Настройка клиента Microsoft 365 для улучшения безопасности

• Применяется к:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Совет

Знаете ли вы, что можете бесплатно опробовать функции в Microsoft Defender XDR для Office 365 плана 2? Используйте 90-дневную пробную версию Defender для Office 365 в центре пробных версий портала Microsoft Defender. Узнайте, кто может зарегистрироваться и использовать условия пробной версии на пробной Microsoft Defender для Office 365.

Для вашей организации требуется безопасность.

Специфика зависит от вашей компании.

В этой статье описывается ручная настройка параметров на уровне клиента, влияющих на безопасность среды Microsoft 365. Используйте эти рекомендации в качестве отправной точки.

Настройка политик защиты EOP и Defender для Office 365 на портале Microsoft Defender

Портал Microsoft Defender предоставляет возможности как для защиты, так и для создания отчетов. Он содержит панели мониторинга, которые можно использовать для мониторинга и принятия мер при возникновении угроз.

В качестве начального шага необходимо настроить записи проверки подлинности электронной почты в DNS для всех личных доменов электронной почты в Microsoft 365 (SPF, DKIM и DMARC). Microsoft 365 автоматически настраивает проверку подлинности электронной почты для домена *.onmicrosoft.com. Дополнительные сведения см. в разделе Шаг 1. Настройка проверки подлинности электронной почты для доменов Microsoft 365.

Примечание.

Для нестандартных развертываний SPF, гибридных развертываний и устранения неполадок: настройте SPF, чтобы предотвратить спуфинги.

Большинство функций защиты в Exchange Online Protection (EOP) и Defender для Office 365 поставляются с конфигурациями политики по умолчанию. Дополнительные сведения см. в таблице здесь.

Рекомендуется включить и использовать стандартные и (или) строгие предустановленные политики безопасности для всех получателей. Дополнительные сведения см. в следующих статьях:

• Включение и настройка предустановленных политик безопасности. Предустановленные политики безопасности в EOP и Microsoft Defender для Office 365.
• Разница в параметрах между стандартными и строгими предустановленными политиками безопасности: параметры политики в предустановленных политиках безопасности.
• Полный список всех функций и параметров в политиках по умолчанию, стандартных предустановленных политиках безопасности и строгих предустановленных политиках безопасности: рекомендуемые параметры для EOP и Microsoft Defender для Office 365 безопасности.

Пользовательские политики требуются, если для бизнес-потребностей вашей организации требуются параметры политики, отличные от предустановленных политик безопасности или не определенные в них. Или, если вашей организации требуется другой пользовательский интерфейс для сообщений, помещенных в карантин (включая уведомления). Дополнительные сведения см. в статье Определение стратегии политики защиты.

Просмотр панелей мониторинга и отчетов на портале Microsoft Defender

На портале Defender выберите https://security.microsoft.comОтчеты. Или, чтобы перейти непосредственно на страницу Отчеты , используйте https://security.microsoft.com/securityreports.

На странице Отчеты можно просмотреть сведения о тенденциях безопасности и отслеживать состояние защиты удостоверений, данных, устройств, приложений и инфраструктуры.

Данные в этих отчетах становятся богаче, так как ваша организация использует службы Office 365 (помните об этом, если вы пилотируете или тестируете). На данный момент будьте знакомы с тем, что можно отслеживать и принимать меры.

На странице Отчеты выберите https://security.microsoft.com/securityreportsEmail & отчеты о совместной работе>Email & совместной работы.

На открывающейся странице отчетов о совместной работе Email & обратите внимание на доступные карточки. В любом карта выберите Просмотреть сведения, чтобы просмотреть данные. Дополнительные сведения см. в следующих статьях:

• Просмотр отчетов о безопасности электронной почты на портале Microsoft Defender
• Просмотр Defender для Office 365 отчетов на портале Microsoft Defender

Отчеты и аналитические сведения о потоках обработки почты доступны в Центре администрирования Exchange (EAC). Дополнительные сведения см. в разделах Отчеты о потоке обработки почты и Аналитика потока обработки почты.

|Если вы исследуете или сталкиваетесь с атакой на клиент, используйте Обозреватель угроз (или обнаружение в режиме реального времени) для анализа угроз. Обозреватель (и отчет об обнаружении в режиме реального времени) показывает объем атак с течением времени, и вы можете анализировать эти данные по семействам угроз, инфраструктуре злоумышленников и т. д. Вы также можете пометить любое подозрительное сообщение электронной почты в списке Инциденты.

Дополнительные сведения

Сведения о защите от программ-шантажистов см. в следующих статьях:

• Защита от программ-шантажистов
• Защита от вредоносных программ и программ-шантажистов в Microsoft 365
• Сборники схем реагирования на инциденты-шантажисты

Настройка политик общего доступа на уровне клиента в Центре администрирования SharePoint

Рекомендации Майкрософт по настройке сайтов групп SharePoint с повышением уровня защиты, начиная с базовой защиты. Дополнительные сведения см. в статье Рекомендации по политике для защиты сайтов и файлов SharePoint.

Сайты групп SharePoint, настроенные на базовом уровне, разрешают общий доступ к файлам с внешними пользователями с помощью анонимных ссылок для доступа. Этот подход рекомендуется вместо отправки файлов по электронной почте.

Для поддержки целей базовой защиты настройте политики общего доступа на уровне клиента, как это рекомендуется здесь. Параметры общего доступа для отдельных сайтов могут быть более строгими, чем эта политика на уровне клиента, но не более разрешительной.

Область	Включает политику по умолчанию	Рекомендация
Общий доступ (SharePoint Online и OneDrive для бизнеса)	Да	Внешний общий доступ включен по умолчанию. Рекомендуется использовать следующие параметры: Разрешить общий доступ внешним пользователям, прошедшим проверку подлинности, и использовать ссылки анонимного доступа (параметр по умолчанию). Срок действия анонимных ссылок для доступа истекает в течение этого количества дней. При необходимости введите число, например 30 дней. Тип > ссылки по умолчанию выберите Внутренний (только для пользователей в организации). Пользователи, которые хотят поделиться с помощью анонимных ссылок, должны выбрать этот параметр в меню общего доступа. Дополнительные сведения: Обзор внешнего общего доступа

Центр администрирования SharePoint и центр администрирования OneDrive для бизнеса имеют одинаковые параметры. Параметры в любом из центров администрирования применяются к обоим.

Настройка параметров в Microsoft Entra ID

Обязательно посетите эти две области в Microsoft Entra ID, чтобы завершить настройку на уровне клиента для более безопасных сред.

Настройка именованных расположений (при условном доступе)

Если в вашей организации есть офисы с защищенным сетевым доступом, добавьте диапазоны доверенных IP-адресов в Microsoft Entra ID в качестве именованных расположений. Эта функция помогает сократить количество ложных срабатываний для событий риска при входе.

См. статью Именованные расположения в Microsoft Entra ID

Блокировать приложения, которые не поддерживают современную проверку подлинности

Для многофакторной проверки подлинности требуются приложения, поддерживающие современную проверку подлинности. Приложения, которые не поддерживают современную проверку подлинности, нельзя заблокировать с помощью правил условного доступа.

Для безопасных сред обязательно отключите проверку подлинности для приложений, которые не поддерживают современную проверку подлинности. Это можно сделать в Microsoft Entra ID с помощью элемента управления, который появится в ближайшее время.

Тем временем используйте один из следующих методов, чтобы заблокировать доступ к приложениям в SharePoint Online и OneDrive для бизнеса, которые не поддерживают современную проверку подлинности:

• Центр администрирования SharePoint:

  1. В Центре администрирования SharePoint по адресу https://admin.microsoft.com/sharepointвыберите Политики>Управление доступом.
  2. На странице Управление доступом выберите Приложения, которые не используют современную проверку подлинности.
  3. Во всплывающем окне Приложения, которые не используют современную проверку подлинности , выберите Блокировать доступ, а затем нажмите кнопку Сохранить.

• PowerShell: см . раздел Блокировка приложений, которые не используют современную проверку подлинности.

Начало работы с Defender for Cloud Apps или Office 365 Cloud App Security

Используйте Microsoft 365 Cloud App Security для оценки риска, оповещения о подозрительных действиях и автоматического выполнения действий. Требуется Office 365 E5 план.

Или используйте Microsoft Defender for Cloud Apps для получения более глубокой видимости даже после предоставления доступа, комплексных элементов управления и улучшенной защиты для всех облачных приложений, включая Office 365.

Так как это решение рекомендует план EMS E5, мы рекомендуем начать с Defender for Cloud Apps, чтобы вы могли использовать его с другими приложениями SaaS в вашей среде. Начните с политик и параметров по умолчанию.

Дополнительные сведения:

• Развертывание Microsoft Defender for Cloud Apps
• Дополнительные сведения о Microsoft Defender for Cloud Apps
• Что такое Defender for Cloud Apps?

Дополнительные ресурсы

В этих статьях и руководствах содержатся дополнительные инструкции по защите среды Microsoft 365:

• Руководство майкрософт по безопасности для политических кампаний, некоммерческих организаций и других гибких организаций (эти рекомендации можно использовать в любой среде, особенно в облачных средах)

• Рекомендуемые политики безопасности и конфигурации для удостоверений и устройств (эти рекомендации включают справку по средам AD FS)