Sdílet prostřednictvím

Souhrn microsoftu 365 pro podnikové zabezpečení společnosti Contoso Corporation

  • Článek

Aby oddělení zabezpečení IT společnosti Contoso získalo souhlas s nasazením Microsoftu 365 pro velké organizace, provedlo důkladnou kontrolu zabezpečení. Identifikovali následující požadavky na zabezpečení cloudu:

  • Použijte nejsilnější metody ověřování pro přístup zaměstnanců ke cloudovým prostředkům.
  • Zajistěte, aby se počítače a mobilní zařízení připojují k aplikacím zabezpečeným způsobem a přistupovaly k němu.
  • Chraňte počítače a e-maily před malwarem.
  • Oprávnění k cloudovým digitálním prostředkům definují, kdo má přístup k čemu a k čemu může přistupovat, a jsou navržená pro přístup s nejnižšími oprávněními.
  • Citlivé a vysoce regulované digitální prostředky jsou označené, šifrované a uložené v zabezpečených umístěních.
  • Vysoce regulované digitální prostředky jsou chráněny dalším šifrováním a oprávněními.
  • Pracovníci zabezpečení IT můžou monitorovat aktuální stav zabezpečení z centrálních řídicích panelů a dostávat oznámení o událostech zabezpečení, aby mohli rychle reagovat a zmírnit rizika.

Cesta společnosti Contoso k připravenosti zabezpečení Microsoftu 365

Společnost Contoso při přípravě zabezpečení na nasazení Microsoftu 365 pro velké organizace postupovat následovně:

  1. Omezení účtů správců pro cloud

    Společnost Contoso řídila rozsáhlou kontrolu stávajících účtů správců Active Directory Domain Services (AD DS) a nastavila řadu vyhrazených účtů a skupin správců cloudu.

  2. Klasifikace dat do tří úrovní zabezpečení

    Společnost Contoso pečlivě prozkoumala tři úrovně, které se použily k identifikaci funkcí Microsoftu 365 pro podniky pro ochranu nejcennějších dat.

  3. Určení zásad přístupu, uchovávání a ochrany informací pro úrovně dat

    Na základě úrovní dat společnost Contoso stanovila podrobné požadavky na kvalifikaci budoucích úloh IT, které se přesunou do cloudu.

Aby se mohli řídit osvědčenými postupy zabezpečení a požadavky microsoftu 365 pro podnikové nasazení, nasadili správci zabezpečení společnosti Contoso a její IT oddělení řadu funkcí a funkcí zabezpečení, jak je popsáno v následujících částech.

Správa identit a přístupu

  • Vyhrazené účty globálních správců s vícefaktorovým ověřováním a PIM

    Místo přiřazení role globálního správce běžným uživatelským účtům společnost Contoso vytvořila tři vyhrazené účty globálních správců se silnými hesly. Účty jsou chráněné Microsoft Entra vícefaktorovým ověřováním (MFA) a Microsoft Entra Privileged Identity Management (PIM). PIM je k dispozici jenom s Microsoft 365 E5.

    Přihlášení pomocí Microsoft Entra správce řadiče domény nebo účtu globálního správce se provádí jenom pro konkrétní úlohy správy. Hesla znají jenom určení zaměstnanci a dají se použít jenom v časovém období, které je nakonfigurované v Microsoft Entra PIM.

    Správci zabezpečení společnosti Contoso přiřadili účtům, které jsou vhodné pro pracovní funkci daného pracovníka IT, menší role správce.

    Další informace najdete v tématu Role správců Microsoftu 365.

  • MFA pro všechny uživatelské účty

    Vícefaktorové ověřování přidá do procesu přihlašování další vrstvu ochrany. Vyžaduje, aby uživatelé po správném zadání hesla potvrdili telefonní hovor, textovou zprávu nebo oznámení aplikace na svém smartphonu. S vícefaktorovým ověřováním jsou Microsoft Entra uživatelské účty chráněné před neoprávněným přihlášením, a to i v případě, že dojde k ohrožení hesla účtu.

    • V zájmu ochrany před ohrožením předplatného Microsoft 365 společnost Contoso vyžaduje vícefaktorové ověřování na všech účtech správce řadiče domény neboglobálních správců Microsoft Entra.
    • Kvůli ochraně před phishingovými útoky, při kterých útočník ohrožuje přihlašovací údaje důvěryhodné osoby v organizaci a odesílá škodlivé e-maily, povolila společnost Contoso vícefaktorové ověřování na všech uživatelských účtech, včetně manažerů a vedoucích pracovníků.

  • Bezpečnější přístup k zařízením a aplikacím pomocí zásad podmíněného přístupu

    Společnost Contoso používá zásady podmíněného přístupu pro identitu, zařízení, Exchange Online a SharePoint. Zásady podmíněného přístupu identity zahrnují vyžadování změn hesel pro vysoce rizikové uživatele a blokování klientů v používání aplikací, které nepodporují moderní ověřování. Zásady zařízení zahrnují definici schválených aplikací a vyžadování vyhovujících počítačů a mobilních zařízení. Exchange Online zásady podmíněného přístupu zahrnují blokování klientů ActiveSync a nastavení šifrování Office 365 zpráv. Zásady podmíněného přístupu SharePointu zahrnují dodatečnou ochranu citlivých a vysoce regulovaných webů.

  • Windows Hello pro firmy

    Společnost Contoso nasadila Windows Hello pro firmy, aby nakonec eliminovala potřebu hesel prostřednictvím silného dvojúrovňového ověřování na počítačích a mobilních zařízeních s Windows 11 Enterprise.

  • Windows Defender Credential Guard

    Aby společnost Contoso blokovala cílené útoky a malware spuštěný v operačním systému s oprávněními správce, povolila ochranu Credential Guard v programu Windows Defender prostřednictvím zásad skupiny služby AD DS.

Ochrana před hrozbami

  • Ochrana před malwarem pomocí Microsoft Defender Antivirové ochrany

    Společnost Contoso používá Microsoft Defender Antivirus pro ochranu před malwarem a antimalwarovou správu počítačů a zařízení se systémem Windows 11 Enterprise.

  • Zabezpečení toku e-mailu a protokolování auditu poštovní schránky pomocí Microsoft Defender pro Office 365

    Společnost Contoso používá Exchange Online Protection a Defender pro Office 365 k ochraně před neznámým malwarem, viry a škodlivými adresami URL přenášenými prostřednictvím e-mailů.

    Společnost Contoso také povolila protokolování auditu poštovních schránek, aby bylo možné identifikovat, kdo se přihlašuje k poštovním schránkám uživatelů, odesílá zprávy a provádí další aktivity prováděné vlastníkem poštovní schránky, delegovaným uživatelem nebo správcem.

  • Monitorování a prevence útoků s Office 365 vyšetřováním hrozeb a reakcí na ně

    Společnost Contoso používá Office 365 vyšetřování hrozeb a reakci na ně, aby chránila uživatele tím, že usnadňuje identifikaci a řešení útoků a brání budoucím útokům.

  • Ochrana před sofistikovanými útoky pomocí Advanced Threat Analytics

    Společnost Contoso používá Advanced Threat Analytics (ATA) k ochraně před pokročilými cílovými útoky. ATA automaticky analyzuje, učí se a identifikuje normální a neobvyklé chování entit (uživatelů, zařízení a prostředků).

Ochrana údajů

  • Ochrana citlivých a vysoce regulovaných digitálních prostředků pomocí popisků Azure Information Protection

    Společnost Contoso zjistila tři úrovně ochrany dat a nasadila popisky citlivosti Microsoft 365 , které uživatelé používají u digitálních prostředků. Pro obchodní tajemství a další duševní vlastnictví společnost Contoso používá podznačky citlivosti pro vysoce regulovaná data. Tento proces šifruje obsah a omezuje přístup na konkrétní uživatelské účty a skupiny.

  • Ochrana před únikem intranetových dat pomocí ochrany před únikem informací

    Společnost Contoso nakonfigurovala zásady Ochrana před únikem informací Microsoft Purview pro Exchange Online, SharePoint a OneDrive pro firmy, aby zabránila uživatelům v náhodném nebo záměrném sdílení citlivých dat.

  • Zabránění úniku dat ze zařízení ve Windows Information Protection

    Společnost Contoso používá windows Information Protection (WIP) k ochraně před únikem dat prostřednictvím internetových aplikací a služeb a podnikových aplikací a dat na zařízeních vlastněných podnikem a osobních zařízeních, která zaměstnanci přinášejí do práce.

  • Monitorování cloudu pomocí Microsoft Defender for Cloud Apps

    Společnost Contoso používá Microsoft Defender for Cloud Apps k mapování cloudového prostředí, monitorování jeho využití a detekci událostí a incidentů zabezpečení. Microsoft Defender for Cloud Apps je k dispozici pouze u Microsoft 365 E5.

  • Správa zařízení pomocí Microsoft Intune

    Společnost Contoso používá Microsoft Intune k registraci, správě a konfiguraci přístupu k mobilním zařízením a aplikacím, které na nich běží. Zásady podmíněného přístupu na základě zařízení také vyžadují schválené aplikace a počítače a mobilní zařízení splňující předpisy.

Správa zabezpečení

  • Řídicí panel centrálního zabezpečení pro IT s Microsoft Defender for Cloud

    Společnost Contoso používá Microsoft Defender pro cloud k prezentaci jednotného zobrazení zabezpečení a ochrany před hrozbami, ke správě zásad zabezpečení napříč svými úlohami a k reakci na kybernetické útoky.

  • Řídicí panel centrálního zabezpečení pro uživatele s Centrem zabezpečení v programu Windows Defender

    Společnost Contoso nasadila aplikaci Zabezpečení Windows do svých počítačů a zařízení se systémem Windows 11 Enterprise, aby uživatelé viděli svůj stav zabezpečení na první pohled a mohli provést akci.