Riepilogo di Microsoft 365 per la sicurezza aziendale per Contoso Corporation
Per ottenere l'approvazione per distribuire Microsoft 365 per le aziende, il reparto sicurezza IT di Contoso ha condotto una revisione approfondita della sicurezza. Sono stati identificati i requisiti di sicurezza seguenti per il cloud:
- Usare i metodi di autenticazione più sicuri per l'accesso dei dipendenti alle risorse cloud.
- Assicurarsi che PC e dispositivi mobili connettono e accedono alle applicazioni in modo sicuro.
- Proteggere i PC e la posta elettronica dal malware.
- Le autorizzazioni per gli asset digitali basati sul cloud definiscono chi può accedere a cosa e cosa possono fare e sono progettate per l'accesso con privilegi minimi
- Gli asset digitali sensibili e altamente regolamentati vengono etichettati, crittografati e archiviati in posizioni sicure.
- Gli asset digitali altamente regolamentati sono protetti con crittografia e autorizzazioni aggiuntive.
- Il personale di sicurezza IT può monitorare il comportamento di sicurezza corrente dai dashboard centrali e ricevere notifiche sugli eventi di sicurezza per una risposta e una mitigazione rapide.
Percorso contoso per l'idoneità alla sicurezza di Microsoft 365
Contoso ha seguito questi passaggi per preparare la sicurezza per la distribuzione di Microsoft 365 per le aziende:
Limitare gli account amministratore per il cloud
Contoso ha esaminato in modo approfondito gli account di amministratore Active Directory Domain Services (AD DS) esistenti e ha configurato una serie di account e gruppi di amministratori cloud dedicati.
Classificare i dati in tre livelli di sicurezza
Contoso ha eseguito un'attenta revisione e ha determinato i tre livelli usati per identificare le funzionalità di Microsoft 365 for enterprise per proteggere i dati più preziosi.
Determinare i criteri di accesso, conservazione e protezione dei dati per i livelli di dati
In base ai livelli di dati, Contoso ha determinato requisiti dettagliati per qualificare i carichi di lavoro IT futuri spostati nel cloud.
Per seguire le procedure consigliate per la sicurezza e i requisiti di distribuzione aziendali di Microsoft 365, gli amministratori della sicurezza di Contoso e il relativo reparto IT hanno distribuito molte funzionalità e funzionalità di sicurezza, come descritto nelle sezioni seguenti.
Gestione delle identità e degli accessi
Account di amministratore globale dedicati con MFA e PIM
Invece di assegnare il ruolo di amministratore globale agli account utente di tutti i giorni, Contoso ha creato tre account amministratore globale dedicati con password complesse. Gli account sono protetti da Microsoft Entra autenticazione a più fattori (MFA) e Microsoft Entra Privileged Identity Management (PIM). PIM è disponibile solo con Microsoft 365 E5.
L'accesso con un amministratore del controller di dominio Microsoft Entra o un account amministratore globale viene eseguito solo per attività amministrative specifiche. Le password sono note solo al personale designato e possono essere usate solo entro un periodo di tempo configurato in Microsoft Entra PIM.
Gli amministratori della sicurezza di Contoso hanno assegnato ruoli di amministratore inferiori agli account appropriati per la funzione di lavoro del ruolo di lavoro it.
Per ulteriori informazioni, vedere Informazioni sui ruoli di amministratore di Microsoft 365.
MFA per tutti gli account utente
MFA aggiunge un ulteriore livello di protezione al processo di accesso. Richiede agli utenti di confermare una telefonata, un SMS o una notifica dell'app sullo smartphone dopo aver immesso correttamente la password. Con MFA, Microsoft Entra account utente sono protetti da accessi non autorizzati, anche se una password dell'account è compromessa.
- Per proteggersi dalla compromissione della sottoscrizione di Microsoft 365, Contoso richiede l'autenticazione a più fattori in tutti gli account amministratore del controller di dominio Microsoft Entra o amministratore globale.
- Per proteggersi da attacchi di phishing, nei quali un utente malintenzionato compromette le credenziali di una persona attendibile dell'organizzazione e invia messaggi di posta elettronica pericolosi, Contoso ha abilitato MFA per tutti gli account utente, inclusi i responsabili e i dirigenti.
Accesso alle applicazioni e ai dispositivi più sicuro con i criteri di accesso condizionale
Contoso usa criteri di accesso condizionale per identità, dispositivi, Exchange Online e SharePoint. I criteri di accesso condizionale delle identità includono la richiesta di modifiche delle password per gli utenti ad alto rischio e il blocco dei client dall'uso di app che non supportano l'autenticazione moderna. I criteri dei dispositivi includono la definizione di app approvate e la richiesta di PC e dispositivi mobili conformi. Exchange Online criteri di accesso condizionale includono il blocco dei client ActiveSync e la configurazione della crittografia dei messaggi Office 365. I criteri di accesso condizionale di SharePoint includono una protezione aggiuntiva per i siti sensibili e altamente regolamentati.
Windows Hello for Business
Contoso ha distribuito Windows Hello for Business per eliminare infine la necessità di password tramite l'autenticazione a due fattori avanzata nei PC e nei dispositivi mobili che eseguono Windows 11 Enterprise.
Windows Defender Credential Guard
Per bloccare attacchi mirati e malware in esecuzione nel sistema operativo con privilegi amministrativi, Contoso ha abilitato Windows Defender Credential Guard tramite i criteri di gruppo di Active Directory Domain Services.
Protezione dalle minacce
Protezione da malware con antivirus Microsoft Defender
Contoso usa Microsoft Defender Antivirus per la protezione dal malware e la gestione antimalware per PC e dispositivi in esecuzione Windows 11 Enterprise.
Proteggere la registrazione di controllo del flusso di posta elettronica e della cassetta postale con Microsoft Defender per Office 365
Contoso usa Exchange Online Protection e Defender per Office 365 per proteggere da malware, virus e URL dannosi sconosciuti trasmessi tramite posta elettronica.
Contoso ha inoltre abilitato la registrazione di controllo delle cassette postali per identificare chi accede alle cassette postali utente, invia messaggi ed esegue altre attività eseguite dal proprietario della cassetta postale, da un utente delegato o da un amministratore.
Monitoraggio e prevenzione dagli attacchi con Office 365 Analisi e risposta alle minacce
Contoso usa Office 365'analisi delle minacce e la risposta per proteggere gli utenti semplificando l'identificazione e l'affrontare gli attacchi e per prevenire attacchi futuri.
Protezione da attacchi sofisticati con Advanced Threat Analytics
Contoso usa Advanced Threat Analytics (ATA) per proteggersi da attacchi mirati avanzati. ATA analizza, apprende e identifica automaticamente il comportamento delle entità normali e anomale (utente, dispositivi e risorse).
Protezione delle informazioni
Proteggere le risorse digitali sensibili e altamente regolamentate con le etichette di Azure Information Protection
Contoso ha determinato tre livelli di protezione dei dati e ha distribuito etichette di riservatezza di Microsoft 365 che gli utenti applicano agli asset digitali. Per i segreti commerciali e altre proprietà intellettuali, Contoso usa etichette secondarie di riservatezza per i dati altamente regolamentati. Questo processo crittografa il contenuto e limita l'accesso a specifici account utente e gruppi.
Prevenire perdite di dati Intranet con la prevenzione della perdita dei dati
Contoso ha configurato i criteri di Prevenzione della perdita dei dati Microsoft Purview per Exchange Online, SharePoint e OneDrive for Business per impedire agli utenti di condividere accidentalmente o intenzionalmente dati sensibili.
Prevenire perdite di dati dei dispositivi con Windows Information Protection
Contoso usa Windows Information Protection (WIP) per proteggersi dalla perdita di dati tramite app e servizi basati su Internet e app aziendali e dati su dispositivi di proprietà dell'azienda e dispositivi personali che i dipendenti portano al lavoro.
Monitoraggio cloud con Microsoft Defender for Cloud Apps
Contoso usa Microsoft Defender for Cloud Apps per eseguire il mapping dell'ambiente cloud, monitorarne l'utilizzo e rilevare eventi e eventi imprevisti di sicurezza. Microsoft Defender for Cloud Apps è disponibile solo con Microsoft 365 E5.
Gestione dei dispositivi con Microsoft Intune
Contoso usa Microsoft Intune per registrare, gestire e configurare l'accesso ai dispositivi mobili e alle app in esecuzione su di essi. I criteri di accesso condizionale basato su dispositivo richiedono anche app approvate e PC e dispositivi mobili conformi.
Gestione della sicurezza
Dashboard di sicurezza centrale per l'IT con Microsoft Defender per il cloud
Contoso usa la Microsoft Defender per il cloud per presentare una visualizzazione unificata della sicurezza e della protezione dalle minacce, per gestire i criteri di sicurezza nei carichi di lavoro e per rispondere agli attacchi informatici.
Dashboard della sicurezza centrale per gli utenti con Windows Defender Security Center
Contoso ha distribuito l'app Sicurezza di Windows ai pc e ai dispositivi in esecuzione Windows 11 Enterprise in modo che gli utenti possano visualizzare il proprio comportamento di sicurezza a colpo d'occhio e intervenire.