如何使用 Entra ID 和 Intune 应用零信任模型

如何使用 Entra ID 和 Intune 应用零信任模型

2024年2月8日

本技术和教育文章旨在指导安全分析师、IT 管理员和系统工程师使用 Microsoft Entra ID(以前称为 Azure Active Directory)和 Microsoft Intune 的功能实施零信任安全模型。零信任模型建立在“从不信任,始终验证”原则的基础上,是一种现代安全方法,它假设任何访问请求都不应被自动信任,无论其源自何处或尝试访问什么资源[1]。

简介

随着远程工作的扩展、个人设备的激增以及向云的迁移,企业网络的传统安全边界已经过时。零信任模型的出现是为了应对这种新场景,要求对每次访问尝试进行显式验证,以最少的权限授予访问权限,并始终假设发生违规。 Microsoft Entra ID 和 Microsoft Intune 是构建强大的零信任架构、分别保护身份和端点的关键组件 [2]。

本实用指南将涵盖零信任原则,并演示如何配置和集成 Microsoft Entra ID 和 Microsoft Intune 以应用这些原则。将提供分步说明、配置示例和验证方法,以便读者可以通过零信任方法实施和加强其组织的安全态势。

零信任原则

零信任模型建立在三个基本原则之上 [3]:

  1. 明确验证:始终根据所有可用数据点进行身份验证和授权,包括用户身份、位置、设备健康状况、资源敏感性和异常情况。
  2. 使用最小权限访问:仅将用户访问限制为必要的。使用准时 (JIT) 和恰足访问 (JEA)、基于风险的自适应策略和数据保护来保护数据和生产力。
  3. 假设突破:最小化爆炸半径和段访问。验证端到端加密并使用分析来获得可见性、检测威胁并改进防御。

先决条件

要使用 Microsoft Entra ID 和 Intune 实施零信任模型,您将需要以下项目:

  1. 许可:适用于 Microsoft Entra ID Premium P1 或 P2(用于条件访问)和 Microsoft Intune(通常是 Microsoft 365 E3/E5 或 EMS E3/E5 包的一部分)的许可证 [4]。
  2. 管理访问权限:在 Microsoft Entra 管理中心 (entra.microsoft.com) 和 Microsoft Endpoint Manager 管理中心 (endpoint.microsoft.com) 门户上具有全局管理员、安全管理员或 Intune 管理员权限的帐户。
  3. Intune 注册设备:已由 Microsoft Intune 注册和管理的 Windows 10/11 设备。
  4. Microsoft Entra ID 中的身份:在 Microsoft Entra ID 中同步或创建的用户和组。

一步一步:应用零信任模型

我们将重点关注 Microsoft Entra ID 和 Intune 如何协同工作以实施零信任原则,特别是“显式验证”和“使用最小权限访问”。

1. 使用 Microsoft Entra ID 强化身份

Microsoft Entra ID 是身份零信任的支柱,确保只有经过验证的用户才能访问。

1.1。实施多重身份验证 (MFA)

MFA 是“明确检查”原则的基本组成部分。

  1. 通过条件访问配置 MFA:如第 3 条所述,创建条件访问策略以要求对所有用户、特定组或来自公司网络外部的访问进行 MFA。
    • 在 Microsoft 登录管理中心,转到 保护 > 条件访问
    • 使用以下设置创建新策略:
      • 分配 > 身份用户或工作负载:选择所有用户(不包括紧急帐户)。
      • 云资源或操作所有云应用程序
      • 授予:选中需要多重身份验证
      • 启用策略已启用

1.2。启用 Azure AD 身份保护

身份保护可检测影响组织身份的漏洞,配置基于风险的自动化策略来保护这些身份,并调查有风险的活动 [5]。

  1. 在 Microsoft 登录管理中心中,转到 保护 > 身份保护
  2. 用户风险策略:配置此策略以要求中风险或高风险用户进行 MFA 或密码重置。
    • 角色 > 用户:选择所有用户
    • 条件 > 用户风险:选择中及更高
    • 控制 > 访问授予访问权限需要重置密码需要多重身份验证
    • 启用策略已启用
  3. 输入风险策略:配置此策略以阻止或要求对风险输入进行 MFA。
    • 角色 > 用户:选择所有用户
    • 条件 > 进入风险:选择中及更高
    • 控制 > 访问授予访问权限需要多重身份验证(或阻止访问以应对高风险)。
    • 启用策略已启用

2. 使用 Microsoft Intune 确保端点完整性

Intune 通过对设备应用“显式检查”原则,确保访问公司资源的设备健康且兼容。

2.1。创建设备合规性策略

合规性策略定义设备必须满足才能被视为合规的安全要求。不合规的设备可能会通过条件访问被阻止或限制访问。

  1. 在 Microsoft Endpoint Manager 管理中心 (https://endpoint.microsoft.com) 中,转到 端点安全 > 设备合规性 > 策略
  2. 单击“创建策略”。
  3. 平台Windows 10 及更高版本
  4. 合规性设置
    • 设备完整性:需要 BitLocker、安全启动等。
    • 设备安全:需要防病毒软件(例如 Microsoft Defender 防病毒软件)、防火墙、复杂密码等。
    • 设备属性:需要最低操作系统版本。
  5. 不合规操作:配置操作,例如立即或在宽限期后将设备标记为不合规。
  6. 分配:将策略分配给相关的 Windows 设备组。

2.2。创建设备配置文件

配置配置文件允许你部署特定的安全设置,例如防火墙设置、Microsoft Defender 安全设置和设备限制。

  1. 在 Microsoft Endpoint Manager 管理中心中,转到 设备 > Windows > 配置配置文件
  2. 单击“创建配置文件”。
  3. 平台Windows 10 及更高版本
  4. 配置文件类型:选择“端点保护”等模板来配置 Microsoft Defender 防病毒和防火墙,或选择“设备限制”来禁用特定功能。
  5. 根据您组织的最佳实践配置安全设置。
  6. 分配:将配置文件分配给相关的 Windows 设备组。

3. 将 Entra ID 和 Intune 与条件访问集成

条件访问是将身份 (Entra ID) 和设备 (Intune) 策略结合在一起以实施零信任的引擎。

3.1。创建条件访问策略以需要兼容的设备

此策略将确保只有符合 Intune 合规性标准的设备才能访问云应用程序。

  1. 在 Microsoft 登录管理中心中,转到 保护 > 条件访问
  2. 单击“新建策略”>“创建新策略”。
  3. 名称需要兼容设备才能访问
  4. 分配 > 身份用户或工作负载:选择所有用户(不包括紧急帐户)。
  5. 云资源或操作所有云应用程序
  6. 条件(可选):您可以添加 Windows 的“设备平台”等条件。
  7. 授予
    • 选择授予访问权限
    • 选中需要将设备标记为受支持点击选择等*。
  8. 启用策略已启用
  9. 单击“创建”。

验证和测试

验证零信任实施对于确保政策按预期发挥作用至关重要。

1. 测试从兼容设备的访问

  1. 在 Intune 管理的兼容 Windows 设备上,尝试访问云应用程序(例如:“portal.office.com”)。
  2. 必须在用户身份验证(以及 MFA,如果已配置)后授予访问权限。

2. 测试来自不合规设备的访问

  1. 兼容的 Windows 设备上(例如,禁用防火墙、将操作系统版本更改为 Intune 合规性策略不允许的版本,或使用非托管设备)。
  2. 尝试访问云应用程序(例如“portal.office.com”)。
  3. 必须阻止访问,并且用户必须收到指示设备不合规且无法访问资源的消息。

3. 监控条件访问报告

  1. 在 Microsoft 登录管理中心中,转到 保护 > 条件访问 > 报告
  2. 查看输入日志以查看应用了哪些条件访问策略以及结果(成功、失败、仅报告)。

安全提示和最佳实践

  • 从小规模开始,逐渐扩展:在整个组织范围内扩展之前,在测试组中实施零信任策略,以最大程度地减少干扰。
  • 教育和沟通:向用户清楚地传达更改,并提供有关如何保持设备兼容以及如何使用 MFA 的培训。
  • 持续监控:定期监控 Intune 合规性报告以及条件访问和身份保护日志,以识别任何差距或异常情况。
  • 最小权限访问:将条件访问策略与 PIM(特权身份管理)相结合,以确保特权访问及时且足够。
  • 假设违规:配置 Microsoft Defender for Endpoint 以进行高级端点威胁检测,并配置 Microsoft Sentinel 以进行安全编排和自动响应。
  • 定期审查:定期审查和调整您的零信任策略,以适应威胁环境和业务需求的变化。

常见故障排除

  • 访问意外被阻止:检查条件访问登录日志以确定哪个策略正在阻止访问。检查受影响设备的 Intune 合规性策略。
  • 设备不合规:在 Intune 中检查设备的合规性状态。设备可能未收到策略,或者某些配置阻碍了合规性(例如禁用防病毒软件、旧操作系统版本)。
  • 策略冲突:审查所有条件访问和合规性策略,以确保不存在可能导致意外行为的冲突排除或包含。
  • 同步问题:确保设备和用户分别与 Intune 和 Azure AD 正确同步。

结论

应用零信任模型是保护当前数字环境中组织的重要安全策略。通过利用 Microsoft Entra ID 管理身份并利用 Microsoft Intune 确保端点完整性,公司可以实施强大的安全方法,明确检查每个访问请求并根据最小权限原则进行操作。通过条件访问集成这些工具可创建强大的自适应防御,确保只有受信任的用户和设备才能访问公司资源,无论其位置如何。零信任之旅仍在继续,需要不断监控和完善,但降低风险和加强安全性方面的好处是无价的。

参考资料:

[1] 微软学习。 什么是零信任?。网址:https://learn.microsoft.com/pt-br/security/zero-trust/zero-trust-overview [2] 微软学习。 与 Microsoft Intune 零信任。可在:https://learn.microsoft.com/en-us/intune/intune-service/fundamentals/zero-trust-with-microsoft-intune [3] 微软学习。 零信任指导原则。网址:https://learn.microsoft.com/pt-br/security/zero-trust/guidance-principles [4] 微软学习。 Microsoft Enter ID 许可。网址:https://azure.microsoft.com/pt-br/pricing/details/active-directory/ [5] 微软学习。 什么是身份保护?。网址:https://learn.microsoft.com/pt-br/entra/identity/identity-protection/overview-identity-protection