |
| 使用最低權限存取權 | 使用者必須符合驗證要求,才能使用存取公司資料的應用程式。 |
| 假設入侵 | 驗證使用者時,會考慮位置、裝置、角色和任務等因素。 必要時會使用 MFA。 |
更多零信任文件
根據文件集或組織中的角色,使用本節中的零信任內容。
文件集
請遵循此表格,以取得符合您需求的最佳 Zero Trust 文件集。
| 文件集 | 幫助您... | 角色 |
|---|---|---|
| 採用框架用於關鍵業務解決方案和結果的階段和步驟指引 | 將最高管理層的零信任保護應用於 IT 實施。 | 安全架構師、IT 團隊和專案經理 |
| 技術區域一般部署指引的概念和部署目標 | 套用與技術領域一致的零信任保護。 | IT 團隊和安全人員 |
| 零信任快速現代化計劃 (RaMP) 提供專案管理指導和檢查清單,輕鬆獲勝 | 快速實作零信任保護的關鍵層。 | 安全性架構師和 IT 實作者 |
| 使用 Microsoft 365 的零信任部署計劃 ,以取得逐步和詳細的設計和部署指引 | 將零信任保護套用至您的 Microsoft 365 組織。 | IT 團隊和安全人員 |
| 適用於 Microsoft Copilots 的零信任安全模型,提供詳細且分步的設計和部署指引 | 將零信任保護套用至 Microsoft Copilots。 | IT 團隊和安全人員 |
| 適用於 Azure 服務的零信任 ,提供逐步和詳細的設計和部署指引 | 將零信任保護套用至 Azure 工作負載和服務。 | IT 團隊和安全人員 |
| 合作夥伴與 Zero Trust 整合 ,提供技術領域和專業化的設計指導 | 將零信任保護套用至合作夥伴 Microsoft 雲端解決方案。 | 合作夥伴開發人員、IT 團隊和安全人員 |
| 使用零信任原則進行開發 ,以進行應用程式開發設計指引和最佳實務 | 將零信任保護套用至您的應用程式。 | 應用程式開發人員 |
您的角色
請遵循此表格,以取得您在組織中角色的最佳文件集。
| Role | 文件集 | 幫助您... |
|---|---|---|
| 安全性架構師 IT專案經理 IT 實作者 |
採用框架用於關鍵業務解決方案和結果的階段和步驟指引 | 將最高管理層的零信任保護應用於 IT 實施。 |
| IT 或安全性小組的成員 | 技術區域一般部署指引的概念和部署目標 | 套用與技術領域一致的零信任保護。 |
| 安全性架構師 IT 實作者 |
零信任快速現代化計劃 (RaMP) 提供專案管理指導和檢查清單,輕鬆獲勝 | 快速實作零信任保護的關鍵層。 |
| Microsoft 365 的 IT 或安全性小組成員 | 使用 Microsoft 365 的零信任部署計劃 ,以取得 Microsoft 365 的逐步和詳細設計和部署指引 | 將零信任保護套用至您的 Microsoft 365 組織。 |
| Microsoft Copilots 的 IT 或安全性小組成員 | 適用於 Microsoft Copilots 的零信任安全模型,提供詳細且分步的設計和部署指引 | 將零信任保護套用至 Microsoft Copilots。 |
| Azure 服務的 IT 或安全性小組成員 | 適用於 Azure 服務的零信任 ,提供逐步和詳細的設計和部署指引 | 將零信任保護套用至 Azure 工作負載和服務。 |
| 合作夥伴開發人員或 IT 或安全性小組成員 | 合作夥伴與 Zero Trust 整合 ,提供技術領域和專業化的設計指導 | 將零信任保護套用至合作夥伴 Microsoft 雲端解決方案。 |
| 應用程式開發人員 | 使用零信任原則進行開發 ,以進行應用程式開發設計指引和最佳實務 | 將零信任保護套用至您的應用程式。 |