共用方式為

Microsoft 365 中優先帳戶的安全性建議

提示

您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。

並非所有用戶帳戶都可以存取相同的公司資訊。 某些帳戶可以存取敏感性資訊,例如財務數據、產品開發資訊、重要組建系統的合作夥伴存取權等等。 如果遭到入侵,可存取高度機密資訊的帳戶會造成嚴重威脅。 我們將這些類型的帳戶 稱為優先帳戶。 優先帳戶包含 (,但不限於) CEO、CISO、CPO、基礎結構系統管理員帳戶、組建系統帳戶等等。

適用於 Office 365 的 Microsoft Defender 支援優先順序帳戶作為標籤,可用於警示、報告和調查的篩選。 如需詳細資訊,請參閱 適用於 Office 365 的 Microsoft Defender 中的用戶標籤

對於攻擊者而言,為一般或未知使用者轉換隨機網路的一般網路釣魚攻擊效率不佳。 另一方面,以優先順序帳戶為目標的 魚叉式網路釣魚捕擷取 攻擊對攻擊者而言非常有報酬。 因此,優先順序帳戶需要比一般保護更強大的保護,以協助防止帳戶遭到入侵。

Microsoft 365 和 適用於 Office 365 的 Microsoft Defender 包含數個重要功能,可為您的優先帳戶提供額外的安全性層級。 本文說明這些功能及其使用方式。

圖示形式的安全性建議摘要

工作 所有 Office 365 企業版 方案 Microsoft 365 E3 Microsoft 365 E5
提高優先順序帳戶的登入安全性
針對優先順序帳戶使用嚴格預設安全策略
將使用者標籤套用至優先順序帳戶
監視警示、報告和偵測中的優先順序帳戶
訓練使用者

注意事項

如需保護特殊 許可權帳戶 (系統管理員帳戶) 的相關信息,請參閱 本主題

提高優先順序帳戶的登入安全性

優先順序帳戶需要提高登入安全性。 您可以藉由要求多重要素驗證 (MFA) 並停用舊版驗證通訊協定,來提高其登入安全性。

如需指示,請參閱 步驟 1。使用 MFA 提高遠端工作者的登入安全性。 雖然本文是關於遠端工作者,但相同的概念也適用於優先使用者。

注意:強烈建議您全域停用所有優先順序使用者的舊版驗證通訊協定,如上一篇文章所述。 如果您的商務需求讓您無法這麼做,Exchange Online 提供下列控件來協助限制舊版驗證通訊協定的範圍:

另值得注意的是,Exchange Web Services (EWS) 、Exchange ActiveSync、POP3、IMAP4 和遠端 PowerShell Exchange Online 中正在淘汰基本身份驗證。 如需詳細資訊,請參閱此 部落格文章

針對優先順序帳戶使用嚴格預設安全策略

優先使用者需要針對 Exchange Online Protection (EOP) 和 適用於 Office 365 的 Defender 中提供的各種保護採取更嚴格的動作。

例如,您不應該將分類為垃圾郵件的郵件傳遞至垃圾郵件 Email 資料夾,而是應該隔離這些相同的郵件,如果這些郵件是用於優先帳戶。

您可以使用預設安全策略中的 Strict 配置檔,針對優先順序帳戶實作此嚴格的方法。

默認安全策略是一個方便且集中的位置,可針對 EOP 和 適用於 Office 365 的 Defender 中的所有保護套用我們建議的 Strict 原則設定。 如需詳細資訊,請參閱 EOP 和 適用於 Office 365 的 Microsoft Defender 中的預設安全策略

如需 Strict 原則設定與預設和 Standard 原則設定有何差異的詳細資訊,請參閱 EOP 和 適用於 Office 365 的 Microsoft Defender 安全性的建議設定

將使用者標籤套用至優先順序帳戶

適用於 Office 365 的 Microsoft Defender 方案 2 (中的使用者標籤作為 Microsoft 365 E5 或附加元件訂閱) 的一部分,是快速識別和分類報表和事件調查中特定使用者或使用者群組的方法。

優先順序帳戶 是一種內建用戶標籤 (稱為 系統標籤) ,可用來識別涉及優先順序帳戶的事件和警示。 如需 優先順序帳戶的詳細資訊,請 參閱管理和監視優先順序帳戶

您也可以建立自定義標籤,以進一步識別和分類您的優先順序帳戶。 如需詳細資訊,請參閱 使用者標籤。 您可以在與自訂使用者標籤相同的介面中管理) (系統標籤的 優先順序帳戶

監視警示、報告和偵測中的優先順序帳戶

保護並標記優先用戶之後,您可以使用 EOP 和 適用於 Office 365 的 Defender 中可用的報告、警示和調查,快速識別涉及優先順序帳戶的事件或偵測。 下表說明支援使用者標籤的功能。

功能 描述
警示 受影響使用者的使用者標籤會在 Microsoft Defender 入口網站的 [警示] 頁面上顯示並作為篩選條件。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的警示原則
事件 所有相互關聯警示的使用者標籤都會顯示在 Microsoft Defender 入口網站的 [事件] 頁面上。 如需詳細資訊,請 參閱管理事件和警示
自訂警示原則 您可以根據 Microsoft Defender 入口網站中的使用者標籤來建立警示原則。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的警示原則
總管

即時偵測

 管 (適用於 Office 365 的 Defender 方案 2) 或即時偵測 (適用於 Office 365 的 Defender 方案 1) 中,使用者標籤會顯示在 Email 方格檢視和 Email 詳細數據飛出視窗中。 用戶標籤也可做為可篩選的屬性。 如需詳細資訊,請參閱 威脅總管中的標籤
電子郵件實體頁面 您可以根據 Microsoft 365 E5 和 適用於 Office 365 的 Defender 方案 1 和方案 2 中所套用的使用者標籤來篩選電子郵件。 如需詳細資訊,請參閱 Email 實體頁面
行銷活動檢視 用戶標籤是方案 2 適用於 Office 365 的 Microsoft Defender 行銷活動檢視中許多可篩選屬性之一。 如需詳細資訊,請參閱 行銷活動檢視
威脅防護狀態報告 在威脅 防護狀態報告中幾乎所有檢視和詳細數據表中,您可以依 優先順序帳戶篩選結果。 如需詳細資訊,請參閱 威脅防護狀態報告
熱門寄件人和收件者報告 您可以將此使用者標籤新增至組織中的前 20 名郵件寄件者。 如需詳細資訊,請 參閱熱門寄件人和收件者報告
遭入侵的用戶報告 在具有 Exchange Online 信箱的Microsoft 365 組織中,標示為可疑受限制的使用者帳戶會顯示在此報告中。 如需詳細資訊,請參閱 遭入侵的用戶報告
管理員 提交和用戶回報的訊息 使用 Microsoft Defender 入口網站中的 [提交] 頁面,將電子郵件訊息、URL 和附件提交至Microsoft進行分析。 如需詳細資訊,請參閱 管理員 提交和用戶回報的訊息
隔離 隔離可在 Exchange Online 或獨立 Exchange Online Protection (EOP) 組織的 365 Microsoft組織中保存潛在危險或垃圾郵件。 如需詳細資訊,請參閱 隔離電子郵件訊息
攻擊模擬 若要測試您的安全策略和做法,請為目標使用者執行良性網路攻擊模擬。 如需詳細資訊,請參閱 攻擊模擬
Email 優先順序帳戶報告的問題 Exchange 系統管理中心 (EAC ) 中優先帳戶報告的 Email 問題,包含優先帳戶未傳遞和延遲訊息的相關信息。 如需詳細資訊,請參閱 Email 優先帳戶的問題報告

訓練使用者

使用優先帳戶訓練使用者有助於節省這些使用者和安全性作業小組許多時間和挫折感。 精明的使用者較不可能開啟附件或按兩下有問題電子郵件訊息中的連結,而且他們更可能避免可疑的網站。

[偵測到學校 網路安全性活動手冊 ] 提供絕佳的指引,可讓您在組織內建立強大的安全性意識文化,包括訓練使用者識別網路釣魚攻擊。

Microsoft 365 提供下列資源來協助通知組織中的使用者:

概念 資源 描述
Microsoft 365 可自定義的學習路徑 這些資源可協助您為組織中的用戶進行訓練。
Microsoft 365 安全性 學習課程模組:使用來自 Microsoft 365 的內建智慧型安全性來保護您的組織 本課程模組可讓您描述Microsoft 365安全性功能如何共同運作,並清楚說明這些安全性功能的優點。
多重要素驗證 下載並安裝 Microsoft Authenticator 應用程式 本文可協助使用者了解什麼是多重要素驗證,以及為什麼會在您的組織中使用。
攻擊模擬訓練 開始使用攻擊模擬訓練 適用於 Office 365 的 Microsoft Defender 方案 2 中的 攻擊模擬訓練 可讓系統管理員設定、啟動及追蹤針對特定使用者群組的模擬網路釣魚攻擊。

此外,Microsoft建議使用者採取本文所述的動作: 保護您的帳戶和裝置免於遭受駭客和惡意代碼攻擊。 這些動作包括:

  • 使用強密碼
  • 保護裝置
  • 針對非受控裝置啟用 Windows 和 Mac 電腦 (的安全性功能)

另請參閱