Jaa

Yhteenveto Microsoft 365 for Enterprise Securitysta Contoso Corporationille

  • Artikkeli

Saadakseen hyväksynnän Microsoft 365 for Enterprisen käyttöönottoon Contoson IT-suojausosasto suoritti perusteellisen tietoturvatarkistauksen. He tunnistivat seuraavat pilvipalvelun suojausvaatimukset:

  • Käytä vahvimpia todennusmenetelmiä työntekijöiden pääsyssä pilviresursseihin.
  • Varmista, että tietokoneet ja mobiililaitteet yhdistävät sovelluksia ja käyttävät sitä turvallisesti.
  • Suojaa tietokoneet ja sähköposti haittaohjelmilta.
  • Pilvipohjaisten digitaalisten resurssien käyttöoikeudet määrittävät, ketkä voivat käyttää mitäkin ja mitä he voivat tehdä, ja ne on suunniteltu pienintä käyttöoikeutta varten
  • Arkaluontoiset ja hyvin säännellyt digitaaliset resurssit merkitään, salataan ja tallennetaan suojattuihin sijainteihin.
  • Hyvin säännellyt digitaaliset resurssit suojataan lisäsalauksella ja -käyttöoikeuksilla.
  • IT-tietoturvahenkilöstö voi valvoa nykyistä suojausasentoa keskitetyistä koontinäytöistä ja saada ilmoituksen suojaustapahtumista nopeaa reagointia ja lieventämistä varten.

Contoson polku Microsoft 365 :n suojausvalmiuteen

Contoso valmisteli suojaustaan Microsoft 365 for Enterprise -käyttöönottoa varten noudattamalla seuraavia vaiheita:

  1. Pilvipalvelun järjestelmänvalvojatilien rajoittaminen

    Contoso tarkasteli laajasti nykyisiä Active Directory -toimialueen palvelut (AD DS) järjestelmänvalvojatilejä ja perusti joukon erillisiä pilvipalvelun järjestelmänvalvojatilejä ja ryhmiä.

  2. Tietojen luokitteleminen kolmeen suojaustasoon

    Contoso tarkasteli huolellisesti ja määritti kolme tasoa, joita käytettiin Microsoft 365 for Enterprise -ominaisuuksien tunnistamiseen arvokkaimpien tietojen suojaamiseksi.

  3. Tietotasojen käyttö-, säilytys- ja tietojensuojauskäytäntöjen määrittäminen

    Tietotasojen perusteella Contoso määritti yksityiskohtaiset vaatimukset tulevien pilvipalveluun siirrettyjen IT-kuormitusten hyväksymiseksi.

Contoson suojauksen järjestelmänvalvojat ja sen IT-osasto ottivat käyttöön monia suojausominaisuuksia ja -ominaisuuksia, jotka on kuvattu seuraavissa osioissa tietoturvan parhaiden käytäntöjen ja Microsoft 365:n yrityskäyttöönottovaatimusten noudattamiseksi.

Käyttäjätietojen ja käyttöoikeuksien hallinta

  • Varatut yleisen järjestelmänvalvojan tilit monimenetelmäistä todentamista ja PIM:n avulla

    Sen sijaan, että Contoso olisi määrittänut yleisen järjestelmänvalvojan roolin tavallisille käyttäjätileille, se loi kolme erillistä yleistä järjestelmänvalvojatiliä, joilla on vahvat salasanat. Tilit on suojattu Microsoft Entra monimenetelmäinen todentaminen (MFA) ja Microsoft Entra Privileged Identity Management (PIM). PIM on käytettävissä vain Microsoft 365 E5 kanssa.

    Kirjautuminen Microsoft Entra dc-järjestelmänvalvojalla tai yleisen järjestelmänvalvojan tilillä tehdään vain tietyissä hallintatehtävissä. Salasanat ovat vain nimetyn henkilökunnan tiedossa, ja niitä voi käyttää vain Microsoft Entra PIM:ssä määritetyn ajanjakson kuluessa.

    Contoson suojauksen järjestelmänvalvojat määritti vähemmän järjestelmänvalvojarooleja tileille, jotka ovat kyseisen IT-työntekijän työtoiminnon mukaiset.

    Lisätietoja on artikkelissa Tietoja Microsoft 365:n järjestelmänvalvojarooleista.

  • Kaikkien käyttäjätilien monimenetelmäinen todentaminen

    Monimenetelmäinen todentaminen lisää kirjautumisprosessiin suojauksen lisäkerroksen. Se edellyttää, että käyttäjät kuittaavat puhelin-, tekstiviesti- tai sovellusilmoituksen, kun he ovat syöttäneet salasanansa oikein. Monimenetelmäisen todentamisen avulla Microsoft Entra käyttäjätilit suojataan luvattomalta kirjautumiseltä, vaikka tilin salasana olisi vaarantunut.

    • Suojautuakseen Microsoft 365 -tilauksen vaarantumiselta Contoso edellyttää monimenetelmäistä todentamista kaikilla Microsoft Entra DC-järjestelmänvalvojan tileillä tai yleisillä järjestelmänvalvojatileillä.
    • Suojautuakseen tietojenkalasteluhyökkäyksiltä, joissa hyökkääjä vaarantaa organisaation luotetun henkilön tunnistetiedot ja lähettää haitallisia sähköpostiviestejä, Contoso on ottanut monimenetelmäisen todentamisen käyttöön kaikilla käyttäjätileillä, mukaan lukien johtajat ja johtajat.

  • Laitteiden ja sovellusten turvallisempi käyttö ehdollisten käyttöoikeuksien käytännöillä

    Contoso käyttää ehdollisten käyttöoikeuksien käytäntöjä käyttäjätiedoille, laitteille, Exchange Online ja SharePointille. Käyttäjätietojen ehdollisen käytön käytäntöihin kuuluu salasanojen muuttamisen edellyttäminen suuririskisille käyttäjille ja asiakkaiden estäminen käyttämästä sovelluksia, jotka eivät tue modernia todentamista. Laitekäytännöt sisältävät hyväksyttyjen sovellusten määrityksen sekä yhteensopivien tietokoneiden ja mobiililaitteiden edellyttämisen. Exchange Online ehdolliset käyttöoikeuskäytännöt sisältävät ActiveSync-asiakkaiden estämisen ja Office 365 viestien salauksen määrittämisen. SharePointin ehdollisen käytön käytännöt sisältävät lisäsuojauksen arkaluonteisille ja hyvin säännellyille sivustoille.

  • Windows Hello yrityksille

    Contoso otti käyttöön Windows Hello yrityksille poistaakseen lopulta salasanojen tarpeen vahvalla kaksivaiheisen todentamisen avulla tietokoneissa ja mobiililaitteissa, joissa Windows 11 Enterprise.

  • Windows Defenderin tunnistetietosuoja

    Contoso on ottanut Windows Defender credential Guardin käyttöön AD DS -ryhmäkäytännön avulla estääkseen kohdennetut hyökkäykset ja haittaohjelmat käyttöjärjestelmässä järjestelmänvalvojan oikeuksilla.

Uhkien suojaus

  • Suojaus haittaohjelmilta Microsoft Defender virustentorjuntaohjelmalla

    Contoso käyttää Microsoft Defender virustentorjuntaohjelmaa haittaohjelmien suojaamiseen ja haittaohjelmien hallintaan tietokoneissa ja laitteissa, joissa on Windows 11 Enterprise.

  • Suojattu sähköpostin työnkulun ja postilaatikon valvontaloki Microsoft Defender for Office 365 avulla

    Contoso käyttää Exchange Online Protection ja Defender for Office 365 suojautuakseen tuntemattomilta haittaohjelmilta, viruksilta ja sähköpostiviestien kautta välitetyiltä haitallisilta URL-osoitteilta.

    Contoso on ottanut käyttöön myös postilaatikoiden valvontalokin, jonka avulla tunnistetaan, kuka kirjautuu käyttäjän postilaatikoihin, lähettää viestejä ja suorittaako postilaatikon omistaja, delegoitu käyttäjä tai järjestelmänvalvoja muita toimintoja.

  • Hyökkäysten valvonta ja estäminen Office 365 uhkien tutkinnalla ja reagoinnilla

    Contoso käyttää Office 365 uhkien tutkintaa ja reagointia käyttäjien suojaamiseksi tekemällä hyökkäysten tunnistamisesta ja käsittelemisestä helppoa sekä ehkäisemällä tulevia hyökkäyksiä.

  • Suojaus kehittyneiltä hyökkäyksiltä Advanced Threat Analyticsin avulla

    Contoso käyttää Advanced Threat Analytics (ATA) -toimintoa suojautuakseen kehittyneiltä kohdennetuilta hyökkäyksiltä. ATA analysoi, oppii ja tunnistaa automaattisesti normaalin ja epänormaalin entiteetin (käyttäjän, laitteiden ja resurssien) toiminnan.

Tietojen suojaus

  • Luottamuksellisten ja hyvin säänneltyjen digitaalisten resurssien suojaaminen Azure Information Protection -tunnisteiden avulla

    Contoso määritti kolme tietosuojatasoa ja otti käyttöön Microsoft 365:n luottamuksellisuustunnisteet , joita käyttäjät käyttävät digitaalisissa resursseissä. Contoso käyttää liikesalaisuuksiensa ja muiden immateriaalioikeuksiensa vuoksi luottamuksellisuusalatunnisteita erittäin säännellyille tiedoille. Tämä prosessi salaa sisällön ja rajoittaa käyttöoikeuksia tietyille käyttäjätileille ja ryhmille.

  • Intranettietojen vuotojen estäminen tietojen menetyksen estämisen avulla

    Contoso on määrittänyt Microsoft Purview -tuotteen tietojen menetyksen esto käytännöt Exchange Online, SharePointille ja OneDrive for Business, jotta käyttäjät eivät voi vahingossa tai tarkoituksella jakaa luottamuksellisia tietoja.

  • Estä laitetietojen vuotaminen Windows Information Protection

    Contoso käyttää Windows Information Protection (WIP) suojautuakseen tietovuodoilta Internet-pohjaisten sovellusten ja -palvelujen sekä yrityssovellusten kautta sekä yrityksen omistamien laitteiden ja henkilökohtaisten laitteiden tiedoilta, joita työntekijät tuovat töihin.

  • Pilvivalvonta Microsoft Defender for Cloud Apps:n avulla

    Contoso käyttää Microsoft Defender for Cloud Apps pilviympäristönsä yhdistämiseen, käytön valvontaan sekä tietoturvatapahtumien ja tapausten havaitsemiseen. Microsoft Defender for Cloud Apps on käytettävissä vain Microsoft 365 E5 kanssa.

  • Laitteiden hallinta Microsoft Intunen avulla

    Contoso käyttää Microsoft Intune rekisteröidäkseen, hallitakseen ja määrittääkseen käyttöoikeuksia mobiililaitteisiin ja niissä suoritettaviin sovelluksiin. Laitepohjaiset ehdollisen käytön käytännöt edellyttävät myös hyväksyttyjä sovelluksia ja yhteensopivia TIETOKONEita ja mobiililaitteita.

Suojauksen hallinta

  • IT:n keskitetty suojauskoontinäyttö ja Microsoft Defender pilvipalvelulle

    Contoso esittää Microsoft Defender for Cloudin avulla yhtenäisen näkymän suojauksesta ja uhkien suojaamisesta, hallitse suojauskäytäntöjä kaikissa kuormissaan ja vastaa kyberhyökkäyksiin.

  • Keskitetty suojauksen koontinäyttö käyttäjille Windows Defender security Centerin avulla

    Contoso otti Windowsin suojaus sovelluksen käyttöön tietokoneissaan ja laitteissaan, joissa Windows 11 Enterprise, jotta käyttäjät näkevät suojausasentonsa yhdellä silmäyksellä ja ryhtyvät toimiin.