Samenvatting van Microsoft 365 voor enterprise-beveiliging voor de Contoso Corporation
Om goedkeuring te krijgen voor de implementatie van Microsoft 365 voor ondernemingen, heeft de IT-beveiligingsafdeling van Contoso een grondige beveiligingsbeoordeling uitgevoerd. Ze hebben de volgende beveiligingsvereisten voor de cloud geïdentificeerd:
- Gebruik de sterkste verificatiemethoden voor werknemerstoegang tot cloudresources.
- Zorg ervoor dat pc's en mobiele apparaten op veilige manieren verbinding maken met en toegang krijgen tot toepassingen.
- Beveilig pc's en e-mail tegen malware.
- Machtigingen voor digitale assets in de cloud bepalen wie toegang heeft tot wat en wat ze kunnen doen, en zijn ontworpen voor toegang met minimale bevoegdheden
- Gevoelige en sterk gereglementeerde digitale assets worden gelabeld, versleuteld en opgeslagen op beveiligde locaties.
- Sterk gereglementeerde digitale assets worden beveiligd met extra versleuteling en machtigingen.
- IT-beveiligingsmedewerkers kunnen de huidige beveiligingspostuur bewaken vanuit centrale dashboards en op de hoogte worden gesteld van beveiligingsincidenten voor snelle reactie en beperking.
Het Contoso-pad naar microsoft 365-beveiligingsgereedheid
Contoso heeft deze stappen gevolgd om hun beveiliging voor te bereiden op de implementatie van Microsoft 365 voor ondernemingen:
Beheerdersaccounts voor de cloud beperken
Contoso heeft een uitgebreide beoordeling uitgevoerd van de bestaande AD DS-beheerdersaccounts (Active Directory Domain Services) en een reeks toegewezen cloudbeheerdersaccounts en -groepen ingesteld.
Gegevens classificeren in drie beveiligingsniveaus
Contoso heeft een zorgvuldige beoordeling uitgevoerd en de drie niveaus bepaald, die zijn gebruikt om de functies van Microsoft 365 voor ondernemingen te identificeren om de meest waardevolle gegevens te beschermen.
Beleid voor toegang, retentie en informatiebeveiliging voor gegevensniveaus bepalen
Op basis van de gegevensniveaus heeft Contoso gedetailleerde vereisten vastgesteld voor het kwalificeren van toekomstige IT-workloads die naar de cloud worden verplaatst.
Om de aanbevolen beveiligingsprocedures en de implementatievereisten van Microsoft 365 voor ondernemingen te volgen, hebben contoso-beveiligingsbeheerders en de IT-afdeling veel beveiligingsfuncties en -mogelijkheden geïmplementeerd, zoals beschreven in de volgende secties.
Identiteits- en toegangsbeheer
Specifieke hoofdbeheerdersaccounts met MFA en PIM
In plaats van de rol van globale beheerder toe te wijzen aan dagelijkse gebruikersaccounts, heeft Contoso drie toegewezen globale beheerdersaccounts met sterke wachtwoorden gemaakt. De accounts worden beveiligd door Microsoft Entra meervoudige verificatie (MFA) en Microsoft Entra Privileged Identity Management (PIM). PIM is alleen beschikbaar met Microsoft 365 E5.
Aanmelden met een Microsoft Entra DC-beheerder of een hoofdbeheerdersaccount wordt alleen uitgevoerd voor specifieke beheertaken. De wachtwoorden zijn alleen bekend bij aangewezen medewerkers en kunnen alleen worden gebruikt binnen een periode die is geconfigureerd in Microsoft Entra PIM.
Contoso-beveiligingsbeheerders hebben minder beheerdersrollen toegewezen aan accounts die geschikt zijn voor de functie van die IT-medewerker.
Zie Informatie over beheerdersrollen in Microsoft 365 voor meer informatie.
MFA voor alle gebruikersaccounts
MFA voegt een extra beveiligingslaag toe aan het aanmeldingsproces. Gebruikers moeten een telefoongesprek, sms-bericht of app-melding op hun smartphone bevestigen nadat ze hun wachtwoord correct hebben ingevoerd. Met MFA zijn Microsoft Entra gebruikersaccounts beveiligd tegen onbevoegde aanmelding, zelfs als een accountwachtwoord is gecompromitteerd.
- Om te beschermen tegen inbreuk op het Microsoft 365-abonnement, vereist Contoso MFA voor alle Microsoft Entra DC-beheerder of globale beheerdersaccounts.
- Ter bescherming tegen phishingaanvallen, waar een kwaadwillende gebruiker de referenties van een vertrouwde persoon binnen de organisatie misbruikt en schadelijke e-mails verzendt, heeft Contoso MFA ingeschakeld voor alle gebruikersaccounts, inclusief managers en leidinggevenden.
Veiligere apparaat- en toepassingstoegang met beleid voor voorwaardelijke toegang
Contoso gebruikt beleid voor voorwaardelijke toegang voor identiteiten, apparaten, Exchange Online en SharePoint. Het beleid voor voorwaardelijke toegang voor identiteiten houdt onder meer in dat gebruikers met een hoog risico hun wachtwoord moeten wijzigen. Daarnaast kunnen klanten geen gebruikmaken van apps die moderne verificatie niet ondersteunen. Apparaatbeleid omvat onder meer de definitie van goedgekeurde apps en het eisen van conforme pc's en mobiele apparaten. Exchange Online-beleid voor voorwaardelijke toegang omvat onder meer het blokkeren van ActiveSync-clients en de installatie van Office 365-berichtversleuteling. SharePoint-beleid voor voorwaardelijke toegang omvat onder meer extra beveiliging voor gevoelige en sterk gereglementeerde sites.
Windows Hello voor Bedrijven
Contoso heeft Windows Hello voor Bedrijven geïmplementeerd om uiteindelijk de noodzaak van wachtwoorden te elimineren door middel van sterke tweeledige verificatie op pc's en mobiele apparaten met Windows 10 Enterprise.
Windows Defender Credential Guard
Om gerichte aanvallen en malware die met beheerdersbevoegdheden in het besturingssysteem worden uitgevoerd, te blokkeren, heeft Contoso Windows Defender Credential Guard ingeschakeld via AD DS-groepsbeleid.
Bedreigingsbeveiliging
Bescherming tegen malware met Microsoft Defender Antivirus
Contoso gebruikt Microsoft Defender Antivirus voor malwarebeveiliging en antimalwarebeheer voor pc's en apparaten met Windows 10 Enterprise.
Controlelogboeken voor e-mailstromen en postvak beveiligen met Microsoft Defender voor Office 365
Contoso gebruikt Exchange Online Protection en Defender voor Office 365 om bescherming te bieden tegen onbekende malware, virussen en schadelijke URL's die via e-mailberichten worden verzonden.
Contoso heeft ook postvakcontrolelogboekregistratie ingeschakeld om te bepalen wie zich aanmeldt bij postvakken van gebruikers, berichten verzendt en andere activiteiten uitvoert die worden uitgevoerd door de eigenaar van het postvak, een gedelegeerde gebruiker of een beheerder.
Controle op en voorkoming van aanvallen met dreigingsonderzoek en -reacties in Office 365
Contoso maakt gebruik van Office 365 bedreigingsonderzoek en -reactie om gebruikers te beschermen door het gemakkelijk te maken om aanvallen te identificeren en aan te pakken, en om toekomstige aanvallen te voorkomen.
Bescherming tegen geavanceerde aanvallen met Advanced Threat Analytics
Contoso gebruikt ATA (Advanced Threat Analytics) om zichzelf te beschermen tegen geavanceerde doelgerichte aanvallen. ATA analyseert, leert en identificeert automatisch normaal en abnormaal gedrag van entiteiten (gebruikers, apparaten en resources).
Gegevensbescherming
Gevoelige en sterk gereglementeerde digitale activa beschermen met Azure Information Protection-labels
Contoso heeft drie niveaus van gegevensbescherming ingesteld en Microsoft 365-vertrouwelijkheidslabels geïmplementeerd die gebruikers kunnen toepassen op digitale activa. Voor zijn handelsgeheimen en andere intellectuele eigendom gebruikt Contoso vertrouwelijkheidssublabels voor sterk gereglementeerde gegevens. Dit proces versleutelt inhoud en beperkt de toegang tot specifieke gebruikersaccounts en groepen.
Gegevensverlies op intranet voorkomen met preventie van gegevensverlies
Contoso heeft Microsoft Purview-preventie van gegevensverlies beleid geconfigureerd voor Exchange Online, SharePoint en OneDrive voor Bedrijven om te voorkomen dat gebruikers per ongeluk of opzettelijk gevoelige gegevens delen.
Gegevenslekken op apparaten voorkomen met Windows-gegevensbescherming
Contoso gebruikt Windows Information Protection (WIP) om te beschermen tegen gegevenslekken via internet-apps en -services, en bedrijfsapps en -gegevens op apparaten in bedrijfseigendom en persoonlijke apparaten die werknemers naar het werk brengen.
Cloudbewaking met Microsoft Defender for Cloud Apps
Contoso gebruikt Microsoft Defender for Cloud Apps om hun cloudomgeving toe te wijzen, het gebruik ervan te bewaken en beveiligingsincidenten en -incidenten te detecteren. Microsoft Defender for Cloud Apps is alleen beschikbaar met Microsoft 365 E5.
Apparaatbeheer met Microsoft Intune
Contoso gebruikt Microsoft Intune om mobiele apparaten en de apps die daarop worden uitgevoerd, te registreren, te beheren en te configureren. Beleid voor voorwaardelijke toegang voor apparaten vereist ook goedgekeurde apps en conforme pc's en mobiele apparaten.
Beveiligingsbeheer
Centraal beveiligingsdashboard voor IT met Microsoft Defender voor cloud
Contoso gebruikt de Microsoft Defender voor Cloud om een uniforme weergave van beveiliging en bedreigingsbeveiliging te bieden, beveiligingsbeleid voor alle workloads te beheren en te reageren op cyberaanvallen.
Centraal beveiligingsdashboard voor gebruikers met Windows Defender-beveiligingscentrum
Contoso heeft de Windows-beveiliging-app geïmplementeerd op de pc's en apparaten waarop Windows 10 Enterprise wordt uitgevoerd, zodat gebruikers hun beveiligingspostuur in één oogopslag kunnen zien en actie kunnen ondernemen.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub Issues geleidelijk uitfaseren als het feedbackmechanisme voor inhoud. Het wordt vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor