Uw Microsoft 365 configureren voor meer beveiliging
Belangrijk
Het verbeterde Microsoft 365 Defender-portal is nu beschikbaar. Deze nieuwe ervaring brengt Defender voor Eindpunt, Defender voor Office 365, Microsoft 365 Defender en meer naar het Microsoft 365 Defender-portal. Ontdek wat er nieuw is.
Van toepassing op
- Exchange Online Protection
- Abonnement 1 en abonnement 2 voor Microsoft Defender voor Office 365
- Microsoft 365 Defender
In dit onderwerp vindt u de aanbevolen configuratie voor instellingen voor tenants die van invloed zijn op de beveiliging van uw Microsoft 365 omgeving. Uw beveiligingsbehoeften vereisen mogelijk meer of minder beveiliging. Gebruik deze aanbevelingen als uitgangspunt.
Veilige Office 365 controleren
Office 365 Secure Score analyseert de beveiliging van uw organisatie op basis van uw normale activiteiten en beveiligingsinstellingen en wijst een score toe. Begin met het noteren van uw huidige score. Als u bepaalde instellingen voor tenants aanpast, wordt de score hoger. Het doel is niet om de maximale score te bereiken, maar om rekening te houden met de mogelijkheden om uw omgeving te beschermen die de productiviteit van uw gebruikers niet negatief beïnvloeden. Zie Microsoft Secure Score.
Beleid voor bedreigingsbeheer afstemmen in de Microsoft 365 Defender portal
De Microsoft 365 Defender portal bevat mogelijkheden die uw omgeving beschermen. Het bevat ook rapporten en dashboards die u kunt gebruiken om te controleren en actie te ondernemen. Sommige gebieden zijn standaardbeleidsconfiguraties. Sommige gebieden bevatten geen standaardbeleid of regels. Ga naar dit beleid onder Beleid & samenwerkingsbeleid voor & bedreigingsbeleid om instellingen voor bedreigingsbeheer af te stemmen voor een > > veiligere omgeving.
| Gebied | Standaardbeleid? | Aanbeveling |
|---|---|---|
| Anti-phishing | Ja | Configureer het standaard anti-phishingbeleid zoals hier wordt beschreven: Anti-phishingbeveiligingsinstellingen configureren in EOP en Defender voor Office 365. Meer informatie: |
| Anti-Malware Engine | Ja | Configureer het standaard anti-malwarebeleid zoals hier wordt beschreven: Anti-malwarebeveiligingsinstellingen configureren in EOP. Meer informatie: |
| Veilige bijlagen in Defender voor Office 365 | Nee | Configureer de algemene instellingen voor Safe Bijlagen en maak een Safe Attachments-beleid zoals hier wordt beschreven: Instellingen voor Safe Bijlagen configureren in Microsoft Defender voor Office 365. Meer informatie: |
| Safe Koppelingen in Microsoft Defender voor Office 365 | Nee | Configureer de algemene instellingen voor Safe Koppelingen en maak een Safe Koppelingenbeleid zoals hier wordt beschreven: Instellingen voor Safe Koppelingen configureren in Microsoft Defender voor Office 365. Meer informatie: |
| Antispam (e-mailfiltering) | Ja | Het standaard antispambeleid configureren zoals hier wordt beschreven: Instellingen voor antispambeveiliging configureren in EOP Meer informatie: |
| E-mailverificatie | Ja | E-mailverificatie gebruikt DNS-records om controleerbare informatie toe te voegen aan e-mailberichten over de berichtbron en afzender. Microsoft 365 e-mailverificatie automatisch configureert voor het standaarddomein (onmicrosoft.com), maar Microsoft 365 beheerders kunnen ook e-mailverificatie configureren voor aangepaste domeinen. Er worden drie verificatiemethoden gebruikt:
|
Notitie
Voor niet-standaardimplementaties van SPF, hybride implementaties en probleemoplossing: Hoe Microsoft 365 Sender Policy Framework (SPF)gebruikt om spoofing te voorkomen.
Dashboards en rapporten weergeven in de Microsoft 365 Defender portal
Ga naar deze rapporten en dashboards voor meer informatie over de status van uw omgeving. De gegevens in deze rapporten worden uitgebreid naarmate uw organisatie gebruikmaakt van Office 365 services. Wees op dit moment vertrouwd met wat u kunt controleren en actie kunt ondernemen.
| Dashboard | Omschrijving |
|---|---|
| E-mailbeveiligingsrapporten | Deze rapporten zijn beschikbaar in Exchange Online Protection. Zie E-mailbeveiligingsrapporten weergeven in de Microsoft 365 Defender portal voor meer informatie. |
| Defender voor Office 365 rapporten | De rapporten zijn alleen beschikbaar in Defender voor Office 365. Zie Defender weergeven voor Office 365 rapporten in de Microsoft 365 Defender portal voor meer informatie. |
| E-mailstroomrapporten en -inzichten | Deze rapporten en inzichten zijn beschikbaar in het Exchange (EAC). Zie E-mailstroomrapporten en E-mailstroominzichten voor meer informatie. |
| Bedreigingsverkenner (of realtime detecties) | Als u een aanval op uw tenant onderzoekt of ondervindt, gebruikt u Explorer (of realtime detecties) om bedreigingen te analyseren. Explorer (en het realtimedetectierapport) toont het aantal aanvallen in de tijd en u kunt deze gegevens analyseren op bedreigingsfamilies, infrastructuur voor aanvallers en meer. U kunt ook verdachte e-mailberichten markeren voor de lijst Incidenten. |
Aanvullende instellingen Exchange Online tenants configureren
Hier zijn een paar extra instellingen die worden aanbevolen.
| Gebied | Aanbeveling |
|---|---|
| Regels voor e-mailstroom (ook wel transportregels genoemd) | Voeg een e-mailstroomregel toe om u te beschermen tegen ransomware door uitvoerbare bestandstypen te blokkeren en Office bestandstypen die macro's bevatten. Zie E-mailstroomregels gebruiken om berichtbijlagen inExchange Online. Bekijk deze aanvullende onderwerpen:
Maak een e-mailstroomregel om te voorkomen dat e-mail automatisch wordt doorgestuurd naar externe domeinen. Zie Mitigating Client External Forwarding Ruleswith Secure Score (Regels voor extern doorsturen van client met secure score) voor meer informatie. Meer informatie: E-mailstroomregels (transportregels) in Exchange Online |
| Moderne verificatie | Moderne verificatie is een vereiste voor het gebruik van meervoudige verificatie (MFA). MFA wordt aanbevolen voor het beveiligen van toegang tot cloudbronnen, waaronder e-mail. Zie deze onderwerpen:
Moderne verificatie is standaard ingeschakeld voor Office 2016-clients, SharePoint Online en OneDrive voor Bedrijven. Meer informatie: Hoe moderne verificatie werkt voor Office 2013 en Office 2016-client-apps |
Beleid voor delen voor tenants configureren in SharePoint beheercentrum
Microsoft-aanbevelingen voor het configureren SharePoint teamsites op een hoger beveiligingsniveau, te beginnen met basislijnbeveiliging. Zie Beleidsaanbevelingen voor het beveiligen van SharePoint sites en bestanden voor meer informatie.
SharePoint teamsites die zijn geconfigureerd op basislijnniveau, kunnen bestanden delen met externe gebruikers via anonieme toegangskoppelingen. Deze methode wordt aanbevolen in plaats van bestanden per e-mail te verzenden.
Als u de doelstellingen voor basislijnbeveiliging wilt ondersteunen, configureert u beleid voor delen in de tenant, zoals hier wordt aanbevolen. Instellingen voor delen voor afzonderlijke sites kunnen beperkender zijn dan dit beleid voor de hele tenant, maar niet meer permissief.
| Gebied | Bevat een standaardbeleid | Aanbeveling |
|---|---|---|
| Delen (SharePoint Online en OneDrive voor Bedrijven) | Ja | Extern delen is standaard ingeschakeld. Deze instellingen worden aanbevolen:
Meer informatie: Overzicht van extern delen |
SharePoint beheercentrum en OneDrive voor Bedrijven beheercentrum bevatten dezelfde instellingen. De instellingen in een van beide beheercentrums zijn op beide van toepassing.
Instellingen configureren in Azure Active Directory
Zorg ervoor dat u deze twee gebieden in Azure Active Directory om de installatie van tenants voor veiligere omgevingen te voltooien.
Benoemde locaties configureren (onder voorwaardelijke toegang)
Als uw organisatie kantoren met beveiligde netwerktoegang bevat, voegt u de vertrouwde IP-adresbereiken toe aan Azure Active Directory benoemde locaties. Met deze functie kunt u het aantal gerapporteerde fout-positieven voor aanmeldingsrisicogebeurtenissen verminderen.
Zie: Benoemde locaties in Azure Active Directory
Apps blokkeren die geen ondersteuning bieden voor moderne verificatie
Voor meervoudige verificatie zijn apps vereist die moderne verificatie ondersteunen. Apps die geen moderne verificatie ondersteunen, kunnen niet worden geblokkeerd met behulp van regels voor voorwaardelijke toegang.
Voor veilige omgevingen moet u verificatie uitschakelen voor apps die geen ondersteuning bieden voor moderne verificatie. U kunt dit doen in Azure Active Directory met een besturingselement dat binnenkort beschikbaar is.
Gebruik ondertussen een van de volgende methoden om dit te doen voor SharePoint Online en OneDrive voor Bedrijven:
- Gebruik PowerShell, zie Apps blokkeren die geen moderne verificatie gebruiken.
- Configureer dit in SharePoint beheercentrum op de pagina 'Apparaattoegang': 'Toegang beheren vanuit apps die geen moderne verificatie gebruiken'. Kies Blokkeren.
Aan de slag met Cloud App Security of Office 365 Cloud App Security
Gebruik Office 365 Cloud App Security om risico's te evalueren, om te waarschuwen voor verdachte activiteiten en om automatisch actie te ondernemen. Vereist Office 365 E5 plan.
Of gebruik Microsoft Cloud App Security om meer zichtbaarheid te krijgen, zelfs nadat toegang is verleend, uitgebreide besturingselementen en verbeterde beveiliging voor al uw cloudtoepassingen, inclusief Office 365.
Omdat deze oplossing het EMS E5-abonnement aanbeveelt, raden we u aan om te beginnen met Cloud App Security, zodat u deze kunt gebruiken met andere SaaS-toepassingen in uw omgeving. Begin met standaardbeleid en -instellingen.
Meer informatie:
- Cloud App Security implementeren
- Meer informatie over Microsoft Cloud App Security
- Wat is Cloud App Security?
Aanvullende bronnen
Deze artikelen en handleidingen bevatten aanvullende beschrijvende informatie voor het beveiligen van uw Microsoft 365 omgeving:
Beveiligingsaanbevelingen van Microsoft voor politieke campagnes, non-profitorganisaties en andere agile-organisaties (u kunt deze aanbeveling gebruiken in elke omgeving, met name in cloudomgevingen)
Aanbevolen beveiligingsbeleid en configuraties voor identiteiten en apparaten (deze aanbevelingen bevatten help voor AD FS-omgevingen)