Udostępnij za pośrednictwem

Podsumowanie usługi Microsoft 365 dla zabezpieczeń przedsiębiorstwa dla firmy Contoso Corporation

  • Artykuł

Aby uzyskać zgodę na wdrożenie usługi Microsoft 365 dla przedsiębiorstw, dział zabezpieczeń IT firmy Contoso przeprowadził gruntowny przegląd zabezpieczeń. Zidentyfikowano następujące wymagania dotyczące zabezpieczeń dla chmury:

  • Użyj najsilniejszych metod uwierzytelniania, aby uzyskać dostęp pracowników do zasobów w chmurze.
  • Upewnij się, że komputery i urządzenia przenośne łączą się z aplikacjami i uzyskują do nich dostęp w bezpieczny sposób.
  • Ochrona komputerów i wiadomości e-mail przed złośliwym oprogramowaniem.
  • Uprawnienia do zasobów cyfrowych opartych na chmurze określają, kto może uzyskiwać dostęp do tego, co i co mogą robić, i są przeznaczone dla dostępu z najniższymi uprawnieniami
  • Wrażliwe i wysoce regulowane zasoby cyfrowe są oznaczone etykietami, szyfrowane i przechowywane w bezpiecznych lokalizacjach.
  • Wysoce regulowane zasoby cyfrowe są chronione za pomocą dodatkowego szyfrowania i uprawnień.
  • Pracownicy działu zabezpieczeń IT mogą monitorować bieżącą postawę zabezpieczeń z centralnych pulpitów nawigacyjnych i otrzymywać powiadomienia o zdarzeniach zabezpieczeń w celu szybkiego reagowania i ograniczania ryzyka.

Ścieżka firmy Contoso do gotowości na zabezpieczenia platformy Microsoft 365

Firma Contoso wykonaj następujące kroki, aby przygotować swoje zabezpieczenia do wdrożenia platformy Microsoft 365 dla przedsiębiorstw:

  1. Ograniczanie kont administratorów dla chmury

    Firma Contoso dokonała obszernego przeglądu istniejących kont administratorów Active Directory Domain Services (AD DS) i skonfigurowała szereg dedykowanych kont i grup administratorów chmury.

  2. Klasyfikowanie danych na trzy poziomy zabezpieczeń

    Firma Contoso dokonała dokładnego przeglądu i określiła trzy poziomy, które zostały użyte do zidentyfikowania funkcji platformy Microsoft 365 dla przedsiębiorstw w celu ochrony najcenniejszych danych.

  3. Określanie zasad dostępu, przechowywania i ochrony informacji dla poziomów danych

    Na podstawie poziomów danych firma Contoso określiła szczegółowe wymagania dotyczące kwalifikowania przyszłych obciążeń IT, które są przenoszone do chmury.

Aby postępować zgodnie z najlepszymi rozwiązaniami w zakresie zabezpieczeń i wymaganiami dotyczącymi wdrażania rozwiązania Microsoft 365 dla przedsiębiorstw, administratorzy zabezpieczeń firmy Contoso i jego dział IT wdrożyli wiele funkcji i funkcji zabezpieczeń, zgodnie z opisem w poniższych sekcjach.

Zarządzanie tożsamościami i dostępem

  • Dedykowane konta administratora globalnego z uwierzytelnianiem wieloskładnikowymi i usługą PIM

    Zamiast przypisywać rolę administratora globalnego do codziennych kont użytkowników, firma Contoso utworzyła trzy dedykowane konta administratora globalnego z silnymi hasłami. Konta są chronione przez Microsoft Entra uwierzytelnianie wieloskładnikowe (MFA) i Microsoft Entra Privileged Identity Management (PIM). Usługa PIM jest dostępna tylko w przypadku Microsoft 365 E5.

    Logowanie się przy użyciu administratora kontrolera domeny Microsoft Entra lub konta administratora globalnego odbywa się tylko w przypadku określonych zadań administracyjnych. Hasła są znane tylko wyznaczonym pracownikom i mogą być używane tylko w okresie skonfigurowanym w usłudze Microsoft Entra PIM.

    Administratorzy zabezpieczeń firmy Contoso przypisyli mniejsze role administratora do kont, które są odpowiednie dla funkcji zadania tego procesu roboczego IT.

    Aby uzyskać więcej informacji, zobacz About Microsoft 365 admin roles (Informacje o rolach administratora platformy Microsoft 365).

  • Uwierzytelnianie wieloskładnikowe dla wszystkich kont użytkowników

    Uwierzytelnianie wieloskładnikowe dodaje dodatkową warstwę ochrony do procesu logowania. Wymaga to od użytkowników potwierdzenia połączenia telefonicznego, wiadomości SMS lub powiadomienia aplikacji na smartfonie po poprawnym wprowadzeniu hasła. W przypadku uwierzytelniania wieloskładnikowego Microsoft Entra konta użytkowników są chronione przed nieautoryzowanym logowaniem, nawet jeśli hasło konta zostało naruszone.

    • Aby chronić przed naruszeniem zabezpieczeń subskrypcji platformy Microsoft 365, firma Contoso wymaga uwierzytelniania wieloskładnikowego na wszystkich kontach administratora kontrolera domeny Microsoft Entra lub kontach administratora globalnego.
    • Aby chronić przed atakami wyłudzania informacji, w których osoba atakująca narusza poświadczenia zaufanej osoby w organizacji i wysyła złośliwe wiadomości e-mail, firma Contoso włączyła uwierzytelnianie wieloskładnikowe na wszystkich kontach użytkowników, w tym menedżerów i kadry kierowniczej.

  • Bezpieczniejszy dostęp do urządzeń i aplikacji przy użyciu zasad dostępu warunkowego

    Firma Contoso używa zasad dostępu warunkowego dla tożsamości, urządzeń, Exchange Online i programu SharePoint. Zasady dostępu warunkowego tożsamości obejmują wymaganie zmian haseł dla użytkowników wysokiego ryzyka i blokowanie klientom korzystania z aplikacji, które nie obsługują nowoczesnego uwierzytelniania. Zasady urządzeń obejmują definicję zatwierdzonych aplikacji i wymagają zgodnych komputerów i urządzeń przenośnych. Exchange Online zasady dostępu warunkowego obejmują blokowanie klientów activesync i konfigurowanie szyfrowania komunikatów Office 365. Zasady dostępu warunkowego programu SharePoint obejmują dodatkową ochronę poufnych i wysoce regulowanych witryn.

  • Windows Hello dla firm

    Firma Contoso wdrożyła Windows Hello dla firm, aby ostatecznie wyeliminować potrzebę haseł poprzez silne uwierzytelnianie dwuskładnikowe na komputerach i urządzeniach przenośnych z uruchomionymi Windows 11 Enterprise.

  • Windows Defender Credential Guard

    Aby zablokować ukierunkowane ataki i złośliwe oprogramowanie działające w systemie operacyjnym z uprawnieniami administracyjnymi, firma Contoso włączyła funkcję Windows Defender Credential Guard za pośrednictwem zasad grupy usług AD DS.

Ochrona przed zagrożeniami

  • Ochrona przed złośliwym oprogramowaniem za pomocą programu antywirusowego Microsoft Defender

    Firma Contoso używa programu antywirusowego Microsoft Defender do ochrony przed złośliwym oprogramowaniem i zarządzania złośliwym oprogramowaniem dla komputerów i urządzeń z uruchomionymi Windows 11 Enterprise.

  • Bezpieczny przepływ poczty e-mail i rejestrowanie inspekcji skrzynki pocztowej przy użyciu Ochrona usługi Office 365 w usłudze Microsoft Defender

    Firma Contoso używa Exchange Online Protection i Ochrona usługi Office 365 w usłudze Defender do ochrony przed nieznanym złośliwym oprogramowaniem, wirusami i złośliwymi adresami URL przesyłanych za pośrednictwem wiadomości e-mail.

    Firma Contoso włączyła również rejestrowanie inspekcji skrzynek pocztowych, aby określić, kto loguje się do skrzynek pocztowych użytkowników, wysyła wiadomości i wykonuje inne działania wykonywane przez właściciela skrzynki pocztowej, delegowanego użytkownika lub administratora.

  • Monitorowanie i zapobieganie atakom za pomocą Office 365 badania zagrożeń i reagowania na nie

    Firma Contoso używa Office 365 badania zagrożeń i reagowania na nie, aby chronić użytkowników, ułatwiając identyfikowanie i rozwiązywanie ataków oraz zapobieganie przyszłym atakom.

  • Ochrona przed zaawansowanymi atakami za pomocą usługi Advanced Threat Analytics

    Firma Contoso używa usługi Advanced Threat Analytics (ATA), aby chronić się przed zaawansowanymi atakami ukierunkowanymi. Usługa ATA automatycznie analizuje, uczy się i identyfikuje normalne i nietypowe zachowanie jednostki (użytkownika, urządzeń i zasobów).

Ochrona informacji

  • Ochrona poufnych i wysoce regulowanych zasobów cyfrowych za pomocą etykiet usługi Azure Information Protection

    Firma Contoso określiła trzy poziomy ochrony danych i wdrożyła etykiety poufności platformy Microsoft 365 stosowane przez użytkowników do zasobów cyfrowych. Ze względu na swoje tajemnice handlowe i inną własność intelektualną firma Contoso używa podlab poufności do danych wysoce regulowanych. Ten proces szyfruje zawartość i ogranicza dostęp do określonych kont użytkowników i grup.

  • Zapobieganie wyciekom danych intranetowych dzięki zapobieganiu utracie danych

    Firma Contoso skonfigurowała zasady Ochrona przed utratą danych w Microsoft Purview dla Exchange Online, SharePoint i OneDrive dla Firm, aby uniemożliwić użytkownikom przypadkowe lub celowe udostępnianie poufnych danych.

  • Zapobieganie wyciekom danych urządzenia w systemie Windows Information Protection

    Firma Contoso używa systemu Windows Information Protection (WIP) do ochrony przed wyciekami danych za pośrednictwem internetowych aplikacji i usług oraz aplikacji i danych przedsiębiorstwa na urządzeniach należących do przedsiębiorstwa i urządzeniach osobistych, które pracownicy wprowadzają do pracy.

  • Monitorowanie chmury za pomocą Microsoft Defender for Cloud Apps

    Firma Contoso używa Microsoft Defender for Cloud Apps do mapowania środowiska chmury, monitorowania jego użycia oraz wykrywania zdarzeń i zdarzeń zabezpieczeń. Microsoft Defender for Cloud Apps jest dostępna tylko w przypadku Microsoft 365 E5.

  • Zarządzanie urządzeniami za pomocą usługi Microsoft Intune

    Firma Contoso używa Microsoft Intune do rejestrowania i konfigurowania dostępu do urządzeń przenośnych i aplikacji na nich uruchomionych oraz zarządzania nimi. Zasady dostępu warunkowego oparte na urządzeniach wymagają również zatwierdzonych aplikacji oraz zgodnych komputerów i urządzeń przenośnych.

Zarządzanie zabezpieczeniami

  • Centralny pulpit nawigacyjny zabezpieczeń dla it z usługą Microsoft Defender for Cloud

    Firma Contoso używa Microsoft Defender for Cloud, aby przedstawić ujednolicony widok zabezpieczeń i ochrony przed zagrożeniami, zarządzać zasadami zabezpieczeń w ramach swoich obciążeń i reagować na cyberataki.

  • Centralny pulpit nawigacyjny zabezpieczeń dla użytkowników z usługą Windows Defender Security Center

    Firma Contoso wdrożyła aplikację Zabezpieczenia Windows na swoich komputerach i urządzeniach z systemem Windows 11 Enterprise, aby użytkownicy mogli szybko zobaczyć swoją postawę zabezpieczeń i podjąć działania.