Sammanfattning av Microsoft 365 för företagssäkerhet för Contoso CorporationSummary of Microsoft 365 for enterprise security for the Contoso Corporation

För att få godkännande för distribution Microsoft 365 för företag utförde Contosos IT-säkerhetsavdelning en noggrann säkerhetsgranskning.To get approval to deploy Microsoft 365 for enterprise, the Contoso IT security department conducted a thorough security review. De har identifierat följande säkerhetskrav för molnet:They identified the following security requirements for the cloud:

  • Använd de starkaste metoderna för autentisering för anställdas åtkomst till molnresurser.Use the strongest methods of authentication for employee access to cloud resources.
  • Se till att datorer och mobila enheter ansluter och kommer åt program på ett säkert sätt.Ensure that PCs and mobile devices connect and access applications in secure ways.
  • Skydda datorer och e-post från skadlig programvara.Protect PCs and email from malware.
  • Behörigheter för molnbaserade digitala tillgångar definierar vem som kan komma åt vad och vad de kan göra, och är utformade för åtkomst med minst behörighetPermissions on cloud-based digital assets define who can access what and what they can do, and are designed for least-privilege access
  • Känsliga och högt reglerade digitala tillgångar etiketteras, krypteras och lagras på säkra platser.Sensitive and highly regulated digital assets are labeled, encrypted, and stored in secure locations.
  • Mycket reglerade digitala tillgångar skyddas med ytterligare kryptering och behörigheter.Highly regulated digital assets are protected with additional encryption and permissions.
  • IT-säkerhetspersonalen kan övervaka den aktuella säkerheten från centrala instrumentpaneler och få meddelanden om säkerhetshändelser för snabb respons och minskning.IT security staff can monitor the current security posture from central dashboards and get notified of security events for quick response and mitigation.

Contoso-sökvägen till Microsoft 365 säkerhetsberedskapThe Contoso path to Microsoft 365 security readiness

Contoso har följt de här stegen för att förbereda sin säkerhet för distributionen av Microsoft 365 för företag:Contoso followed these steps to prepare their security for their deployment of Microsoft 365 for enterprise:

  1. Begränsa administratörskonton för molnetLimit administrator accounts for the cloud

    Contoso har gjort en omfattande granskning av sina befintliga AD DS-administratörskonton (Active Directory Domain Services) och ställt in en serie dedikerade molnadministratörskonton och grupper.Contoso did an extensive review of its existing Active Directory Domain Services (AD DS) administrator accounts and set up series of dedicated cloud administrator accounts and groups.

  2. Klassificera data i tre säkerhetsnivåerClassify data into three security levels

    Contoso har gjort en noggrann granskning och fastställt de tre nivåerna, som användes för att identifiera vilka Microsoft 365 för företagsfunktioner som ska skydda de mest värdefulla data.Contoso did a careful review and determined the three levels, which were used to identify the Microsoft 365 for enterprise features to protect the most valuable data.

  3. Fastställa åtkomst-, bevarande- och informationsskyddsprinciper för datanivåerDetermine access, retention, and information protection policies for data levels

    Utifrån datanivåer bestämde Contoso detaljerade krav för att kvalificera framtida IT-arbetsbelastningar som flyttas till molnet.Based on the data levels, Contoso determined detailed requirements to qualify future IT workloads that are moved to the cloud.

För att följa metodtips för säkerhet och Microsoft 365 för företag distributionskrav har Contoso-säkerhetsadministratörer och dess IT-avdelning distribuerat många säkerhetsfunktioner, enligt beskrivningen i följande avsnitt.To follow security best practices and Microsoft 365 for enterprise deployment requirements, Contoso security administrators and its IT department deployed many security features and capabilities, as described in the following sections.

Identitets- och åtkomsthanteringIdentity and access management

  • Dedikerade globala administratörskonton med MFA och PIMDedicated global administrator accounts with MFA and PIM

    I stället för att tilldela den globala administratörsrollen till vanliga användarkonton skapade Contoso tre dedikerade globala administratörskonton med starka lösenord.Rather than assign the global admin role to everyday user accounts, Contoso created three dedicated global administrator accounts with strong passwords. Kontona skyddas av Azure AD Multi-Factor Authentication (MFA) och Azure Active Directory (Azure AD) Privileged Identity Management (PIM).The accounts are protected by Azure AD Multi-Factor Authentication (MFA) and Azure Active Directory (Azure AD) Privileged Identity Management (PIM). PIM är endast tillgängligt med Microsoft 365 E5.PIM is only available with Microsoft 365 E5.

    Inloggning med ett globalt administratörskonto utförs endast för specifika administrativa uppgifter.Signing in with a global administrator account is only done for specific administrative tasks. Lösenorden är endast kända för angiven personal och kan endast användas under en tidsperiod som har konfigurerats i Azure AD PIM.The passwords are only known to designated staff and can only be used within a time period that's configured in Azure AD PIM.

    Contoso-säkerhetsadministratörer som tilldelats mindre administratörsroller till konton som är lämpliga för IT-medarbetarens jobbfunktion.Contoso security administrators assigned lesser admin roles to accounts that are appropriate to that IT worker's job function.

    Mer information finns i Om Microsoft 365-administratörsroller.For more information, see About Microsoft 365 admin roles.

  • MFA för alla användarkontonMFA for all user accounts

    Med MFA får du ytterligare ett skyddslager i inloggningsprocessen.MFA adds an additional layer of protection to the sign-in process. Användaren måste bekräfta ett telefonsamtal, sms eller appmeddelande på sin smartphone när de har angett sitt lösenord korrekt.It requires users to acknowledge a phone call, text message, or app notification on their smart phone after correctly entering their password. Med MFA skyddas Azure AD-användarkonton mot obehörig inloggning, även om ett kontolösenord har komprometterats.With MFA, Azure AD user accounts are protected against unauthorized sign-in, even if an account password is compromised.

    • För att skydda mot kompromett Microsoft 365-prenumerationen kräver Contoso MFA för alla globala administratörskonton.To protect against compromise of the Microsoft 365 subscription, Contoso requires MFA on all global administrator accounts.
    • För att skydda mot nätfiskeattacker (där angriparen försöker komma över autentiseringsuppgifterna för en betrodd person i organisationen och sedan skickar skadliga e-postmeddelanden) har Contoso aktiverat MFA för alla användarkonton, inklusive chefernas och ledningens konton.To protect against phishing attacks, in which an attacker compromises the credentials of a trusted person in the organization and sends malicious emails, Contoso enabled MFA on all user accounts, including managers and executives.
  • Säkrare åtkomst till enheter och program med principer för villkorsstyrd åtkomstSafer device and application access with Conditional Access policies

    Contoso använder principer för villkorsstyrd åtkomst för identiteter, enheter, Exchange Online och SharePoint.Contoso is using Conditional Access policies for identity, devices, Exchange Online, and SharePoint. Principer för villkorsstyrd åtkomst för identiteter omfattar krav på lösenordsändringar för högriskanvändare och appblockering i klienter så att det bara går att använda appar som stöder modern autentisering.Identity Conditional Access policies include requiring password changes for high-risk users and blocking clients from using apps that don't support modern authentication. Enhetsprinciperna omfattar definiering av godkända appar och krav på kompatibla datorer och mobila enheter.Device policies include the definition of approved apps and requiring compliant PCs and mobile devices. Principer för villkorsstyrd åtkomst för Exchange Online omfattar blockering av ActiveSync-klienter och konfiguration av meddelandekryptering i Office 365.Exchange Online Conditional Access policies include blocking ActiveSync clients and setting up Office 365 message encryption. Principer för villkorsstyrd åtkomst för SharePoint omfattar ytterligare skydd för känsliga och strikt reglerade webbplatser.SharePoint Conditional Access policies include additional protection for sensitive and highly regulated sites.

  • Windows Hello för företagWindows Hello for Business

    Contoso distribuerade Windows Hello för företag för att så småningom eliminera behovet av lösenord genom stark tvåfaktorautentisering på datorer och mobila enheter som kör Windows 10 Enterprise.Contoso deployed Windows Hello for Business to eventually eliminate the need for passwords through strong two-factor authentication on PCs and mobile devices running Windows 10 Enterprise.

  • Windows Defender Credential GuardWindows Defender Credential Guard

    För att blockera riktade attacker och skadlig programvara som körs i operativsystemet med administrativ behörighet aktiverar Contoso Windows Defender Credential Guard via AD DS-grupprincip.To block targeted attacks and malware running in the operating system with administrative privileges, Contoso enabled Windows Defender Credential Guard through AD DS group policy.

Skydd mot hotThreat protection

  • Skydd mot skadlig kod med Windows Defender AntivirusProtection from malware with Windows Defender Antivirus

    Contoso använder Windows Defender Antivirus som skydd mot skadlig kod och hantering av programvara som motverkar skadlig kod för datorer och enheter med Windows 10 Enterprise.Contoso is using Windows Defender Antivirus for malware protection and anti-malware management for PCs and devices running Windows 10 Enterprise.

  • Skydda e-postflödes- och granskningsloggning för postlådor med Microsoft Defender för Office 365Secure email flow and mailbox audit logging with Microsoft Defender for Office 365

    Contoso använder Exchange Online Protection Defender för Office 365 för att skydda mot okänd skadlig programvara, virus och skadliga URL-adresser som överförs via e-post.Contoso is using Exchange Online Protection and Defender for Office 365 to protect against unknown malware, viruses, and malicious URLs transmitted through emails.

    Contoso aktiverade även granskningsloggning för postlådor för att identifiera vem som loggar in i användarnas postlådor, skickar meddelanden och utför andra aktiviteter som utförs av postlådans ägare, en delegerad användare eller en administratör.Contoso also enabled mailbox audit logging to identify who logs in to user mailboxes, sends messages, and does other activities performed by the mailbox owner, a delegated user, or an administrator.

  • Övervakning och förebyggande av angrepp med undersökning av hot och åtgärder i Office 365 Attack monitoring and prevention with Office 365 threat investigation and response

    Contoso använder Office 365 undersökning av hot och svar för att skydda användare genom att göra det enkelt att identifiera och åtgärda attacker och förhindra framtida attacker.Contoso uses Office 365 threat investigation and response to protect users by making it easy to identify and address attacks, and to prevent future attacks.

  • Skydd mot avancerade attacker med Advanced Threat AnalyticsProtection from sophisticated attacks with Advanced Threat Analytics

    Contoso använder Advanced Threat Analytics (ATA) för att skydda sig mot avancerade riktade attacker.Contoso is using Advanced Threat Analytics (ATA) to protect itself from advanced targeted attacks. ATA identifierar, analyserar och lär sig normalt och onormalt beteende för entiteter (användare, enheter och resurser).ATA automatically analyzes, learns, and identifies normal and abnormal entity (user, devices, and resources) behavior.

InformationsskyddInformation protection

  • Skydda känsliga och strikt reglerade digitala tillgångar med Azure Information Protection-etiketterProtect sensitive and highly regulated digital assets with Azure Information Protection labels

    Contoso fastställde tre nivåer av dataskydd och distribuerade Microsoft 365-känslighetsetiketter som användarna använder för digitala tillgångar.Contoso determined three levels of data protection and deployed Microsoft 365 sensitivity labels that users apply to digital assets. För dess affärshemligheter och andra immateriella rättigheter använder Contoso känslighetsunderetiketter för starkt reglerade data.For its trade secrets and other intellectual property, Contoso uses sensitivity sublabels for highly regulated data. Den här processen krypterar innehåll och begränsar åtkomsten till specifika användarkonton och grupper.This process encrypts content and restricts access to specific user accounts and groups.

  • Förhindra dataläckor i intranätet med dataförlustskyddPrevent intranet data leaks with Data Loss Prevention

    Contoso har konfigurerat principer för dataförlustskydd för Exchange Online, SharePoint och OneDrive för företag för att förhindra att användare avsiktligt eller oavsiktligt delar känsliga data.Contoso configured Data Loss Prevention policies for Exchange Online, SharePoint, and OneDrive for Business to prevent users from accidentally or intentionally sharing sensitive data.

  • Förhindra dataläckor på enheter med Windows Information ProtectionPrevent device data leaks Windows Information Protection

    Contoso använder Windows Information Protection (WIP) för att skydda mot dataläck genom internetbaserade appar och tjänster och företagsdata på företagsägda enheter och personliga enheter som anställda använder för att arbeta.Contoso is using Windows Information Protection (WIP) to protect against data leakage through internet-based apps and services and enterprise apps and data on enterprise-owned devices and personal devices that employees bring to work.

  • Molnövervakning med Microsoft Cloud App SecurityCloud monitoring with Microsoft Cloud App Security

    Contoso använder Microsoft Cloud App Security för att kartlägga molnmiljön, övervaka dess användning och identifiera säkerhetshändelser och incidenter.Contoso is using Microsoft Cloud App Security to map their cloud environment, monitor its usage, and detect security events and incidents. Microsoft Cloud App Security är endast tillgängligt med Microsoft 365 E5.Microsoft Cloud App Security is only available with Microsoft 365 E5.

  • Enhetshantering med Microsoft IntuneDevice management with Microsoft Intune

    Contoso använder Microsoft Intune för att registrera, hantera och konfigurera åtkomst till mobila enheter och de appar som körs på enheterna.Contoso uses Microsoft Intune to enroll, manage, and configure access to mobile devices and the apps that run on them. Enhetsbaserade principer för villkorsstyrd åtkomst kräver också godkända appar och kompatibla datorer och mobila enheter.Device-based Conditional Access policies also require approved apps and compliant PCs and mobile devices.

SäkerhetshanteringSecurity management

  • Central säkerhetsinstrumentpanel för IT med Azure DefenderCentral security dashboard for IT with Azure Defender

    Contoso använder Azure Defender för att presentera en enhetlig vy över säkerhet- och hotskydd, för att hantera säkerhetsprinciper i arbetsbelastningen och för att svara på cyberattacker.Contoso uses the Azure Defender to present a unified view of security and threat protection, to manage security policies across its workloads, and to respond to cyberattacks.

  • Central säkerhetsinstrumentpanel för användare med Windows Defender SäkerhetscenterCentral security dashboard for users with Windows Defender Security Center

    Contoso har distribuerat Windows-säkerhet-programmet till sina datorer och enheter med Windows 10 Enterprise, så att användarna snabbt kan se sin säkerhetsåtgärd snabbt och vidta åtgärder.Contoso deployed the Windows Security app to its PCs and devices running Windows 10 Enterprise so that users can see their security posture at a glance and take action.