Поделиться через

Сводка по Microsoft 365 для корпоративной безопасности корпорации Contoso

  • Статья

Чтобы получить разрешение на развертывание Microsoft 365 для предприятий, отдел ИТ-безопасности Contoso провел тщательную проверку безопасности. Они определили следующие требования к безопасности для облака:

  • Используйте самые надежные методы проверки подлинности для доступа сотрудников к облачным ресурсам.
  • Убедитесь, что компьютеры и мобильные устройства безопасно подключаются к приложениям и получают доступ к ней.
  • Защита компьютеров и электронной почты от вредоносных программ.
  • Разрешения для облачных цифровых ресурсов определяют, кто может получить доступ к чему и что они могут делать, и предназначены для доступа с минимальными привилегиями.
  • Конфиденциальные и строго регулируемые цифровые активы маркируются, шифруются и хранятся в безопасных местах.
  • Строго регулируемые цифровые ресурсы защищены с помощью дополнительного шифрования и разрешений.
  • Ит-специалисты по безопасности могут отслеживать текущее состояние безопасности с центральных панелей мониторинга и получать уведомления о событиях безопасности для быстрого реагирования и устранения рисков.

Путь Contoso к готовности системы безопасности Microsoft 365

Компания Contoso выполнила следующие действия, чтобы подготовить систему безопасности к развертыванию Microsoft 365 для предприятий:

  1. Ограничение учетных записей администраторов в облаке

    Компания Contoso провела обширный обзор существующих учетных записей администраторов доменные службы Active Directory (AD DS) и настроила ряд выделенных облачных учетных записей и групп администраторов.

  2. Классификация данных по трем уровням безопасности

    Компания Contoso провела тщательную проверку и определила три уровня, которые использовались для определения microsoft 365 для корпоративных функций для защиты наиболее ценных данных.

  3. Определение политик защиты информации, политик доступа к ней и ее хранения согласно уровням данных.

    На основе уровней данных компания Contoso определила подробные требования для определения будущих ИТ-рабочих нагрузок, которые будут перемещены в облако.

Чтобы следовать рекомендациям по обеспечению безопасности и Требованиям microsoft 365 для корпоративного развертывания, администраторы безопасности Contoso и ее ИТ-отдел развернули множество функций и возможностей безопасности, как описано в следующих разделах.

Управление идентификацией и доступом

  • Специальные учетные записи глобального администратора с использованием MFA и PIM

    Вместо назначения роли глобального администратора учетным записям обычных пользователей компания Contoso создала три выделенные учетные записи глобального администратора со строгими паролями. Учетные записи защищены Microsoft Entra многофакторной проверкой подлинности (MFA) и Microsoft Entra управление привилегированными пользователями (PIM). PIM доступно только с Microsoft 365 E5.

    Вход с помощью Microsoft Entra администратора контроллера домена или учетной записи глобального администратора выполняется только для определенных административных задач. Пароли известны только назначенным сотрудникам и могут использоваться только в течение периода времени, настроенного в Microsoft Entra PIM.

    Администраторы безопасности Contoso назначили меньше ролей администратора учетным записям, которые соответствуют функции задания этого ИТ-работника.

    Дополнительные сведения см. в статье Роли администраторов в Microsoft 365.

  • Многофакторная проверка подлинности для всех учетных записей пользователей

    MFA добавляет дополнительный уровень защиты для процесса входа. Пользователи должны подтвердить телефонный звонок, текстовое сообщение или уведомление приложения на своем смартфоне после правильного ввода пароля. С помощью MFA учетные записи пользователей Microsoft Entra защищены от несанкционированного входа, даже если пароль учетной записи скомпрометирован.

    • Чтобы защититься от компрометации подписки На Microsoft 365, компании Contoso требуется MFA для всех Microsoft Entra администраторов контроллера домена или глобальных администраторов.
    • Для защиты от фишинговых атак, в ходе которых злоумышленник компрометирует учетные данные надежного пользователя в организации и отправляет вредоносные письма, в Contoso реализовали MFA для всех учетных записей пользователей, в том числе начальников отделов и высшего руководства.

  • Повышение безопасности доступа для устройств и приложений с помощью политик условного доступа

    Компания Contoso использует политики условного доступа для удостоверений, устройств, Exchange Online и SharePoint. Политики условного доступа удостоверений включают требование изменения пароля для пользователей с высоким риском и блокирование клиентов от использования приложений, которые не поддерживают современную проверку подлинности. Политики устройств включают определение утвержденных приложений и требуют наличия компьютеров и мобильных устройств, соответствующих требованиям. Exchange Online политики условного доступа включают блокировку клиентов ActiveSync и настройку шифрования сообщений Office 365. Политики условного доступа SharePoint включают дополнительную защиту конфиденциальных и строго регулируемых сайтов.

  • Windows Hello для бизнеса

    Компания Contoso развернула Windows Hello для бизнеса, чтобы в конечном итоге исключить необходимость в паролях с помощью надежной двухфакторной проверки подлинности на компьютерах и мобильных устройствах под управлением Windows 11 Корпоративная.

  • Credential Guard в Защитнике Windows

    Чтобы заблокировать целевые атаки и вредоносные программы, выполняемые в операционной системе с правами администратора, contoso включила Credential Guard в Защитнике Windows с помощью групповой политики AD DS.

Защита от угроз

  • Защита от вредоносных программ с помощью антивирусной программы Microsoft Defender

    Компания Contoso использует антивирусную программу Microsoft Defender для защиты от вредоносных программ и защиты от вредоносных программ для компьютеров и устройств под управлением Windows 11 Корпоративная.

  • Защита потока электронной почты и ведения журнала аудита почтовых ящиков с помощью Microsoft Defender для Office 365

    Компания Contoso использует Exchange Online Protection и Defender для Office 365 для защиты от неизвестных вредоносных программ, вирусов и вредоносных URL-адресов, передаваемых по электронной почте.

    Компания Contoso также включила ведение журнала аудита почтовых ящиков, чтобы определить, кто входит в почтовые ящики пользователей, отправляет сообщения и выполняет другие действия, выполняемые владельцем почтового ящика, делегированным пользователем или администратором.

  • Мониторинг и предотвращение атак с помощью инструмента анализа угроз и реагирования на них в Office 365

    Компания Contoso использует Office 365 исследования угроз и реагирования на нее для защиты пользователей, упрощая выявление и устранение атак, а также предотвращение будущих атак.

  • Защита от сложных угроз с помощью Advanced Threat Analytics

    Компания Contoso использует Advanced Threat Analytics (ATA) для защиты от расширенных целевых атак. ATA автоматически анализирует, изучает и определяет нормальное и аномальное поведение сущностей (пользователей, устройств и ресурсов).

Защита информации

  • Защита конфиденциальных и жестко регулируемых цифровых ресурсов с помощью меток Azure Information Protection

    Компания Contoso определила три уровня защиты данных и развернула метки конфиденциальности Microsoft 365 , которые пользователи применяют к цифровым ресурсам. Для своей коммерческой тайны и другой интеллектуальной собственности компания Contoso использует вложенные метки конфиденциальности для строго регулируемых данных. Этот процесс шифрует содержимое и ограничивает доступ к определенным учетным записям пользователей и группам.

  • Предотвращение утечки данных интрасети с помощью защиты от потери данных

    Компания Contoso настроит политики Защита от потери данных Microsoft Purview для Exchange Online, SharePoint и OneDrive для бизнеса, чтобы запретить пользователям случайно или намеренно предоставлять общий доступ к конфиденциальным данным.

  • Предотвращение утечек данных на устройстве с помощью Windows Information Protection

    Компания Contoso использует Windows Information Protection (WIP) для защиты от утечки данных через интернет-приложения и службы, а также корпоративные приложения и данные на корпоративных устройствах и личных устройствах, которые сотрудники привозят на работу.

  • Мониторинг облака с помощью Microsoft Defender for Cloud Apps

    Компания Contoso использует Microsoft Defender for Cloud Apps для сопоставления облачной среды, мониторинга ее использования и обнаружения событий и инцидентов безопасности. Microsoft Defender for Cloud Apps доступно только для Microsoft 365 E5.

  • Управление устройствами с использованием Microsoft Intune

    Компания Contoso использует Microsoft Intune для регистрации, управления и настройки доступа к мобильным устройствам и приложениям, работающим на них. Политики условного доступа на основе устройств также требуют утвержденных приложений и соответствующих требованиям компьютеров и мобильных устройств.

Управление безопасностью

  • Центральная панель мониторинга безопасности для ИТ с Microsoft Defender для облака

    Компания Contoso использует Microsoft Defender для облака, чтобы представить единое представление о безопасности и защите от угроз, управлять политиками безопасности в своих рабочих нагрузках и реагировать на кибератаки.

  • Центральная панель мониторинга безопасности, доступная пользователям на консоли "Безопасность Windows"

    Компания Contoso развернула приложение Безопасность Windows на своих компьютерах и устройствах под управлением Windows 11 Корпоративная, чтобы пользователи могли быстро увидеть состояние безопасности и принять меры.