增加 Microsoft 365 商務進階版的威脅防護
在這個目標中,您可以使用 Microsoft 365 商務進階版來增加威脅防護。 保護企業防範網路釣魚、惡意程式碼和其他威脅非常重要。 本文包含下列相關資訊:
- 預設安全性原則可節省許多安裝和設定時間。
- 自訂安全性原則 讓您可以根據業務需求來定義。
- 如何調整 SharePoint 和 OneDrive 檔案和資料夾的共用設定。
- 警示原則可監視特定檔案及其使用方式。
- 後續步驟 (例如保護未受管理的裝置)
檢閱並套用預先設定的安全性原則
您的訂閱包含預設安全性原則,其使用針對垃圾郵件、反惡意程式碼及防網路釣魚防護的建議設定。 預設會啟用內建保護; 不過,請考慮採用標準或嚴格保護,以提升安全性。
注意
預設安全性原則與安全性預設不同。 一般來說,您會 先 使用安全性預設 或條件式存取,然後新增安全性原則。 預設安全性原則簡化新增安全性原則流程。 您也可以新增您自己的自訂原則。
什麼是預設的安全性原則?
預先設定的安全性原則可為您的電子郵件和共同作業內容提供保護。這些原則包括:
- 設定檔,其決定保護層級
- 原則 (例如反垃圾郵件、反惡意程式碼、防網路釣魚、詐騙設定、冒充、安全附件和安全連結)
- 原則設定 (例如,群組、使用者或網域以接收該原則及任何例外狀況)
下表摘要說明保護層級和預先設定之原則類型。
| 保護層級 | 描述 |
|---|---|
| 標準保護 (建議大部分企業) |
標準保護使用適用於大部分使用者的基準設定檔。 標準保護包括反垃圾郵件、反惡意程式、防網路釣魚、詐騙設定、冒充設定、安全連結和安全附件等原則。 |
| 嚴格保護 | 嚴格保護包含與標準保護相同的類型,但具有更嚴格的設定。 如果您的業務必須符合其他安全性需求或法規,請考慮將嚴格保護至少適用於優先使用者或高價值目標。 |
| 內建保護 | 防範電子郵件中的惡意連結和附件。 預設會啟用內建保護並適用於所有使用者。 |
提示
您可以指定使用者、群組和網域以接收預先設定原則,也可以定義特定例外,但無法自行變更預先設定之原則。 如果您想要針對安全性原則使用不同的設定,您可以建立自己的自訂原則,以符合貴公司的需求。
優先順序之原則順序
如果使用者被指派多個原則,會使用優先順序順序來應用原則。優先順序的排列如下:
[嚴格保護] 會獲得最高優先順序,並覆蓋所有其他原則。
標準保護
自訂安全性原則
[內建保護] 會獲得最低優先順序,並且會由嚴格保護、標準保護和自訂原則所覆蓋。
嚴格保護會覆蓋所有其他原則,而內建保護會由其他原則所取代。
若要深入了解預先設定的安全性原則,請參閱預設的安全性原則是由哪些項目組成。
如何將預設的安全性原則指派給使用者?
重要
開始之前,請確定 Exchange Online 中已指派下列其中一個角色 (包含在您的訂閱中):
- 全域系統管理員
- 組織管理
- 安全性系統管理員
若要深入了解,請參閱 Exchange Online 中的權限和關於系統管理員角色。
若要指派預先設定的安全性原則,請遵循下列步驟:
前往 Microsoft 365 Defender 入口網站 (https://security.microsoft.com) 並登入。
前往 [範本原則] 區段中的 [電子郵件與共同作業]>[原則與規則]>[威脅原則]>[預設安全性原則]。 (若要直接前往 [預設安全性原則] 頁面,請使用 https://security.microsoft.com/presetSecurityPolicies。)
在 [預設安全性原則] 頁面的 [標準保護] 或 [嚴格保護] 區段,將開關從 [停用] 變更為 [啟用],然後選取 [管理]。
[套用標準保護] 或 [套用嚴格保護] 精靈會從飛出視窗開始。 在 [EOP 保護套用至] 頁面上,識別原則套用至的內部收件者 (收件者條件):
- 使用者
- 群組
- 網域
按一下適當的方塊,開始輸入值,然後從結果中選取您想要的值。 視需要重複此程序多次。 若要移除現有的值,請選取值旁的 [移除] 圖示。
針對使用者或群組, 您可以使用大部分識別碼 (名稱、顯示名稱、別名、電子郵件地址、帳戶名稱等), 但會在結果中顯示對應的顯示名稱。針對使用者, 輸入星號 (*) 來查看所有可用的值。
若要指定排除項目,請選取 [排除這些使用者、群組和網域] 核取方塊,然後指定要排除的使用者、群組或網域。
完成時,按 [下一步]。
在 [適用於 Office 365 的 Defender 保護套用至] 頁面上,識別原則套用至的內部收件者 (收件者條件)。 指定使用者、群組和網域,就像在上一個步驟中所做的一樣。
完成後,按 [下一步 ]。
在 [檢閱並確認您的變更] 頁面上,確認您的選擇,然後選取 [確認]。
提示
若要深入了解指派預先設定的安全性原則,請參閱下列文章:
- 將預設的安全性原則指派給使用者
- 電子郵件和共同作業內容的建議設定 (Microsoft 365 商務進階版包括 Exchange Online Protection 和適用於 Office 365 的 Microsoft Defender 方案 1)
建立自訂安全性原則
本文先前所述的預設安全性原則,可為大部分企業提供強大的保護。 不過,您不受限於只使用預先設定的安全性原則。 您可以定義自己的自訂安全性原則,以符合貴公司的需求。
使用我們的快速入門手冊保護抵禦威脅,以開始建立您自己的自訂原則。 指引不只會逐步引導您設定自己的安全性原則,也提供建議設定,以做為起點:
設定 SharePoint 和 OneDrive 檔案和資料夾的共用設定
根據預設,共用層級會同時設定為 SharePoint 和 OneDrive 的最寬鬆層級。 建議您變更預設設定,以更保護您的公司。
移至 SharePoint 系統管理中心的 [共用],並使用具有 組織之系統管理員權限的帳戶登入。
在 [外部共用] 下,指定共用層級。 (建議您使用 [最嚴謹] ,以防止外部共用。)
在 [檔案和資料夾連結] 下,選取一個選項 (例如 [特定人員])。 接著,選擇是否預設針對共用連結授予 [檢視] 或 [編輯] 權限 (例如 [檢視])。
在 [其他設定] 下,選取您想要使用的選項。
然後選取 [儲存]。
提示
若要深入了解這些設定,請參閱管理共用設定。
檢查您的警示原則
警示原則很適合用於追蹤使用者和系統管理員活動、潛在的惡意程式碼威脅,以及您公司的資料遺失事件。 您的訂閱包括一組預設原則,但您也可以建立自訂原則。 例如,如果您將重要的檔案儲存在 SharePoint 中,而您不希望任何人在外部共用,您可以建立通知,在有人共用檔案時提醒您。
下圖顯示 Microsoft 365 商務進階版中包含的一些預設原則。
檢視您的警示原則
移至位於 https://compliance.microsoft.com 的 Microsoft Purview 合規性入口網站 並登入。
在瀏覽窗格中,選擇 [原則],然後選擇 [警示原則]。
選取個別原則以檢視更多詳細資料或編輯該原則。 下圖顯示已選取一個原則的警示原則清單:
提示
如需詳細資訊,請參閱<警示原則>。
如何檢視警示
根據特定警示,您可以在 Microsoft 365 Defender 入口網站或 Microsoft Purview 合規性入口網站中檢視您的警示。
| 警示類型 | 處理方式 |
|---|---|
| 安全性警示,例如當使用者按一下惡意連結、電子郵件報告為惡意程式碼或網路釣魚,或偵測到裝置包含惡意程式碼時 | 前往 Microsoft 365 Defender 入口網站,在 [電子郵件與共同作業] 下選取 [原則與規則] > [警示原則]。或者,您也可以直接前往 https://security.microsoft.com/alertpolicies。 |
| 合規性警示,例如當使用者共用敏感性或機密資訊 (資料外洩防護警示) 或外部檔案共用量異常時 (資訊控管理警示) | 前往 Microsoft Purview 合規性入口網站,並選取 [原則] > [警示] > [警示原則]。 |
如需詳細資訊,請參閱[檢視警示]。
停用或管理行事曆共用
您可以防止貴組織人員共用他們的行事曆。 您也可以管理他們可以共用的詳細資料層級。 例如,您可以將共用限制為只有空閒/忙碌時間。
請前往 Microsoft 365 系統管理中心中的組織設定並登入。
選擇 [行事曆],並選擇貴組織人員是否可以與擁有 Office 365 或 Exchange 以外的人員,或與任何人共用其行事曆。
建議您清除 [外部共用] 選項。
如果您選擇與任何人共用,也可以決定只共用空閒/忙碌資訊。
選擇頁面底部的 [儲存變更]。
下圖顯示不允許共用行事曆。
下圖顯示允許使用僅包含空閒/忙碌資訊之電子郵件連結共用行事曆的設定。
如果允許使用者共用其行事曆,請參閱這些指示,了解如何從 Outlook 網頁版共用。
後續步驟
好的,現在讓我們 設定那些非受管理的 BYOD 裝置。