本文介绍了管理员在使用推荐的零信任身份和设备访问策略以及“条件访问”时需要满足的条件。 它还讨论了配置客户端平台以获得最佳单一登录 (SSO) 体验时建议使用的默认值。
先决条件
在使用建议的零信任标识和设备访问策略之前,组织需要满足先决条件。 列出的各种标识和身份验证模型的要求有所不同:
- 仅限云
- 与密码哈希同步 (PHS) 身份验证的混合
- 与直通身份验证 (PTA) 的混合
- 联合
下表详细介绍了适用于所有身份模型(除非另有说明)的先决条件功能及其配置。
| 配置 | 例外 | 许可 |
|---|---|---|
| 配置密码哈希同步(PHS)。 必须启用此功能才能检测凭据泄露,并针对基于风险的条件访问对其执行操作。 无论组织是否使用联合身份验证,都需要此配置。 | 仅限云 | Microsoft 365 E3 或 E5 |
| 启用无缝单一登录 ,以便在连接到组织网络的组织设备上自动登录用户。 | 纯云和联合 | Microsoft 365 E3 或 E5 |
| 配置网络位置。 Microsoft Entra ID 保护收集并分析所有可用的会话数据来生成风险分数。 建议在 Microsoft Entra ID 命名位置配置中为你的网络指定你的组织的公共 IP 范围。 来自这些范围的流量被给予较低的风险评分,而来自这些范围之外的流量则被给予较高的风险评分。 | Microsoft 365 E3 或 E5 | |
| 为所有用户注册自助式密码重置 (SSPR) 和多重身份验证 (MFA)。 建议提前执行此步骤。 Microsoft Entra ID Protection 使用 Microsoft Entra 多重身份验证进行添加的安全验证。 为了获得最佳登录体验,我们建议在设备上使用 Microsoft Authenticator 应用 和 Microsoft 公司门户应用。 用户可以从其设备平台的应用商店安装这些应用。 | Microsoft 365 E3 或 E5 | |
| 规划 Microsoft Entra 混合联接实现。 条件访问验证连接到应用的设备是否已加入域或合规。 若要在 Windows 计算机上支持此要求,必须将设备注册到 Microsoft Entra ID。 本文讨论了如何配置自动化设备注册。 | 仅限云 | Microsoft 365 E3 或 E5 |
| 准备你的支持团队。 为无法执行 MFA 的用户制定计划。 例如,将它们添加到策略排除组,或为其注册新的 MFA 信息。 如果发出安全敏感异常,请验证用户是否实际发出请求。 要求经理帮助审批用户是一个有效步骤。 | Microsoft 365 E3 或 E5 | |
配置密码写回到本地 Active Directory。 密码写回允许 Microsoft Entra ID 在检测到高风险帐户危害时要求用户更改其本地密码。 可以通过以下两种方式之一使用 Microsoft Entra Connect 启用此功能:
|
仅限云 | Microsoft 365 E3 或 E5 |
| 配置 Microsoft Entra 密码保护。 Microsoft Entra 密码保护可以检测并阻止已知的弱密码及其变体,还可以阻止特定于组织的其他弱字词。 默认的全局禁止密码列表将自动应用于Microsoft Entra 组织中的所有用户。 可以在自定义禁止密码列表中定义其他条目。 用户更改或重置密码时,系统会检查这些受禁密码列表以强制使用强密码。 | Microsoft 365 E3 或 E5 | |
| 启用 Microsoft Entra ID 保护。 Microsoft Entra ID Protection 使你能够检测影响组织标识的潜在漏洞,并将自动修正策略配置为低、中、高登录风险和用户风险。 | 具有 E5 安全加载项的 Microsoft 365 E5 或 Microsoft 365 E3 | |
| 为 Microsoft Entra ID 启用连续访问评估。 持续访问评估会主动终止活动用户会话,并近乎实时地强制实施组织策略更改。 | Microsoft 365 E3 或 E5 |
推荐的客户端配置
本部分介绍建议的默认平台客户端配置,以获得最佳 SSO 体验,以及条件访问的技术先决条件。
Windows 设备
建议使用 Windows 11 或 Windows 10(版本 2004 或更高版本),因为根据设计,Azure 可以提供最顺畅的 SSO 体验,既适用于本地,又适用于 Microsoft Entra ID。 使用以下任一选项配置组织拥有的设备:
- 直接加入Microsoft Entra ID。
- 将已加入域的本地 Active Directory 设备配置为自动且无提示地注册到 Microsoft Entra ID
对于个人(自带设备或 BYOD)Windows 设备,用户可以使用 添加工作或学校帐户。 Windows 11 或 Windows 10 设备上的 Google Chrome 用户需要 安装扩展 才能获得与 Microsoft Edge 用户相同的平滑登录体验。
iOS/iPadOS 设备
在部署条件性访问或 MFA 策略之前,建议你先在用户设备上安装 Microsoft Authenticator 应用。 如果无法,请在以下方案中安装应用:
- 当要求用户通过添加工作或学校帐户向 Microsoft Entra ID 注册其设备时。
- 当用户安装 Intune 公司门户应用以将其设备注册到管理中时。
请求取决于配置的条件访问策略。
Android 设备
建议用户在部署条件访问策略或在特定身份验证尝试期间安装 Intune 公司门户应用 并 Microsoft Authenticator 应用 。 应用安装后,可能会要求用户注册 Microsoft Entra ID,或者根据配置的条件访问策略向 Intune 注册其设备。
我们还建议组织拥有的设备支持 Android for Work 或 Samsung Knox,以允许 Intune 移动设备管理(MDM)策略管理邮件帐户和保护。
建议的电子邮件客户端
下表中的电子邮件客户端支持新式身份验证和条件访问:
| 平台 | 客户端 | 版本/说明 |
|---|---|---|
| Windows | Outlook | 2016 或更高版本 所需的更新 |
| iOS/iPadOS | Outlook for iOS | 最新 |
| Android | Outlook for Android | 最新 |
| macOS | Outlook | 2016 或更高版本 |
| Linux | 不支持 |
保护文档时建议使用的客户端平台
应用安全文档策略时,我们建议下表中的客户端应用:
| 平台 | Word/Excel/PowerPoint | OneNote | OneDrive 应用 | SharePoint 应用 | OneDrive 同步客户端 |
|---|---|---|---|---|---|
| Windows 11 或 Windows 10 | 受支持 | 受支持 | N/A | 不适用 | 受支持 |
| Android | 受支持 | 受支持 | 受支持 | 受支持 | 不适用 |
| iOS/iPadOS | 受支持 | 受支持 | 受支持 | 受支持 | N/A |
| macOS | 受支持 | 受支持 | 不适用 | N/A | 不支持 |
| Linux | 不支持 | 不支持 | 不支持 | 不支持 | 不支持 |
Microsoft 365 客户端支持
有关 Microsoft 365 中的客户端支持的详细信息,请参阅 为 Microsoft 365 部署标识基础结构。
保护管理员帐户
对于 Microsoft 365 E3 或 E5,或者具有单独的 Microsoft Entra ID P1 或 P2 许可证的用户,可以通过手动创建条件访问策略,要求管理员账户启用抗钓鱼的多因素身份验证 (MFA)。 有关详细信息,请参阅 条件访问:要求管理员使用防钓鱼 MFA。
对于不支持条件访问的 Microsoft 365 或 Office 365 版本,你可以为所有帐户启用 安全默认值 以要求 MFA。
下面是一些其他建议:
- 使用 Microsoft Entra Privileged Identity Management 减少持久性管理帐户数。
- 使用特权访问管理 来保护组织免受违规行为的影响,这些漏洞可能会使用现有特权管理员帐户,这些帐户具有对敏感数据的永久访问权限或对关键配置设置的访问权限。
- 为管理员创建并使用单独的帐户,并为这些帐户分配他们专用的 Microsoft 365 管理员角色。 管理员应有自己的用户帐户以供常规使用。 仅当需要完成与其角色或作业功能关联的任务时,他们才应使用管理帐户。
- 请遵循最佳做法来保护 Microsoft Entra ID 中的特权帐户。
下一步
