設定 Microsoft 365 租用戶以提高安全性
提示
您知道您可以免費試用 適用於 Office 365 的 Microsoft Defender 方案 2 中的功能嗎? 使用 Microsoft Defender 入口網站試用中樞的 90 天 適用於 Office 365 的 Defender 試用版。 瞭解誰可以在 Try 適用於 Office 365 的 Microsoft Defender 上註冊和試用條款。
您的組織需求需要安全性。
特定專案由您的企業決定。
本文將逐步引導您手動設定全租用戶設定,以影響Microsoft 365 環境的安全性。 請使用這些建議做為調整的起始點。
在 Microsoft Defender 入口網站中調整 EOP 和 適用於 Office 365 的 Defender 保護原則
Microsoft Defender 入口網站具有保護和報告的功能。 它具有儀錶板,可讓您在威脅發生時用來監視並採取動作。
在初始步驟中,您必須在 DNS 中為 Microsoft 365 中的所有自訂電子郵件網域設定 電子郵件驗證 記錄 (SPF、DKIM 和 DMARC) 。 Microsoft 365 會自動設定 *.onmicrosoft.com 網域的電子郵件驗證。 如需詳細資訊,請參閱 步驟 1:設定Microsoft 365 網域的電子郵件驗證。
注意事項
針對SPF、混合式部署和疑難解答的非標準部署: 設定SPF以協助防止詐騙。
Exchange Online Protection (EOP) 和 適用於 Office 365 的 Defender 中的大部分保護功能都隨附預設原則設定。 如需詳細資訊,請參閱 這裡的表格。
建議您開啟及使用所有收件者的 Standard 和/或嚴格預設安全策略。 如需詳細資訊,請參閱下列文章:
- 開啟並設定預設安全策略:在 EOP 和 適用於 Office 365 的 Microsoft Defender 中預設安全策略。
- Standard 和嚴格預設安全策略之間的設定差異:預設安全策略中的原則設定。
- 默認原則、Standard 預設安全策略和嚴格預設安全策略中所有功能和設定的完整清單:EOP 和 適用於 Office 365 的 Microsoft Defender 安全性的建議設定。
如果您組織的商務需求需要 不同於 或未在預設安全策略 中定義 的原則設定,則需要自定義原則。 或者,如果您的組織需要不同的用戶體驗來隔離郵件, (包括通知) 。 如需詳細資訊,請 參閱判斷您的保護原則策略。
在 Microsoft Defender 入口網站中檢視儀錶板和報表
在 Defender 入口網站中 https://security.microsoft.com ,選取 [ 報告]。 或者,若要直接移至 [ 報表 ] 頁面,請使用 https://security.microsoft.com/securityreports。
在 [ 報告] 頁面上,您可以檢視安全性趨勢的相關信息,並追蹤身分識別、數據、裝置、應用程式和基礎結構的保護狀態。
當您的組織使用 Office 365 服務時,這些報告中的數據會變得更豐富 (如果您要試驗或測試) ,請記住這一點。 現在,請先熟悉您可以監控與採取動作的項目。
在 的 [報告] 頁面上https://security.microsoft.com/securityreports,選 Email & 共同>作業 Email & 共同作業報告。
在開啟 Email & 共同作業報告頁面上,記下可用的卡片。 在任何卡片中,選 取 [檢視詳細 數據] 以深入了解數據。 如需詳細資訊,請參閱下列文章:
郵件流程報告和深入解析可在 Exchange 系統管理中心 (EAC) 中取得。 如需詳細資訊,請參閱 郵件流程報告 和 郵件流程深入解析。
|如果您正在調查或遇到租用戶的攻擊,請使用威脅總管 (或即時偵測) 來分析威脅。 總管 (或即時偵測) 能顯示隨時間受到的攻擊量,而您可以依照威脅系列、攻擊者的基礎結構等項目來分析這份資料。 您也可以將任何可疑的電子郵件標記為 [事件清單]。
其他考量
如需勒索軟體保護的相關信息,請參閱下列文章:
設定 SharePoint 系統管理中心的全租用戶共用原則
Microsoft 建議您從基礎保護開始,逐漸提高 SharePoint 小組網站的保護層級設定。 如需詳細資訊,請參閱 保護 SharePoint 網站和檔案的原則建議。
設定為基礎層級的 SharePoint 小組網站可讓您使用匿名存取連結,來與所有外部使用者共用檔案。 建議您採用此方法,而不要在電子郵件中傳送檔案。
為了支援基礎保護達到目標,請依以下建議設定全租用戶共用原則。 請為個別網站設定比此全租用戶原則更嚴格 (而非更寬鬆) 的共用設定。
區域 | 包含默認原則 | 建議 |
---|---|---|
共用 (SharePoint Online 和商務用 OneDrive) | 是 | 外部共用預設為啟用狀態。 這些為建議設定:
其他資訊:外部共用概觀 |
SharePoint 系統管理中心與商務用 OneDrive 系統管理中心包含同樣的設定。 任一系統管理中心內的設定都適用於兩者。
在 Microsoft Entra ID 中設定設定
請務必造訪 Microsoft Entra ID 中的這兩個區域,以完成適用於更安全環境的全租用戶設定。
設定具名位置 (使用條件式存取)
如果您的組織包含具有安全網路存取權的辦公室,請將受信任的IP位址範圍新增至 Microsoft Entra ID 為具名位置。 這項功能可協助減少誤判為登入風險事件的次數。
封鎖不支援新式驗證的應用程式
應用程式必須支援新式驗證才能使用多重要素驗證。 不支援新式驗證的應用程式無法使用條件式存取規則來封鎖。
針對安全的環境,請務必停用不支援新式驗證之應用程式的驗證。 您可以在即將推出的控制項 Microsoft Entra ID 中執行此動作。
同時,使用下列其中一種方法來封鎖 SharePoint Online 中應用程式的存取,以及不支援新式驗證的 商務用 OneDrive:
SharePoint 系統管理中心:
- 在位於的 SharePoint 系統管理中心 https://admin.microsoft.com/sharepoint, 移至原則>訪問控制。
- 在 [ 存取控制] 頁面上,選取 [不使用新式驗證的應用程式]。
- 在 開啟的 [不使用新式驗證的應用程式 ] 飛出視窗中,選取 [ 封鎖存取],然後選取 [ 儲存]。
PowerShell:請參閱 封鎖不使用新式驗證的應用程式。
開始使用 Defender for Cloud Apps 或 Office 365 雲端 App 安全性
使用 Microsoft 365 雲端 App 安全性 來評估風險、警示可疑活動,以及自動採取動作。 需要 Office 365 E5 方案。
或者,使用 Microsoft Defender for Cloud Apps 取得更深入的可見度,即使在授與存取權、全面控制及改善所有雲端應用程式的保護之後,包括 Office 365。
由於此解決方案建議使用EMS E5方案,因此建議您從 Defender for Cloud Apps 開始,以便將它與環境中的其他 SaaS 應用程式搭配使用。 請以預設原則與設定開始使用。
詳細資訊:
其他資源
這些文章和指南提供保護您Microsoft 365 環境的其他規範資訊:
Microsoft政治活動、非營利組織和其他敏捷式組織的安全性指引 (您可以在任何環境中使用這些建議,尤其是僅限雲端的環境)
適用於身分識別與裝置的建議安全原則與設定 (這些建議包括 AD FS 環境說明)