保護使用者和裝置存取權

  • 發行項

保護對 Microsoft 365 數據和服務的存取,對於防範網路攻擊和防範數據遺失至關重要。 相同的保護可以套用至環境中的其他 SaaS 應用程式,甚至套用至使用 Microsoft Entra 應用程式 Proxy 發佈的內部部署應用程式。

提示

如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理數據安全性與合規性需求。 立即從 Microsoft Purview 合規性入口網站 試用中樞開始。 瞭解 有關註冊和試用版條款的詳細數據

步驟 1:檢閱建議

保護身分識別和裝置的建議功能,可存取 Office 365、其他 SaaS 服務,以及使用 Microsoft Entra 應用程式 Proxy 發佈的內部部署應用程式。

PDF | Visio | 更多語言

步驟 2:保護系統管理員帳戶和存取權

您用來管理 Microsoft 365 環境的系統管理帳戶包含提高的許可權。 這些是駭客和網路攻擊者的重要目標。

一開始只使用系統管理員帳戶進行系統管理。 系統管理員應該有個別的用戶帳戶,以供一般、非系統管理使用,而且只有在必要時才使用其系統管理帳戶來完成與其作業函式相關聯的工作。

使用多重要素驗證和條件式存取來保護您的系統管理員帳戶。 如需詳細資訊,請 參閱保護系統管理員帳戶

接下來,設定 Microsoft Purview Privileged Access Management。 特殊權限存取管理可對 Office 365 中的特殊權限系統管理工作提供細微的存取控制。 它可協助保護您的組織免於可能使用現有特殊許可權系統管理員帳戶且具有敏感數據常設存取權或存取重要組態設定的缺口。

另一個建議是使用特別針對系統管理工作設定的工作站。 這些是僅用於系統管理工作的專用裝置。 請參閱 保護特殊許可權存取

最後,您可以在租使用者中建立兩個或多個緊急存取帳戶,以減輕意外缺乏系統管理存取權的影響。 請參閱在 Microsoft Entra標識碼中管理緊急存取帳戶

多重要素驗證 (MFA) 和條件式存取原則是強大的工具,可減輕遭入侵的帳戶和未經授權的存取。 建議您一起實作一組已測試的原則。 如需詳細資訊,包括部署步驟,請參閱 身分識別和裝置存取設定

這些原則會實作下列功能:

  • 多重要素驗證
  • 條件式存取
  • Intune 應用程式保護 (裝置的應用程式和數據保護)
  • Intune 裝置合規性
  • Microsoft Entra ID Protection

實作 Intune 裝置合規性需要裝置註冊。 管理裝置可讓您在允許裝置存取您環境中的資源之前,先確保其狀況良好且符合規範。 請參閱 註冊裝置以在 Intune 中進行管理

步驟 4:設定 SharePoint 裝置存取原則

Microsoft 建議您使用裝置訪問控制來保護 SharePoint 網站中具有敏感性和高度管制內容的內容。 如需詳細資訊,請參閱 保護 SharePoint 網站和檔案的原則建議