Overzicht van Microsoft 365 voor bedrijfsbeveiliging voor de Contoso CorporationSummary of Microsoft 365 for enterprise security for the Contoso Corporation

Om goedkeuring te krijgen voor het implementeren Microsoft 365 voor ondernemingen, heeft de IT-beveiligingsafdeling van Contoso een grondige beveiligingsbeoordeling uitgevoerd.To get approval to deploy Microsoft 365 for enterprise, the Contoso IT security department conducted a thorough security review. Ze hebben de volgende beveiligingsvereisten voor de cloud geïdentificeerd:They identified the following security requirements for the cloud:

  • Gebruik de sterkste verificatiemethoden voor toegang van werknemers tot cloudbronnen.Use the strongest methods of authentication for employee access to cloud resources.
  • Zorg ervoor dat pc's en mobiele apparaten op veilige manieren verbinding maken met en toegang krijgen tot toepassingen.Ensure that PCs and mobile devices connect and access applications in secure ways.
  • Bescherm pc's en e-mail tegen malware.Protect PCs and email from malware.
  • Machtigingen voor digitale assets in de cloud bepalen wie toegang heeft tot wat en wat ze kunnen doen en zijn ontworpen voor toegang tot de minste bevoegdhedenPermissions on cloud-based digital assets define who can access what and what they can do, and are designed for least-privilege access
  • Gevoelige en sterk gereguleerde digitale assets worden gelabeld, versleuteld en op veilige locaties opgeslagen.Sensitive and highly regulated digital assets are labeled, encrypted, and stored in secure locations.
  • Sterk gereguleerde digitale assets zijn beveiligd met extra versleuteling en machtigingen.Highly regulated digital assets are protected with additional encryption and permissions.
  • IT-beveiligingsmedewerkers kunnen de huidige beveiligingsstatus controleren vanuit centrale dashboards en een melding krijgen van beveiligingsgebeurtenissen voor snelle reactie en beperking.IT security staff can monitor the current security posture from central dashboards and get notified of security events for quick response and mitigation.

Het Contoso-pad naar Microsoft 365 gereedheid voor beveiligingThe Contoso path to Microsoft 365 security readiness

Contoso heeft deze stappen gevolgd om hun beveiliging voor te bereiden op de implementatie van Microsoft 365 voor ondernemingen:Contoso followed these steps to prepare their security for their deployment of Microsoft 365 for enterprise:

  1. Beheerdersaccounts voor de cloud beperkenLimit administrator accounts for the cloud

    Contoso heeft de bestaande Ad DS-beheerdersaccounts (Active Directory Domain Services) uitgebreid beoordeeld en een reeks speciale cloudbeheerdersaccounts en -groepen ingesteld.Contoso did an extensive review of its existing Active Directory Domain Services (AD DS) administrator accounts and set up series of dedicated cloud administrator accounts and groups.

  2. Gegevens classificeren in drie beveiligingsniveausClassify data into three security levels

    Contoso heeft de drie niveaus zorgvuldig beoordeeld en bepaald, die werden gebruikt om de Microsoft 365 voor bedrijfsfuncties te identificeren om de meest waardevolle gegevens te beschermen.Contoso did a careful review and determined the three levels, which were used to identify the Microsoft 365 for enterprise features to protect the most valuable data.

  3. Beleid voor toegangs-, bewaar- en informatiebeveiliging voor gegevensniveaus bepalenDetermine access, retention, and information protection policies for data levels

    Op basis van de gegevensniveaus heeft Contoso gedetailleerde vereisten bepaald om toekomstige IT-workloads te kwalificeren die naar de cloud worden verplaatst.Based on the data levels, Contoso determined detailed requirements to qualify future IT workloads that are moved to the cloud.

Als u beveiligings-best practices en Microsoft 365 voor implementatievereisten voor ondernemingen wilt volgen, hebben contoso-beveiligingsbeheerders en de IT-afdeling veel beveiligingsfuncties en -mogelijkheden geïmplementeerd, zoals in de volgende secties wordt beschreven.To follow security best practices and Microsoft 365 for enterprise deployment requirements, Contoso security administrators and its IT department deployed many security features and capabilities, as described in the following sections.

Identiteits- en toegangsbeheerIdentity and access management

  • Specifieke hoofdbeheerdersaccounts met MFA en PIMDedicated global administrator accounts with MFA and PIM

    In plaats van de rol van globale beheerder toe te wijzen aan dagelijkse gebruikersaccounts, heeft Contoso drie toegewezen globale beheerdersaccounts gemaakt met sterke wachtwoorden.Rather than assign the global admin role to everyday user accounts, Contoso created three dedicated global administrator accounts with strong passwords. De accounts worden beveiligd door Azure AD Multi-Factor Authentication (MFA) en Azure Active Directory (Azure AD) Privileged Identity Management (PIM).The accounts are protected by Azure AD Multi-Factor Authentication (MFA) and Azure Active Directory (Azure AD) Privileged Identity Management (PIM). PIM is alleen beschikbaar met Microsoft 365 E5.PIM is only available with Microsoft 365 E5.

    Aanmelden met een globale beheerdersaccount wordt alleen gedaan voor specifieke beheertaken.Signing in with a global administrator account is only done for specific administrative tasks. De wachtwoorden zijn alleen bekend bij aangewezen personeelsleden en kunnen alleen worden gebruikt binnen een periode die is geconfigureerd in Azure AD PIM.The passwords are only known to designated staff and can only be used within a time period that's configured in Azure AD PIM.

    Contoso-beveiligingsbeheerders hebben minder beheerdersrollen toegewezen aan accounts die geschikt zijn voor de taakfunctie van die IT-werknemer.Contoso security administrators assigned lesser admin roles to accounts that are appropriate to that IT worker's job function.

    Zie Informatie over beheerdersrollen in Microsoft 365 voor meer informatie.For more information, see About Microsoft 365 admin roles.

  • MFA voor alle gebruikersaccountsMFA for all user accounts

    MFA voegt een extra beveiligingslaag toe aan het aanmeldingsproces.MFA adds an additional layer of protection to the sign-in process. Gebruikers moeten een telefoongesprek, sms-bericht of app-melding op hun smartphone bevestigen nadat ze hun wachtwoord correct hebben ingesteld.It requires users to acknowledge a phone call, text message, or app notification on their smart phone after correctly entering their password. Met MFA zijn Azure AD-gebruikersaccounts beveiligd tegen onbevoegde aanmelding, zelfs als een accountwachtwoord is gehackt.With MFA, Azure AD user accounts are protected against unauthorized sign-in, even if an account password is compromised.

    • Om u te beschermen tegen compromissen Microsoft 365 het abonnement, vereist Contoso MFA voor alle globale beheerdersaccounts.To protect against compromise of the Microsoft 365 subscription, Contoso requires MFA on all global administrator accounts.
    • Ter bescherming tegen phishingaanvallen, waar een kwaadwillende gebruiker de referenties van een vertrouwde persoon binnen de organisatie misbruikt en schadelijke e-mails verzendt, heeft Contoso MFA ingeschakeld voor alle gebruikersaccounts, inclusief managers en leidinggevenden.To protect against phishing attacks, in which an attacker compromises the credentials of a trusted person in the organization and sends malicious emails, Contoso enabled MFA on all user accounts, including managers and executives.
  • Veiligere apparaat- en toepassingstoegang met beleid voor voorwaardelijke toegangSafer device and application access with Conditional Access policies

    Contoso gebruikt beleid voor voorwaardelijke toegang voor identiteiten, apparaten, Exchange Online en SharePoint.Contoso is using Conditional Access policies for identity, devices, Exchange Online, and SharePoint. Het beleid voor voorwaardelijke toegang voor identiteiten houdt onder meer in dat gebruikers met een hoog risico hun wachtwoord moeten wijzigen. Daarnaast kunnen klanten geen gebruikmaken van apps die moderne verificatie niet ondersteunen.Identity Conditional Access policies include requiring password changes for high-risk users and blocking clients from using apps that don't support modern authentication. Apparaatbeleid omvat onder meer de definitie van goedgekeurde apps en het eisen van conforme pc's en mobiele apparaten.Device policies include the definition of approved apps and requiring compliant PCs and mobile devices. Exchange Online-beleid voor voorwaardelijke toegang omvat onder meer het blokkeren van ActiveSync-clients en de installatie van Office 365-berichtversleuteling.Exchange Online Conditional Access policies include blocking ActiveSync clients and setting up Office 365 message encryption. SharePoint-beleid voor voorwaardelijke toegang omvat onder meer extra beveiliging voor gevoelige en sterk gereglementeerde sites.SharePoint Conditional Access policies include additional protection for sensitive and highly regulated sites.

  • Windows Hello voor BedrijvenWindows Hello for Business

    Contoso heeft Windows Hello voor Bedrijven geïmplementeerd om uiteindelijk te voorkomen dat wachtwoorden nodig zijn via sterke tweestapsverificatie op pc's en mobiele apparaten met Windows 10 Enterprise.Contoso deployed Windows Hello for Business to eventually eliminate the need for passwords through strong two-factor authentication on PCs and mobile devices running Windows 10 Enterprise.

  • Windows Defender Credential GuardWindows Defender Credential Guard

    Als u gerichte aanvallen en malware in het besturingssysteem wilt blokkeren met beheerdersbevoegdheden, heeft Contoso Windows Defender Credential Guard ad DS-groepsbeleid ingeschakeld.To block targeted attacks and malware running in the operating system with administrative privileges, Contoso enabled Windows Defender Credential Guard through AD DS group policy.

BedreigingsbeveiligingThreat protection

  • Bescherming tegen malware met Windows Defender AntivirusProtection from malware with Windows Defender Antivirus

    Contoso gebruikt Windows Defender Antivirus voor bescherming tegen malware en antimalwarebeheer voor pc's en apparaten met Windows 10 Enterprise.Contoso is using Windows Defender Antivirus for malware protection and anti-malware management for PCs and devices running Windows 10 Enterprise.

  • Secure email flow and mailbox audit logging with Microsoft Defender for Office 365Secure email flow and mailbox audit logging with Microsoft Defender for Office 365

    Contoso gebruikt Exchange Online Protection Defender voor Office 365 bescherming tegen onbekende malware, virussen en schadelijke URL's die via e-mailberichten worden verzonden.Contoso is using Exchange Online Protection and Defender for Office 365 to protect against unknown malware, viruses, and malicious URLs transmitted through emails.

    Contoso heeft ook controlelogboeken voor postvakken ingeschakeld om te bepalen wie zich aanmeldt bij gebruikerspostvakken, berichten verzendt en andere activiteiten doet die worden uitgevoerd door de eigenaar van het postvak, een gedelegeerde gebruiker of een beheerder.Contoso also enabled mailbox audit logging to identify who logs in to user mailboxes, sends messages, and does other activities performed by the mailbox owner, a delegated user, or an administrator.

  • Controle op en voorkoming van aanvallen met dreigingsonderzoek en -reacties in Office 365Attack monitoring and prevention with Office 365 threat investigation and response

    Contoso gebruikt Office 365 bedreigingsonderzoek en -reactie om gebruikers te beschermen door het gemakkelijk maken om aanvallen te identificeren en aan te pakken en toekomstige aanvallen te voorkomen.Contoso uses Office 365 threat investigation and response to protect users by making it easy to identify and address attacks, and to prevent future attacks.

  • Bescherming tegen geavanceerde aanvallen met Advanced Threat AnalyticsProtection from sophisticated attacks with Advanced Threat Analytics

    Contoso gebruikt ATA (Advanced Threat Analytics) om zichzelf te beschermen tegen geavanceerde doelgerichte aanvallen.Contoso is using Advanced Threat Analytics (ATA) to protect itself from advanced targeted attacks. ATA analyseert, leert en identificeert automatisch normaal en abnormaal gedrag van entiteiten (gebruikers, apparaten en resources).ATA automatically analyzes, learns, and identifies normal and abnormal entity (user, devices, and resources) behavior.

GegevensbeschermingInformation protection

  • Gevoelige en sterk gereglementeerde digitale activa beschermen met Azure Information Protection-labelsProtect sensitive and highly regulated digital assets with Azure Information Protection labels

    Contoso heeft drie niveaus van gegevensbescherming ingesteld en Microsoft 365-vertrouwelijkheidslabels geïmplementeerd die gebruikers kunnen toepassen op digitale activa.Contoso determined three levels of data protection and deployed Microsoft 365 sensitivity labels that users apply to digital assets. Voor de bedrijfsgeheimen en andere intellectuele eigendommen gebruikt Contoso gevoeligheidssublabels voor sterk gereguleerde gegevens.For its trade secrets and other intellectual property, Contoso uses sensitivity sublabels for highly regulated data. Dit proces versleutelt inhoud en beperkt de toegang tot specifieke gebruikersaccounts en -groepen.This process encrypts content and restricts access to specific user accounts and groups.

  • Gegevensverlies op intranet voorkomen met preventie van gegevensverliesPrevent intranet data leaks with Data Loss Prevention

    Contoso heeft beleid voor preventie van gegevensverlies geconfigureerd voor Exchange Online, SharePoint en OneDrive voor Bedrijven om te voorkomen dat gebruikers per ongeluk of opzettelijk gevoelige gegevens delen.Contoso configured Data Loss Prevention policies for Exchange Online, SharePoint, and OneDrive for Business to prevent users from accidentally or intentionally sharing sensitive data.

  • Gegevenslekken op apparaten voorkomen met Windows-gegevensbeschermingPrevent device data leaks Windows Information Protection

    Contoso gebruikt Windows Information Protection (WIP) om te beschermen tegen gegevenslekken via op internet gebaseerde apps en services en enterprise-apps en gegevens op apparaten van ondernemingen en persoonlijke apparaten die werknemers aan het werk brengen.Contoso is using Windows Information Protection (WIP) to protect against data leakage through internet-based apps and services and enterprise apps and data on enterprise-owned devices and personal devices that employees bring to work.

  • Cloudbewaking met Microsoft Cloud App SecurityCloud monitoring with Microsoft Cloud App Security

    Contoso gebruikt Microsoft Cloud App Security om haar cloudomgeving in kaart te brengen, het gebruik te bewaken en beveiligingsgebeurtenissen en -incidenten te detecteren.Contoso is using Microsoft Cloud App Security to map their cloud environment, monitor its usage, and detect security events and incidents. Microsoft Cloud App Security is allen beschikbaar bij Microsoft 365 E5.Microsoft Cloud App Security is only available with Microsoft 365 E5.

  • Apparaatbeheer met Microsoft IntuneDevice management with Microsoft Intune

    Contoso gebruikt Microsoft Intune om mobiele apparaten en de apps die daarop worden uitgevoerd, te registreren, te beheren en te configureren.Contoso uses Microsoft Intune to enroll, manage, and configure access to mobile devices and the apps that run on them. Beleid voor voorwaardelijke toegang voor apparaten vereist ook goedgekeurde apps en conforme pc's en mobiele apparaten.Device-based Conditional Access policies also require approved apps and compliant PCs and mobile devices.

BeveiligingsbeheerSecurity management

  • Centraal beveiligingsdashboard voor IT met Azure DefenderCentral security dashboard for IT with Azure Defender

    Contoso gebruikt Azure Defender om een geïntegreerde weergave van beveiliging en bedreigingsbeveiliging te presenteren, om beveiligingsbeleid te beheren in de werkbelastingen en om te reageren op cyberaanvallen.Contoso uses the Azure Defender to present a unified view of security and threat protection, to manage security policies across its workloads, and to respond to cyberattacks.

  • Centraal beveiligingsdashboard voor gebruikers met Windows Defender-beveiligingscentrumCentral security dashboard for users with Windows Defender Security Center

    Contoso heeft de Windows-beveiliging-app geïmplementeerd op de pc's en apparaten met Windows 10 Enterprise, zodat gebruikers hun beveiligingshouding in één oogopslag kunnen zien en actie kunnen ondernemen.Contoso deployed the Windows Security app to its PCs and devices running Windows 10 Enterprise so that users can see their security posture at a glance and take action.