Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
For at få godkendelse til at udrulle Microsoft 365 for enterprise gennemførte Contoso IT-sikkerhedsafdelingen en grundig sikkerhedsgennemgang. De identificerede følgende sikkerhedskrav til cloudmiljøet:
- Brug de stærkeste godkendelsesmetoder til medarbejderadgang til cloudressourcer.
- Sørg for, at pc'er og mobilenheder opretter forbindelse til og får adgang til programmer på sikre måder.
- Beskyt pc'er og mail mod malware.
- Tilladelser til cloudbaserede digitale aktiver definerer, hvem der kan få adgang til, hvad og hvad de kan gøre, og de er designet til at give færrest mulige rettigheder
- Følsomme og stærkt regulerede digitale aktiver mærkes, krypteres og gemmes på sikre placeringer.
- Stærkt regulerede digitale aktiver er beskyttet med yderligere kryptering og tilladelser.
- It-sikkerhedspersonalet kan overvåge den aktuelle sikkerhedsholdning fra centrale dashboards og få besked om sikkerhedshændelser med henblik på hurtig reaktion og afhjælpning.
Contoso-stien til Microsoft 365-sikkerhedsparathed
Contoso fulgte disse trin for at forberede deres sikkerhed på deres installation af Microsoft 365 for enterprise:
Begræns administratorkonti for cloudmiljøet
Contoso foretog en omfattende gennemgang af sine eksisterende ad DS-administratorkonti (Active Directory-domæneservices) og konfigurerede en række dedikerede cloudadministratorkonti og -grupper.
Klassificer data i tre sikkerhedsniveauer
Contoso foretog en omhyggelig gennemgang og bestemte de tre niveauer, som blev brugt til at identificere Microsoft 365 til virksomhedsfunktioner for at beskytte de mest værdifulde data.
Fastlæg politikker for adgang, opbevaring og beskyttelse af oplysninger for dataniveauer
På baggrund af dataniveauerne fastsatte Contoso detaljerede krav for at kvalificere fremtidige it-arbejdsbelastninger, der flyttes til cloudmiljøet.
Contoso-sikkerhedsadministratorer og it-afdelingen har udrullet mange sikkerhedsfunktioner og -egenskaber for at følge bedste praksis for sikkerhed og microsoft 365 i forbindelse med installationskrav til virksomheder, som beskrevet i følgende afsnit.
Identitets- og adgangsstyring
Dedikerede globale administratorkonti med MFA og PIM
Vigtigt!
Microsoft anbefaler, at du bruger roller med færrest tilladelser. Dette hjælper med at forbedre sikkerheden for din organisation. Global administrator er en yderst privilegeret rolle, der bør være begrænset til nødsituationer, når du ikke kan bruge en eksisterende rolle.
I stedet for at tildele den globale administratorrolle til almindelige brugerkonti oprettede Contoso tre dedikerede globale administratorkonti med stærke adgangskoder. Kontiene er beskyttet af Microsoft Entra multifaktorgodkendelse (MFA) og PIM (Microsoft Entra Privileged Identity Management). PIM er kun tilgængelig med Microsoft 365 E5.
Når du logger på med en Microsoft Entra DC-administrator eller en global administratorkonto, udføres det kun for bestemte administrative opgaver. Adgangskoderne er kun kendt for udpegede medarbejdere og kan kun bruges inden for en tidsperiode, der er konfigureret i Microsoft Entra PIM.
Contoso-sikkerhedsadministratorer tildelte mindre administratorroller til konti, der er relevante for it-arbejderens jobfunktion.
Du kan få flere oplysninger under Om administratorroller i Microsoft 365.
MFA for alle brugerkonti
MFA føjer et ekstra beskyttelseslag til logonprocessen. Det kræver, at brugerne bekræfter et telefonopkald, en sms eller en appmeddelelse på deres smartphone, når de har indtastet deres adgangskode korrekt. Med MFA er Microsoft Entra brugerkonti beskyttet mod uautoriseret logon, selvom en kontoadgangskode kompromitteres.
- Contoso kræver MFA på alle Microsoft Entra DC-administratoren eller globale administratorkonti for at beskytte mod kompromitteret Microsoft 365-abonnement.
- For at beskytte mod phishing-angreb, hvor en hacker kompromitterer legitimationsoplysningerne for en person, der er tillid til, i organisationen og sender skadelige mails, aktiverede Contoso MFA på alle brugerkonti, herunder ledere og direktører.
Sikrere adgang til enheder og programmer med politikker for betinget adgang
Contoso bruger politikker for betinget adgang for identitet, enheder, Exchange Online og SharePoint. Politikker for betinget adgang til identitet omfatter krav om adgangskodeændringer for brugere med høj risiko og blokering af klienter fra at bruge apps, der ikke understøtter moderne godkendelse. Enhedspolitikker omfatter definitionen af godkendte apps og krav om kompatible pc'er og mobilenheder. Exchange Online politikker for betinget adgang omfatter blokering af ActiveSync-klienter og konfiguration af Office 365 meddelelsekryptering. Politikker for betinget adgang til SharePoint omfatter yderligere beskyttelse af følsomme og stærkt regulerede websteder.
Windows Hello til virksomheder
Contoso udrullede Windows Hello til virksomheder for til sidst at fjerne behovet for adgangskoder via stærk tofaktorgodkendelse på pc'er og mobilenheder, der kører Windows 11 Enterprise.
Windows Defender Credential Guard
For at blokere målrettede angreb og malware, der kører i operativsystemet med administrative rettigheder, aktiverede Contoso Windows Defender Credential Guard via AD DS-gruppepolitik.
Trusselsbeskyttelse
Beskyttelse mod malware med Microsoft Defender Antivirus
Contoso bruger Microsoft Defender Antivirus til beskyttelse mod skadelig software og administration af antimalware på pc'er og enheder, der kører Windows 11 Enterprise.
Logføring af sikker mailflow og postkasseovervågning med Microsoft Defender for Office 365
Contoso bruger Exchange Online Protection og Defender for Office 365 til at beskytte mod ukendt malware, virus og skadelige URL-adresser, der sendes via mails.
Contoso har også aktiveret logføring af overvågning af postkasser for at identificere, hvem der logger på brugerpostkasser, sender meddelelser og udfører andre aktiviteter, der udføres af postkasseejeren, en delegeret bruger eller en administrator.
Overvågning og forebyggelse af angreb med Office 365 trusselsundersøgelse og -reaktion
Contoso bruger Office 365 trusselsundersøgelse og -svar til at beskytte brugerne ved at gøre det nemt at identificere og håndtere angreb og forhindre fremtidige angreb.
Beskyttelse mod avancerede angreb med Advanced Threat Analytics
Contoso bruger ATA (Advanced Threat Analytics) til at beskytte sig selv mod avancerede målrettede angreb. ATA analyserer, lærer og identificerer automatisk normal og unormal enhedsfunktionsmåde (bruger, enheder og ressourcer).
Beskyttelse af oplysninger
Beskyt følsomme og stærkt regulerede digitale aktiver med Azure Information Protection-mærkater
Contoso bestemte tre niveauer af databeskyttelse og udrullede Microsoft 365-følsomhedsmærkater , som brugerne anvender på digitale aktiver. Contoso bruger følsomhedsundermærkater til stærkt regulerede data for sine forretningshemmeligheder og andre immaterielle rettigheder. Denne proces krypterer indhold og begrænser adgangen til bestemte brugerkonti og -grupper.
Undgå intranetdatalækager med forebyggelse af datatab
Contoso konfigurerede Microsoft Purview Forebyggelse af datatab politikker for Exchange Online, SharePoint og OneDrive for Business for at forhindre, at brugerne utilsigtet eller bevidst deler følsomme data.
Undgå, at enhedsdata lækker Windows-Information Protection
Contoso bruger Windows Information Protection (WIP) til at beskytte mod datalækage via internetbaserede apps og tjenester og virksomhedsapps og data på virksomhedsejede enheder og personlige enheder, som medarbejdere bringer på arbejde.
Cloudovervågning med Microsoft Defender for Cloud Apps
Contoso bruger Microsoft Defender for Cloud Apps til at kortlægge deres cloudmiljø, overvåge dets brug og registrere sikkerhedshændelser og hændelser. Microsoft Defender for Cloud Apps er kun tilgængelig med Microsoft 365 E5.
Enhedshåndtering med Microsoft Intune
Contoso bruger Microsoft Intune til at tilmelde, administrere og konfigurere adgang til mobilenheder og de apps, der kører på dem. Enhedsbaserede politikker for betinget adgang kræver også godkendte apps og kompatible pc'er og mobilenheder.
Sikkerhedsadministration
Dashboard til central sikkerhed til it med Microsoft Defender til Cloud
Contoso bruger Microsoft Defender for Cloud til at præsentere et samlet overblik over sikkerhed og trusselsbeskyttelse, til at administrere sikkerhedspolitikker på tværs af sine arbejdsbelastninger og til at reagere på cyberangreb.
Central sikkerhedsdashboard for brugere med Windows Defender Security Center
Contoso udrullede Windows Sikkerhed-appen på sine pc'er og enheder, der kører Windows 11 Enterprise, så brugerne hurtigt kan se deres sikkerhedsholdning og handle.