配置 Microsoft 365 租户以提高安全性
提示
你知道可以免费试用 Microsoft Defender XDR for Office 365 计划 2 中的功能吗? 在 Microsoft Defender 门户试用中心使用为期 90 天的 Defender for Office 365 试用版。 了解谁可以在 试用 Microsoft Defender for Office 365 上注册和试用条款。
组织需要安全性。
具体内容由你的业务决定。
本文指导你手动配置影响 Microsoft 365 环境安全性的租户范围设置。 使用这些建议作为起点。
在 Microsoft Defender 门户中优化 EOP 和 Defender for Office 365 保护策略
Microsoft Defender 门户具有保护和报告功能。 它具有仪表板,可用于在出现威胁时监视和采取措施。
作为初始步骤,需要在 DNS 中为 Microsoft 365 (SPF、DKIM 和 DMARC) 中的所有自定义电子邮件域配置 电子邮件身份验证 记录。 Microsoft 365 自动为 *.onmicrosoft.com 域配置电子邮件身份验证。 有关详细信息,请参阅 步骤 1:为 Microsoft 365 域配置电子邮件身份验证。
注意
对于 SPF 的非标准部署、混合部署和故障排除: 设置 SPF 以帮助防止欺骗。
Exchange Online Protection (EOP) 和 Defender for Office 365 中的大多数保护功能都附带 默认策略配置。 有关详细信息,请参阅 此处的表。
建议为所有收件人启用并使用标准和/或严格预设安全策略。 有关详细信息,请参阅以下文章:
- 打开并配置预设的安全策略: 在 EOP 和 Microsoft Defender for Office 365 中预设安全策略。
- 标准预设安全策略和严格预设安全策略的设置差异: 预设安全策略中的策略设置。
- 默认策略、标准预设安全策略和严格预设安全策略中的所有功能和设置的完整列表: 适用于 EOP 和 Microsoft Defender for Office 365 安全性的建议设置。
如果组织的业务需求要求的策略设置与预设安全策略中 定义的策略设置不同 或 未定义,则需要 自定义策略。 或者,如果你的组织需要对隔离邮件使用不同的用户体验, (包括通知) 。 有关详细信息,请参阅 确定保护策略策略。
在 Microsoft Defender 门户中查看仪表板和报表
在 Defender 门户中, https://security.microsoft.com 选择“ 报表”。 或者,若要直接转到 “报表” 页,请使用 https://security.microsoft.com/securityreports。
在“ 报表 ”页上,可以查看有关安全趋势的信息,并跟踪标识、数据、设备、应用和基础结构的保护状态。
当你在试点或测试) 时,组织使用 Office 365 服务 (记住这一点时,这些报表中的数据会变得更加丰富。 现在,请熟悉可以监视的内容并采取措施。
在 的 “报表 ”页上 https://security.microsoft.com/securityreports,选择“ 电子邮件 & 协作>电子邮件 & 协作报表”。
在打开 的“电子邮件 & 协作报表 ”页上,记下可用的卡片。 在任何卡片中,选择“ 查看详细信息 ”以深入了解数据。 有关详细信息,请参阅以下文章:
Exchange 管理中心 (EAC) 中提供了邮件流报告和见解。 有关详细信息,请参阅 邮件流报告 和 邮件流见解。
|如果要调查租户或遇到针对租户的攻击,请使用 威胁资源管理器 (或实时检测) 来分析威胁。 资源管理器 (和实时检测报告) 显示一段时间内的攻击量,你可以按威胁系列、攻击者基础结构等分析此数据。 还可以为“事件”列表标记任何可疑电子邮件。
其他注意事项
有关勒索软件防护的信息,请参阅以下文章:
在 SharePoint 管理中心配置租户范围的共享策略
从基线保护开始,Microsoft有关在提高保护级别配置 SharePoint 团队网站的建议。 有关详细信息,请参阅 保护 SharePoint 网站和文件的策略建议。
在基线级别配置的 SharePoint 团队网站允许使用匿名访问链接与外部用户共享文件。 建议使用此方法,而不是通过电子邮件发送文件。
若要支持基线保护的目标,请在此处按建议配置租户范围的共享策略。 单个网站的共享设置可能比此租户范围策略更具限制性,但不能更宽松。
领域 | 包括默认策略 | 建议 |
---|---|---|
共享 (SharePoint Online 和 OneDrive for Business) | 是 | 默认情况下,外部共享处于启用状态。 建议使用以下设置:
详细信息: 外部共享概述 |
SharePoint 管理中心和 OneDrive for Business 管理中心包含相同的设置。 任一管理中心中的设置都适用于这两者。
在 Microsoft Entra ID 中配置设置
请务必访问 Microsoft Entra ID 中的这两个区域,以完成租户范围的设置,以便更安全的环境。
在条件访问) 下配置命名位置 (
如果组织包含具有安全网络访问权限的办公室,请将受信任的 IP 地址范围添加到Microsoft Entra ID 作为命名位置。 此功能有助于减少登录风险事件的报告误报数。
请参阅: Microsoft Entra ID 中的命名位置
阻止不支持新式身份验证的应用
多重身份验证要求支持新式身份验证的应用。 无法使用条件访问规则阻止不支持新式身份验证的应用。
对于安全环境,请务必对不支持新式身份验证的应用禁用身份验证。 可以使用即将推出的控件Microsoft Entra ID 中执行此操作。
同时,使用以下方法之一阻止 SharePoint Online 和 OneDrive for Business 中不支持新式身份验证的应用程序的访问:
SharePoint 管理中心:
- 在 的 SharePoint 管理中心 https://admin.microsoft.com/sharepoint中,转到 “策略>访问控制”。
- 在 “访问控制 ”页上,选择 “不使用新式身份验证的应用”。
- 在打开 的不使用新式身份验证 浮出控件的应用中,选择 “阻止访问”,然后选择“ 保存”。
PowerShell:请参阅 阻止不使用新式身份验证的应用。
Defender for Cloud Apps 或 Office 365 Cloud App Security 入门
使用 Microsoft 365 Cloud App Security 评估风险、对可疑活动发出警报,并自动采取措施。 需要 Office 365 E5 计划。
或者,使用 Microsoft Defender for Cloud Apps 获取更深入的可见性,即使授予访问权限、全面控制并改进了对所有云应用程序(包括 Office 365)的保护。
由于此解决方案建议使用 EMS E5 计划,因此建议从 Defender for Cloud Apps 开始,以便可以将其与环境中的其他 SaaS 应用程序一起使用。 从默认策略和设置开始。
详细信息:
- 部署 Microsoft Defender for Cloud Apps
- 有关 Microsoft Defender for Cloud Apps 的详细信息
- 什么是 Defender for Cloud Apps 许可?
其他资源
这些文章和指南提供了保护 Microsoft 365 环境的其他规范性信息:
Microsoft政治活动、非营利组织和其他敏捷组织的安全指南, (可以在任何环境中使用这些建议,尤其是仅限云的环境)
针对标识和设备的建议安全策略和配置 (这些建议包括 AD FS 环境的帮助)