Улучшение защиты данных в Office 365 с помощью условного доступа

Корпорация Microsoft, ведущий мировой разработчик программного обеспечения, рекомендует компаниям, которые находятся в поиске лучших решений защиты данных в Office 365 выбирать защиту учитывая возможности решений защиты.

Для организаций Microsoft предлагает такие варианты защиты:

  • Базовая защита
  • Повышенный уровень защиты
  • Защита жестко регламентированных данных


Дополнительные сведения 

  • Базовая защита

В случае выбора базовой защиты, сначала необходимо реализовать многофакторную проверку подлинности Azure (MFA). Затем добавить защиту идентификации Azure AD и воспользоваться политикой регистрации данных пользователей для MFA, чтобы обеспечить такую регистрацию. 

После этого организация сможет обеспечить MFA при входе. Перед регистрацией устройств в Intune, Microsoft рекомендует настроить многофакторную проверку подлинности, чтобы гарантировать, что устройство принадлежит нужному пользователю. Использование единого входа для всех приложений SaaS централизует управление всеми удостоверениями. 
Организация может создать политики доступа, которые будут оценивать контекст входа пользователя, чтобы в режиме реального времени разрешать или запрещать доступ к определенным приложениям.

Например, вы можете затребовать многофакторную проверку подлинности для каждого приложения отдельно или в тех случаях, когда пользователь не на работе. Кроме того, для случаев, когда пользователь не на работе, можно заблокировать доступ к определенным приложениям. При настройке базовой защиты сосредоточьтесь на правилах, которые не требуют регистрации устройств.

  • Повышенный уровень защиты. Основа

С помощью политик доступа устройств к SharePoint Online и OneDrive для бизнеса (предварительной версии) вы можете контролировать доступ в случае мобильных устройств:

  • блокировать доступ или ограничить его таким, который возможен через браузер и только для чтения, в случае устройств, не соответствующих требованиям или не присоединенных к домену;
  • ограничить доступ на основании расположения в сети.

Для этих политик необходимы две политики условного доступа в Azure Active Directory.

Кроме того, чтобы ограничить доступ на основании соответствия устройств требованиям, необходимо зарегистрировать устройства в Intune (или другом инструменте управления мобильными устройствами) и настроить соответствующую политику.

Для защиты конфиденциальных данных сначала ограничьте к ним доступ таким, который возможен через браузер и только для чтения, в случае устройств, не присоединенных к домену. Это не позволит пользователям скачивать файлы на неуправляемые устройства. Такой уровень защиты не требует регистрации в Intune.

Повышенный уровень защиты. Дополнительная защита

Этот уровень защиты повышает защиту отдельных частей данных. Сначала создайте в Azure Active Directory группу пользователей, которым необходим доступ к конфиденциальным файлам. С помощью группы зарегистрируйте устройства в Microsoft Intune и установите политику соответствия требованиям. 

Рекомендуемые требования:

  • пароли со строгими параметрами (буквенно-цифровые символы, не менее шести символов, срок действия не более 90 дней);
  • применение исправлений, наличие антивируса и использование брандмауэра;
  • использование шифрования, блокировка при бездействии и очистка при нескольких неудачных попытках входа;
  • джейлбрейк или рутинг не выполнен.

Наконец, создайте две политики соответствия требованиям в Azure AD для SharePoint Online и Exchange Online. Необходимы устройства, соответствующие требованиям. Для Exchange Online также необходима современная проверка подлинности.

  • Защита жестко регламентированных данных

Для защиты секретных или жестко регламентированных данных заблокируйте доступ из браузера к SharePoint Online и другим службам Office 365. Это вынудит пользователей применять управляемые приложения (мобильные приложения и клиенты для настольных компьютеров). Создайте политику условного доступа в Azure Active Directory, которая заблокирует доступ к данным из браузера.

Если вы хотите управлять доступом с помощью Exchange ActiveSync, создайте отдельную политику для Exchange Online.

По вопросам приобретения решений Microsoft обращайтесь к нашим специалистам 0 800 75 01 34 или sales@softico.ua

Похожие новости