共用方式為

Contoso Corporation 企業安全性Microsoft 365 摘要

  • 發行項

為了取得企業版 365 Microsoft部署核准,Contoso IT 安全性部門進行了徹底的安全性檢閱。 他們識別出雲端的下列安全性需求:

  • 針對員工存取雲端資源使用最強大的驗證方法。
  • 請確定電腦和行動裝置以安全的方式連線和存取應用程式。
  • 保護計算機和電子郵件免於惡意代碼攻擊。
  • 雲端式數位資產的許可權會定義誰可以存取其可執行的動作,以及專為最低許可權存取而設計
  • 敏感性和高度管制的數字資產會加上標籤、加密,並儲存在安全的位置。
  • 高度管制的數字資產會受到額外的加密和許可權保護。
  • IT 安全性人員可以從中央儀錶板監視目前的安全性狀態,並收到安全性事件的通知,以快速回應和緩和。

Microsoft 365 安全性整備的 Contoso 路徑

Contoso 遵循下列步驟來準備其安全性,以部署 Microsoft 365 企業版:

  1. 限制雲端的系統管理員帳戶

    Contoso 已廣泛檢閱其現有的 Active Directory 網域服務 (AD DS) 系統管理員帳戶,並設定一系列的專用雲端系統管理員帳戶和群組。

  2. 將數據分類為三個安全性層級

    Contoso 已仔細檢閱並判斷三個層級,這三個層級可用來識別企業功能的Microsoft 365,以保護最有價值的數據。

  3. 決定數據層級的存取、保留和資訊保護原則

    根據數據層級,Contoso 決定要符合未來移至雲端之 IT 工作負載的詳細需求。

為了遵循安全性最佳做法,並Microsoft 365 企業版部署需求,Contoso 安全性系統管理員及其 IT 部門部署了許多安全性功能,如下列各節所述。

身分識別與存取管理

  • 專用的全域管理員帳戶 (具有 MFA 和 PIM)

    Contoso 不是將全域系統管理員角色指派給日常用戶帳戶,而是建立了三個具有強密碼的專用全域系統管理員帳戶。 這些帳戶會受到 Microsoft Entra 多重要素驗證的保護, (MFA) 和 Microsoft Entra Privileged Identity Management (PIM) 。 PIM 僅在 Microsoft 365 E5 中提供。

    使用 Microsoft Entra DC 系統管理員全域系統管理員帳戶登入僅適用於特定的系統管理工作。 只有指定的員工才能知道密碼,而且只能在 Microsoft Entra PIM 中設定的一段時間內使用。

    Contoso 安全性系統管理員已將較少的系統管理員角色指派給適合該 IT 工作者作業功能的帳戶。

    如需詳細資訊,請參閱關於 Microsoft 365 系統管理員角色

  • 適用於所有使用者帳戶的 MFA

    MFA 會為登入程式新增額外的保護層。 用戶必須確認智慧型手機上的通話、簡訊或應用程式通知,才能正確輸入其密碼。 使用 MFA 時,Microsoft Entra 用戶帳戶會受到保護,免於未經授權的登入,即使帳戶密碼遭到入侵也一般。

    • 為了防止Microsoft 365 訂用帳戶遭到入侵,Contoso 需要所有 Microsoft Entra DC 系統管理員全域系統管理員帳戶的 MFA。
    • 為了防範網路釣魚攻擊,在此類攻擊中攻擊者會入侵組織中受信任人員的認證,並且傳送惡意電子郵件,Contoso 在所有使用者帳戶上啟用了 MFA,包括經理和決策階層。

  • 使用條件式存取原則獲得更安全的裝置和應用程式存取

    Contoso 針對身分識別、裝置、Exchange Online 和 SharePoint 使用條件式存取原則。 身分識別條件式存取原則包括要求高風險使用者進行密碼變更,以及封鎖用戶端使用不支援新式驗證的應用程式。 裝置原則包括已核准應用程式的定義,以及需要符合規範的計算機和行動裝置。 Exchange Online 條件式存取原則包括封鎖 ActiveSync 用戶端和設定 Office 365 訊息加密。 SharePoint 條件式存取原則包含敏感性和高度管制網站的其他保護。

  • Windows Hello 企業版

    Contoso 已部署 Windows Hello 企業版,以在執行 Windows 11 企業版 的計算機和行動裝置上透過強式雙因素驗證,最終消除密碼的需求。

  • Windows Defender Credential Guard

    為了封鎖以系統管理許可權在操作系統中執行的目標攻擊和惡意代碼,Contoso 已透過 AD DS 組策略啟用 Windows Defender Credential Guard

威脅防護

  • 使用 Microsoft Defender 防病毒軟體來防範惡意代碼

    Contoso 針對執行 Windows 11 企業版 的電腦和裝置,使用 Microsoft Defender 防病毒軟體進行惡意代碼保護和反惡意代碼管理。

  • 使用 適用於 Office 365 的 Microsoft Defender 保護電子郵件流程和信箱稽核記錄

    Contoso 使用 Exchange Online Protection 和 適用於 Office 365 的 Defender 來防範透過電子郵件傳輸的未知惡意代碼、病毒和惡意 URL。

    Contoso 也啟用信箱稽核記錄,以識別誰登入使用者信箱、傳送郵件,以及執行信箱擁有者、委派的使用者或系統管理員執行的其他活動。

  • 使用 Office 365 威脅調查及回應來進行攻擊監視和防護

    Contoso 會使用 Office 365 威脅調查和回應來保護使用者,方法是讓您輕鬆地識別和解決攻擊,以及防止未來的攻擊。

  • 使用 Advanced Threat Analytics 來防護縝密的攻擊

    Contoso 使用 Advanced Threat Analytics (ATA) 來保護自己免於遭受進階目標攻擊。 ATA 會自動分析、學習及識別一般和異常實體 (用戶、裝置和資源) 行為。

資訊保護

  • 使用 Azure 資訊保護標籤來保護機密和高管制數位資產

    Contoso 決定三個層級的數據保護,並部署Microsoft使用者套用至數字資產 的 365 敏感度標籤 。 針對其商業秘密和其他智慧財產權,Contoso 會針對高度管制的數據使用敏感度子卷標。 此程式會加密內容,並限制對特定用戶帳戶和群組的存取。

  • 使用資料外洩防護來防止內部網路資料外洩

    Contoso 已針對 Exchange Online、SharePoint 和 商務用 OneDrive 設定 Microsoft Purview 資料外洩防護 原則,以防止使用者意外或刻意共用敏感數據。

  • 使用 Windows 資訊保護來防止裝置資料外洩

    Contoso 正在使用 Windows 資訊保護 (WIP) 來防止透過因特網型應用程式和服務,以及企業擁有裝置上的數據,以及員工帶入公司的個人裝置上的數據外洩。

  • 使用 Microsoft Defender for Cloud Apps 進行雲端監視

    Contoso 正在使用 Microsoft Defender for Cloud Apps 來對應其雲端環境、監視其使用方式,以及偵測安全性事件和事件。 Microsoft Defender for Cloud Apps 僅適用於 Microsoft 365 E5。

  • 使用 Microsoft Intune 來進行裝置管理

    Contoso 會使用 Microsoft Intune 來註冊、管理及設定行動裝置及其上執行之應用程式的存取權。 裝置型條件式存取原則也需要核准的應用程式和相容的計算機和行動裝置。

安全性管理

  • 適用於雲端 Microsoft Defender的IT中央安全性儀錶板

    Contoso 使用適用於雲端的 Microsoft Defender 來呈現安全性和威脅防護的統一檢視、管理其工作負載的安全策略,以及響應網路攻擊。

  • 適用於具有 Windows Defender 資訊安全中心之使用者的中央安全性儀表板

    Contoso 已將 Windows 安全性 應用程式部署到執行 Windows 11 企業版 的電腦和裝置,讓使用者可以一目了然地查看其安全性狀態並採取動作。