Contoso Corporation 企业安全性Microsoft 365 摘要

为了获得部署 Microsoft 365 企业版的批准,Contoso IT 安全部门进行了彻底的安全审查。 他们确定了云的以下安全要求:

  • 使用最强的身份验证方法对员工访问云资源。
  • 确保电脑和移动设备以安全的方式连接和访问应用程序。
  • 保护电脑和电子邮件免受恶意软件的侵害。
  • 基于云的数字资产权限定义谁可以访问哪些内容以及可以执行的操作,并且专为最低特权访问而设计
  • 敏感且高度管控的数字资产已标记、加密并存储在安全位置。
  • 高度管控的数字资产受到额外的加密和权限的保护。
  • IT 安全人员可以从中心仪表板监视当前安全状况,并收到安全事件的通知,以便快速响应和缓解。

Microsoft 365 安全就绪情况的 Contoso 路径

Contoso 遵循以下步骤为部署 Microsoft 365 企业版做好准备:

  1. 限制云的管理员帐户

    Contoso 对其现有Active Directory 域服务 (AD DS) 管理员帐户进行了广泛审查,并设置了一系列专用云管理员帐户和组。

  2. 将数据分类为三个安全级别

    Contoso 进行了仔细审查并确定三个级别,这些级别用于标识 Microsoft 365 企业功能,以保护最有价值的数据。

  3. 确定数据级别的访问、保留和信息保护策略

    Contoso 根据数据级别确定了详细的要求,以限定迁移到云的未来 IT 工作负载。

为了遵循安全最佳做法和 Microsoft 365 企业部署要求,Contoso 安全管理员及其 IT 部门部署了许多安全功能和功能,如以下部分所述。

标识和访问管理

  • 使用 MFA 和 PIM 的专用全局管理员帐户

    Contoso 没有将全局管理员角色分配给日常用户帐户,而是创建了三个具有强密码的专用全局管理员帐户。 这些帐户受Microsoft Entra多重身份验证 (MFA) 和Microsoft Entra Privileged Identity Management (PIM) 的保护。 PIM 仅在 Microsoft 365 E5 中提供。

    仅针对特定管理任务使用 Microsoft Entra DC 管理员全局管理员帐户登录。 密码仅对指定员工知道,并且只能在 Microsoft Entra PIM 中配置的时间段内使用。

    Contoso 安全管理员将较小的管理员角色分配给适合该 IT 工作人员工作职能的帐户。

    有关详细信息,请参阅关于 Microsoft 365 管理员角色

  • 用于所有用户帐户的 MFA

    MFA 为登录过程添加了额外的保护层。 它要求用户在正确输入密码后,在其智能手机上确认电话呼叫、短信或应用通知。 使用 MFA,即使帐户密码泄露,Microsoft Entra用户帐户也受到保护,防止未经授权的登录。

    • 为了防止Microsoft 365 订阅遭到入侵,Contoso 要求对所有Microsoft Entra DC 管理员全局管理员帐户进行 MFA。
    • 为防止钓鱼攻击(攻击者会泄露组织中受信任的个人的凭据并发送恶意电子邮件),Contoso 对所有用户帐户(包括经理和行政人员)都启用了 MFA。
  • 使用条件访问策略更安全地访问设备和应用程序

    Contoso 正在对标识、设备、Exchange Online和 SharePoint 使用条件访问策略。 标识条件访问策略包括要求对高风险用户更改密码,以及阻止客户端使用不支持新式身份验证的应用。 设备策略包括已批准应用的定义,以及要求合规的电脑和移动设备。 Exchange Online条件访问策略包括阻止 ActiveSync 客户端和设置Office 365消息加密。 SharePoint 条件访问策略包括对敏感和高度管控网站的附加保护。

  • Windows Hello 企业版

    Contoso 部署了Windows Hello 企业版,最终通过在运行 Windows 11 企业版 的电脑和移动设备上进行强双因素身份验证来消除对密码的需求。

  • Windows Defender Credential Guard

    为了阻止具有管理权限的操作系统中运行的目标攻击和恶意软件,Contoso 通过 AD DS 组策略启用了 Windows Defender Credential Guard

威胁防护

  • 使用 Microsoft Defender 防病毒防护恶意软件

    Contoso 使用 Microsoft Defender 防病毒对运行 Windows 11 企业版 的电脑和设备进行恶意软件保护和反恶意软件管理。

  • 使用 Microsoft Defender for Office 365 保护电子邮件流和邮箱审核日志记录

    Contoso 使用 Exchange Online Protection 和 Defender for Office 365 来防范通过电子邮件传输的未知恶意软件、病毒和恶意 URL。

    Contoso 还启用了邮箱审核日志记录,以确定谁登录到用户邮箱、发送邮件以及执行邮箱所有者、委派用户或管理员执行的其他活动。

  • 使用 Office 365 威胁调查和响应进行威胁监控和防护

    Contoso 使用Office 365威胁调查和响应来保护用户,使其易于识别和处理攻击,并防止将来的攻击。

  • 使用 Advanced Threat Analytics 防止复杂攻击

    Contoso 使用 高级威胁分析 (ATA) 来保护自己免受高级定向攻击。 ATA 自动分析、学习和识别 (用户、设备和资源的正常和异常实体) 行为。

信息保护

  • 使用 Azure 信息保护标签来保护敏感和高度管控的数字资产

    Contoso 确定了三个数据保护级别,并部署了 Microsoft 365 个敏感度标签 ,用户可应用于数字资产。 Contoso 对其商业机密和其他知识产权使用敏感度子标签进行高度监管的数据。 此过程对内容进行加密,并限制对特定用户帐户和组的访问。

  • 使用数据丢失防护功能阻止 Intranet 数据泄露

    Contoso 为 Exchange Online、SharePoint 和 OneDrive for Business 配置了Microsoft Purview 数据丢失防护策略,以防止用户意外或有意共享敏感数据。

  • 使用 Windows 信息保护防止设备数据泄露

    Contoso 使用 Windows 信息保护 (WIP) ,防止数据通过基于 Internet 的应用和服务以及企业应用以及企业拥有的设备以及员工带来的个人设备上的数据泄露。

  • 使用 Microsoft Defender for Cloud Apps 进行云监视

    Contoso 使用 Microsoft Defender for Cloud Apps 来映射其云环境、监视其使用情况以及检测安全事件和事件。 Microsoft Defender for Cloud Apps仅适用于 Microsoft 365 E5。

  • 使用 Microsoft Intune 的设备管理

    Contoso 使用Microsoft Intune来注册、管理和配置对移动设备及其上运行的应用的访问。 基于设备的条件访问策略还需要批准的应用以及合规的电脑和移动设备。

安全管理

  • 使用 Microsoft Defender for Cloud 为 IT 提供中央安全仪表板

    Contoso 使用 Microsoft Defender for Cloud 提供安全和威胁防护的统一视图,管理其工作负载中的安全策略,以及响应网络攻击。

  • Windows Defender 安全中心适用于用户的安全中心仪表板

    Contoso 将 Windows 安全中心 应用部署到运行Windows 11 企业版的电脑和设备,以便用户可以一目了然地查看其安全状况并采取措施。