Contoso Corporation 企業安全性Microsoft 365摘要

為了取得企業Microsoft 365部署核准,Contoso IT 安全性部門進行了徹底的安全性檢閱。 他們識別出雲端的下列安全性需求:

  • 針對員工存取雲端資源使用最強大的驗證方法。
  • 請確定電腦和行動裝置以安全的方式連線和存取應用程式。
  • 保護電腦和電子郵件免于惡意程式碼。
  • 雲端式數位資產的許可權會定義誰可以存取其可執行檔動作,以及專為最低許可權存取而設計
  • 敏感性和高度管制的數位資產會加上標籤、加密,並儲存在安全的位置。
  • 高度管制的數位資產會受到額外的加密和許可權保護。
  • IT 安全性人員可以從中央儀表板監視目前的安全性狀態,並收到安全性事件的通知,以快速回應和緩和。

安全性整備Microsoft 365的 Contoso 路徑

Contoso 遵循下列步驟來準備其安全性,以部署企業Microsoft 365:

  1. 限制雲端的系統管理員帳戶

    Contoso 已廣泛檢閱其現有的 Active Directory 網域服務 (AD DS) 系統管理員帳戶,並設定一系列的專用雲端系統管理員帳戶和群組。

  2. 將資料分類為三個安全性層級

    Contoso 已仔細檢閱並判斷三個層級,這三個層級可用來識別企業功能的Microsoft 365,以保護最有價值的資料。

  3. 決定資料層級的存取、保留和資訊保護原則

    根據資料層級,Contoso 決定要符合未來移至雲端之 IT 工作負載的詳細需求。

為了遵循企業部署需求的安全性最佳做法和Microsoft 365,Contoso 安全性系統管理員及其 IT 部門部署了許多安全性功能,如下列各節所述。

身分識別與存取管理

  • 專用的全域管理員帳戶 (具有 MFA 和 PIM)

    Contoso 不是將全域系統管理員角色指派給日常使用者帳戶,而是建立了三個具有強式密碼的專用全域系統管理員帳戶。 這些帳戶會受到 Azure AD Multi-Factor Authentication (MFA) 和 Azure Active Directory (Azure AD) Privileged Identity Management (PIM) 的保護。 PIM 僅在 Microsoft 365 E5 中提供。

    使用 Azure AD DC 系統管理員全域系統管理員 帳戶登入僅適用于特定的系統管理工作。 只有指定的員工才能知道密碼,而且只能在Azure AD PIM 中設定的一段時間內使用。

    Contoso 安全性系統管理員已將較少的系統管理員角色指派給適合該 IT 工作者作業功能的帳戶。

    如需詳細資訊,請參閱關於 Microsoft 365 系統管理員角色

  • 適用於所有使用者帳戶的 MFA

    MFA 會為登入程式新增額外的保護層。 使用者必須確認智慧型手機上的通話、簡訊或代理程式更新,才能正確輸入其密碼。 使用 MFA 時,Azure AD使用者帳戶會受到保護,免于未經授權的登入,即使帳戶密碼遭到入侵也一般。

    • 為了防止Microsoft 365訂用帳戶遭到入侵,Contoso 需要所有 Azure AD DC 系統管理員全域系統管理員 帳戶的 MFA。
    • 為了防範網路釣魚攻擊,在此類攻擊中攻擊者會入侵組織中受信任人員的認證,並且傳送惡意電子郵件,Contoso 在所有使用者帳戶上啟用了 MFA,包括經理和決策階層。
  • 使用條件式存取原則獲得更安全的裝置和應用程式存取

    Contoso 針對身分識別、裝置、Exchange Online 和 SharePoint 使用條件式存取原則。身分識別條件式存取原則包含針對高風險使用者要求密碼變更,並且阻止用戶端使用未支援新式驗證的應用程式。裝置存取原則包含已核准應用程式的定義,會要求相容的電腦和行動裝置。Exchange Online 條件式存取原則包含封鎖 ActiveSync 用戶端並設定 Office 365 訊息加密。SharePoint 條件式存取原則包含機密和高管制網站的額外保護。

  • Windows Hello 企業版

    Contoso 已部署Windows Hello 企業版,以在執行Windows 10 企業版的電腦和行動裝置上透過強式雙因素驗證,最終消除密碼的需求。

  • Windows Defender Credential Guard

    為了封鎖以系統管理許可權在作業系統中執行的目標攻擊和惡意程式碼,Contoso 已透過 AD DS 群組原則啟用Windows Defender Credential Guard

威脅防護

  • 使用 Windows Defender 防毒軟體防護惡意程式碼

    Contoso 使用 Windows Defender 防毒軟體,針對執行 Windows 10 企業版的電腦和裝置執行惡意程式碼防護和反惡意程式碼管理。

  • 使用 適用於 Office 365 的 Microsoft Defender 保護電子郵件流程和信箱稽核記錄

    Contoso 使用Exchange Online Protection和適用於 Office 365 的 Defender來防範透過電子郵件傳輸的未知惡意程式碼、病毒和惡意 URL。

    Contoso 也啟用信箱稽核記錄,以識別誰登入使用者信箱、傳送郵件,以及執行信箱擁有者、委派的使用者或系統管理員執行的其他活動。

  • 使用 Office 365 威脅調查及回應來進行攻擊監視和防護

    Contoso 會使用Office 365威脅調查和回應來保護使用者,方法是讓您輕鬆地識別和解決攻擊,以及防止未來的攻擊。

  • 使用 Advanced Threat Analytics 來防護縝密的攻擊

    Contoso 使用 Advanced Threat Analytics (ATA),來保護自身免於進階設定目標的攻擊。ATA 會自動分析、學習及識別正常和異常實體 (使用者、裝置及資源) 行為。

資訊保護

  • 使用 Azure 資訊保護標籤來保護機密和高管制數位資產

    Contoso 決定三個層級的資料保護,並已部署Microsoft 365使用者套用至數位資產的敏感度標籤。 針對其營業秘密和其他智慧財產權,Contoso 會針對高度管制的資料使用敏感度子標籤。 此程式會加密內容,並限制對特定使用者帳戶和群組的存取。

  • 使用資料外洩防護來防止內部網路資料外洩

    Contoso 已針對Exchange Online、SharePoint和商務用 OneDrive設定Microsoft Purview 資料外泄防護原則,以防止使用者意外或刻意共用敏感性資料。

  • 使用 Windows 資訊保護來防止裝置資料外洩

    Contoso 正在使用Windows 資訊保護 (WIP) 來防止透過網際網路型應用程式和服務,以及企業擁有裝置上的資料,以及員工帶入公司的個人裝置上的資料外泄。

  • 使用Microsoft Defender for Cloud Apps進行雲端監視

    Contoso 正在使用Microsoft Defender for Cloud Apps來對應其雲端環境、監視其使用方式,以及偵測安全性事件和事件。 Microsoft Defender for Cloud Apps僅適用于 Microsoft 365 E5。

  • 使用 Microsoft Intune 來進行裝置管理

    Contoso 使用 Microsoft Intune 來註冊、管理及設定對於行動裝置及在其上執行之應用程式的存取權。裝置型條件式存取原則也會要求核准的應用程式和相容的電腦和行動裝置。

安全性管理

  • 具有適用於雲端的 Microsoft Defender的 IT 中央安全性儀表板

    Contoso 會使用適用於雲端的 Microsoft Defender來呈現安全性和威脅防護的統一檢視、管理其工作負載的安全性原則,以及回應網路攻擊。

  • 適用於具有 Windows Defender 資訊安全中心之使用者的中央安全性儀表板

    Contoso 已將Windows 安全性應用程式部署到執行 Windows 10 企業版 的電腦和裝置,讓使用者可以一目了然地查看其安全性狀態並採取動作。