安全团队支持在家工作的前 12 项任务

如果你喜欢 Microsoft ,突然发现自己支持主要基于家庭的员工,我们希望帮助你确保你的组织尽可能安全地工作。 本文将任务设置为优先级,以帮助安全团队尽快实现最重要的安全功能。

支持在家工作时要执行的首要任务

如果你是使用 Microsoft 业务计划之一的小型或中型组织,请改为查看以下资源:

对于使用企业计划的客户,Microsoft 建议你完成下表中列出的任务,这些任务适用于你的服务计划。 如果要合并订阅,而不是购买 Microsoft 365 企业版计划,请注意以下事项:

  • Microsoft 365 E3包括 企业移动性 + 安全性 (EMS) E3 和 Azure AD P1
  • Microsoft 365 E5包括 EMS E5 和 Azure AD P2

步骤 任务 所有Office 365 企业版计划 Microsoft 365 E3 Microsoft 365 E5
1 启用 Azure AD 多重身份验证 (MFA) 包括。 包括。 包括。
2 威胁防护 包括。 包括。 包括。
3 配置Microsoft Defender for Office 365 包括。
4 配置Microsoft Defender for Identity 包括。
5 打开 Microsoft 365 Defender 包括。
6 为手机和平板电脑配置Intune移动应用保护 包括。 包括。
7 为来宾配置 MFA 和条件访问,包括Intune应用保护 包括。 包括。
8 将电脑注册到设备管理中,并需要符合要求的电脑 包括。 包括。
9 优化网络以实现云连接 包括。 包括。 Included
10 培训用户 包括。 包括。 包括。
11 Microsoft Defender for Cloud Apps 入门 包括。
12 监视威胁并采取措施 包括。 包括。 包括。

开始之前,请在Microsoft 365 Defender门户中检查 Microsoft 365 安全分数。 在集中式仪表板中,可以监视和提高 Microsoft 365 标识、数据、应用、设备和基础结构的安全性。 为你提供用于配置建议的安全功能、执行安全相关任务 ((例如查看报表) 或使用第三方应用程序或软件解决建议)的要点。 本文中的建议任务将提高分数。

Microsoft 365 Defender门户中的“Microsoft 安全评分”屏幕

1:启用 Azure AD 多重身份验证 (MFA)

为提高员工在家工作的安全性,你能做的最好的一件事就是启用 MFA。 如果尚未制定相关流程,请将其视为紧急试点,并确保你已准备好支持人员帮助陷入困境的员工。 由于可能无法分发硬件安全设备,请使用Windows Hello生物识别和智能手机身份验证应用(如 Microsoft Authenticator)。

通常情况下,Microsoft 建议在要求 MFA 之前为用户提供 14 天时间注册其设备以进行多重身份验证。 但是,如果你的员工突然在家工作,请继续要求将 MFA 作为安全优先级,并准备好帮助需要它的用户。

应用这些策略只需几分钟,但准备在未来几天内支持用户。


计划 建议
Microsoft 365 计划 (没有 Azure AD P1 或 P2) 在 Azure AD 中启用安全性默认值。 Azure AD 中的安全性默认值于用户和管理员的 MFA。
使用 Azure AD P1 Microsoft 365 E3 () 使用常用条件访问策略配置以下策略:
- 要求对管理员执行 MFA
- 要求对所有用户执行 MFA
- 阻止传统身份验证
使用 Azure AD P2) Microsoft 365 E5 ( 利用 Azure AD 标识保护,通过创建以下策略,开始实施 Microsoft 建议的条件访问和相关策略集
- 要求在登录风险为“中等”或“高”时执行 MFA
- 阻止不支持新式身份验证的客户端
- 高风险用户必须更改密码

2:防范威胁

所有 Microsoft 365 计划都包含各种威胁防护功能。 为这些功能提升保护只需几分钟时间。

  • 反恶意软件保护
  • 保护免受恶意 URL 和文件的侵害
  • 防钓鱼保护
  • 反垃圾邮件保护

请参阅Office 365中的“防范威胁”,获取可用作起点的指南。

3:配置Microsoft Defender for Office 365

Microsoft Defender for Office 365包含在Microsoft 365 E5和Office 365 E5中,可保护组织免受电子邮件、链接 (URL) 和协作工具构成的恶意威胁。 这可能需要几个小时才能进行配置。

Microsoft Defender for Office 365:

  • 使用用于检查恶意内容附件和链接的智能系统实时保护组织免受未知电子邮件威胁。 这些自动化系统包括可靠的引爆平台、启发式和机器学习模型。
  • 通过识别和阻止团队网站和文档库中的恶意文件,在用户协作和共享文件时保护组织。
  • 应用机器学习模型和高级模拟检测算法来避免网络钓鱼攻击。

有关概述(包括计划的摘要),请参阅Defender for Office 365

全局管理员可以配置以下保护:

需要与Exchange Online管理员和 SharePoint Online 管理员合作,为这些工作负荷配置Defender for Office 365:

4:配置Microsoft Defender for Identity

Microsoft Defender for Identity 是一种基于云的安全解决方案,可利用本地 Active Directory 信号来识别、检测和调查针对组织的高级威胁、已遭入侵标识和恶意内部行为。 接下来,请关注此功能,因为它可保护本地和云基础结构,不具有依赖项或先决条件,并可提供即时权益。

5:打开Microsoft 365 Defender

配置Microsoft Defender for Office 365和Microsoft Defender for Identity后,可以在一个仪表板中查看这些功能的组合信号。 Microsoft 365 Defender汇集警报、事件、自动调查和响应,以及跨工作负荷 (Microsoft Defender for Identity、Defender for Office 365、Microsoft Defender for Endpoint 和高级搜寻Microsoft Defender for Cloud Apps) Microsoft 365 Defender门户中的单个窗格。

Microsoft 365 Defender仪表板

配置一个或多个Defender for Office 365服务后,打开 MTP。 新功能会不断添加到 MTP;请考虑选择加入以接收预览版功能。

6:为手机和平板电脑配置Intune移动应用保护

Microsoft Intune移动应用程序管理 (MAM) 允许你在不管理这些设备的情况下管理和保护组织在手机和平板电脑上的数据。 以下是相应的工作方式:

  • 创建应用保护策略 (应用) ,用于确定管理设备上的应用以及允许 (哪些行为,例如防止托管应用中的数据复制到非托管应用) 。 为 iOS、Android) (每个平台创建一个策略。
  • 创建应用保护策略后,可通过在 Azure AD 中创建条件访问规则来强制实施这些策略,以要求批准的应用和应用数据保护。

应用保护策略包括许多设置。 幸运的是,无需了解每个设置并权衡选项。 Microsoft 通过推荐起始点,可以轻松地应用设置配置。 使用应用保护策略的数据保护框架包括三个可从中选择的级别。

更妙的是,Microsoft 使用一组条件访问和相关策略来协调此应用保护框架,建议所有组织都使用这些策略作为起点。 如果已使用本文中的指南实现了 MFA,则你已完成一半!

若要配置移动应用保护,请使用 通用标识和设备访问策略中的指导:

  1. 使用 应用应用数据保护策略 指南为 iOS 和 Android 创建策略。 建议使用级别 2 (增强的数据保护) 进行基线保护。
  2. 创建条件访问规则以 要求批准的应用和应用保护

7:为来宾配置 MFA 和条件访问,包括Intune移动应用保护

接下来,让我们确保可以继续与来宾协作和协作。 如果使用的是Microsoft 365 E3计划,并且为所有用户实现了 MFA,则会设置。

如果使用Microsoft 365 E5计划,并且正在利用基于风险的 MFA 的 Azure 标识保护,则需要 (进行一些调整,因为 Azure AD 标识保护不会扩展到来宾) :

  • 创建新的条件访问规则,始终要求来宾和外部用户使用 MFA。
  • 更新基于风险的 MFA 条件访问规则,以排除来宾和外部用户。

使用 更新常见策略的指南来允许和保护来宾和外部访问 ,以了解来宾访问如何与 Azure AD 配合使用,并更新受影响的策略。

创建的Intune移动应用保护策略,以及需要批准应用和应用保护的条件访问规则,适用于来宾帐户,并有助于保护组织数据。

备注

如果已将电脑注册到设备管理以要求符合标准的电脑,则还需要从强制实施设备符合性的条件性访问规则中排除来宾帐户。

8:将电脑注册到设备管理中,并需要符合要求的电脑

有几种方法可以注册工作人员的设备。 每个方法取决于设备的所有权(个人或公司)、设备类型(iOS、Windows、Android)和管理要求(重置、相关性、锁定)。 这可能需要一些时间来解决。请参阅:在Microsoft Intune中注册设备

最快捷方法是为Windows 10设备设置自动注册

还可以利用以下教程:

注册设备后,使用 通用标识和设备访问策略 中的指南创建以下策略:

  • 定义设备符合性策略 - 建议的Windows 10设置包括需要防病毒保护。 如果有Microsoft 365 E5,请使用Microsoft Defender for Endpoint来监视员工设备的运行状况。 请确保其他操作系统的符合性策略包括防病毒保护和终结点保护软件。
  • 需要合规的电脑 - 这是 Azure AD 中强制实施设备符合性策略的条件性访问规则。

只有一个组织可以管理设备,因此请务必从 Azure AD 中的条件访问规则中排除来宾帐户。 如果不将来宾和外部用户排除在需要设备符合性的策略之外,这些策略将阻止这些用户。 有关详细信息,请参阅 更新常用策略以允许和保护来宾和外部访问

9:优化网络以实现云连接

如果你正在快速让大部分员工在家工作,这种突然的连接模式切换可能会对公司网络基础结构产生重大影响。 许多网络在采用云服务之前进行了缩放和设计。 在许多情况下,网络对远程辅助角色是宽容的,但并非设计为由所有用户同时远程使用。

VPN 集中器、中央网络出口设备 ((例如代理和数据丢失防护设备) 、中央 Internet 带宽、backhaul MPLS 线路、NAT 功能等网络元素由于使用它们的整个业务负载而突然面临巨大压力。 最终结果是性能和工作效率不佳,加上适应在家工作的用户的用户体验不佳。

一些传统上通过公司网络传回流量提供的保护由用户正在访问的云应用提供。 如果已在本文中完成此步骤,则已针对 Microsoft 365 服务和数据实施了一组复杂的云安全控制。 有了这些控件,可以直接将远程用户的流量路由到Office 365。 如果仍需要 VPN 链接才能访问其他应用程序,则可以通过实现拆分隧道来大幅提高性能和用户体验。 在组织中达成协议后,协调良好的网络团队可以在一天内完成此操作。

有关详细信息,请参阅 Docs 上的这些资源:

有关此主题的最新博客文章:

10:培训用户

培训用户可以节省用户和安全运营团队很多时间和挫折感。 精明的用户不太可能打开附件或单击可疑电子邮件中的链接,他们更可能避免可疑网站。

哈佛肯尼迪学校 网络安全运动手册 提供了有关在组织内建立强大的安全意识文化的良好指导,包括培训用户识别网络钓鱼攻击。

Microsoft 365 提供以下资源来帮助通知组织中的用户:


概念 资源
Microsoft 365 可自定义的学习路径

这些资源可以帮助你为组织中的最终用户安排培训

Microsoft 365 安全中心 学习模块:使用 Microsoft 365 提供的内置智能安全保护组织

通过本模块,可以描述 Microsoft 365 安全功能如何协同工作,并阐明这些安全功能的优势。

多重身份验证 双重验证:附加的验证页是什么?

本文可帮助最终用户了解什么是多重身份验证,以及组织中使用多重身份验证的原因。

除了本指南,Microsoft 还建议用户执行本文中所述的操作: 保护帐户和设备免受黑客和恶意软件的攻击。 这些操作包括:

  • 使用强密码
  • 保护设备
  • 在非托管设备 (Windows 10和 Mac 电脑上启用安全功能)

Microsoft 还建议用户通过执行以下文章中建议的操作来保护其个人电子邮件帐户:

11:Microsoft Defender for Cloud Apps入门

Microsoft Defender for Cloud Apps提供丰富的可见性、对数据传输的控制,以及复杂的分析,以识别和打击所有云服务中的网络威胁。 开始使用 Defender for Cloud Apps 后,会自动启用异常情况检测策略,但 Defender for Cloud Apps 的初始学习期为 7 天,在此期间不会引发所有异常情况检测警报。

Defender for Cloud Apps 现已入门。 稍后可以设置更复杂的监视和控件。

12:监视威胁并采取行动

Microsoft 365 包括几种监视状态和采取适当操作的方法。 最佳起点是Microsoft 365 Defender门户,可在其中查看组织的 Microsoft 安全分数,以及需要注意的任何警报或实体。

后续步骤

恭喜! 你已快速实施了一些最重要的安全保护,并且你的组织更加安全。 现在,你已准备好进一步使用威胁防护功能, (包括Microsoft Defender for Endpoint) 、数据分类和保护功能以及保护管理帐户。 有关 Microsoft 365 的更深入、有条理的安全建议集,请参阅 Microsoft 365 商业安全决策者 (BDM)

另请访问 Microsoft 的新 Defender for Cloud in Security 文档