配置 Microsoft 365 租户以提高安全性

• 适用于:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

提示

你知道可以免费试用Office 365计划 2 Microsoft Defender XDR 中的功能吗？ 在 Microsoft Defender 门户试用中心使用 90 天Defender for Office 365试用版。 在此处了解谁可以注册和试用条款。

组织需要安全性。

具体内容由你的业务决定。

本文指导你完成对影响 Microsoft 365 环境安全的租户范围设置的手动配置。 使用这些建议作为起点。

在Microsoft Defender门户中优化 EOP 和Defender for Office 365保护策略

Microsoft Defender门户具有保护和报告功能。 它具有仪表板，可用于在出现威胁时监视和采取措施。

作为第一步，需要在 DNS 中为 Microsoft 365 (SPF、DKIM 和 DMARC) 中的所有自定义电子邮件域配置 电子邮件身份验证 记录。 Microsoft 365 自动为 *.onmicrosoft.com 域配置电子邮件身份验证。 有关详细信息，请参阅 步骤 1：为 Microsoft 365 域配置电子邮件身份验证。

注意

对于 SPF 的非标准部署、混合部署和故障排除： 设置 SPF 以帮助防止欺骗。

Exchange Online Protection (EOP) 和 Defender for Office 365 中的大多数保护功能都附带默认策略配置。 有关详细信息，请参阅 此处的表。

建议为所有收件人启用并使用标准和/或严格预设安全策略。 有关详细信息，请参阅以下文章：

• 打开并配置预设安全策略：在 EOP 和Microsoft Defender for Office 365中预设安全策略。
• 标准预设安全策略和严格预设安全策略的设置差异： 预设安全策略中的策略设置。
• 默认策略、标准预设安全策略和严格预设安全策略中的所有功能和设置的完整列表：EOP 和Microsoft Defender for Office 365安全性的建议设置。

如果组织的业务需求要求的策略设置与预设安全策略中 定义的策略设置不同 或 未定义，则需要 自定义策略。 或者，如果你的组织需要对隔离邮件使用不同的用户体验， (包括通知) 。 有关详细信息，请参阅 确定保护策略策略。

在Microsoft Defender门户中查看仪表板和报表

在 Defender 门户中， https://security.microsoft.com 选择“ 报表”。 或者，若要直接转到 “报表” 页，请使用 https://security.microsoft.com/securityreports。

在“ 报表 ”页上，可以查看有关安全趋势的信息，并跟踪标识、数据、设备、应用和基础结构的保护状态。

当你在试点或测试) 时，组织使用Office 365服务 (记住这一点时，这些报表中的数据会变得更加丰富。 现在，请熟悉可以监视的内容并采取措施。

在 的“报表”页上https://security.microsoft.com/securityreports，选择Email &协作>Email &协作报表。

在打开的“Email &协作报表”页上，记下可用的卡片。 在任何卡中，选择“查看详细信息”以深入了解数据。 有关详细信息，请参阅以下文章：

• 在Microsoft Defender门户中查看电子邮件安全报告
• 在Microsoft Defender门户中查看Defender for Office 365报表

Exchange 管理中心 (EAC) 中提供了邮件流报告和见解。 有关详细信息，请参阅 邮件流报告 和 邮件流见解。

|如果要调查租户或遇到针对租户的攻击，请使用 威胁资源管理器 (或实时检测) 来分析威胁。 资源管理器 (和实时检测报告) 显示一段时间内的攻击量，你可以按威胁系列、攻击者基础结构等分析此数据。 还可以为“事件”列表标记任何可疑电子邮件。

其他注意事项

有关勒索软件防护的信息，请参阅以下文章：

• 防范勒索软件
• Microsoft 365 中的恶意软件和勒索软件防护
• 勒索软件事件响应 playbook

在 SharePoint 管理中心配置租户范围的共享策略

Microsoft 建议在提高保护级别（从基线保护开始）配置 SharePoint 团队网站。 有关详细信息，请参阅 保护 SharePoint 网站和文件的策略建议。

在基线级别配置的 SharePoint 团队网站允许使用匿名访问链接与外部用户共享文件。 建议使用此方法，而不是通过电子邮件发送文件。

若要支持基线保护的目标，请在此处按建议配置租户范围的共享策略。 单个网站的共享设置可能比此租户范围策略更具限制性，但不能更宽松。

领域	包括默认策略	建议
共享 (SharePoint Online 和 OneDrive for Business)	是	默认情况下，外部共享处于启用状态。 建议使用以下设置： 允许共享到经过身份验证的外部用户，并使用匿名访问链接 (默认设置) 。 匿名访问链接将在这几天内过期。 如果需要，请输入数字，例如 30 天。 默认链接类型 > 选择“仅限组织中的内部 (人员) ”。 希望使用匿名链接进行共享的用户必须从共享菜单中选择此选项。 详细信息： 外部共享概述

SharePoint 管理中心和 OneDrive for Business 管理中心包含相同的设置。 任一管理中心中的设置都适用于这两者。

在 Microsoft Entra ID 中配置设置

请务必访问 Microsoft Entra ID 中的这两个区域，以完成租户范围的设置，以创建更安全的环境。

在条件访问) 下配置命名位置 (

如果组织包含具有安全网络访问权限的办公室，请将受信任的 IP 地址范围添加到Microsoft Entra ID作为命名位置。 此功能有助于减少登录风险事件的报告误报数。

请参阅：Microsoft Entra ID中的命名位置

阻止不支持新式身份验证的应用

多重身份验证要求支持新式身份验证的应用。 无法使用条件访问规则阻止不支持新式身份验证的应用。

对于安全环境，请务必对不支持新式身份验证的应用禁用身份验证。 可以使用即将推出的控件在 Microsoft Entra ID 中执行此操作。

同时，使用以下方法之一阻止访问 SharePoint Online 中的应用程序，以及不支持新式身份验证的OneDrive for Business：

• SharePoint 管理中心：

  1. 在 的 SharePoint 管理中心 https://admin.microsoft.com/sharepoint中，转到 “策略>访问控制”。
  2. 在 “访问控制 ”页上，选择 “不使用新式身份验证的应用”。
  3. 在打开 的不使用新式身份验证 浮出控件的应用中，选择 “阻止访问”，然后选择“ 保存”。

• PowerShell：请参阅 阻止不使用新式身份验证的应用。

Defender for Cloud Apps 入门或 Office 365 云应用安全

使用 Microsoft 365 云应用安全评估风险、对可疑活动发出警报并自动采取措施。 需要Office 365 E5计划。

或者，使用Microsoft Defender for Cloud Apps获取更深入的可见性，即使授予访问权限、全面控制并改进了对所有云应用程序（包括Office 365）的保护。

由于此解决方案建议使用 EMS E5 计划，因此建议从 Defender for Cloud Apps 开始，以便可以将其与环境中的其他 SaaS 应用程序一起使用。 从默认策略和设置开始。

详细信息：

• 部署 Microsoft Defender for Cloud Apps
• 有关 Microsoft Defender for Cloud Apps 的详细信息
• 什么是 Defender for Cloud Apps 许可？

其他资源

这些文章和指南提供了保护 Microsoft 365 环境的其他规范性信息：

• 适用于政治活动、非营利组织和其他敏捷组织的 Microsoft 安全指南， (你可以在任何环境中使用这些建议，尤其是仅限云的环境)

• 针对标识和设备的建议安全策略和配置 (这些建议包括 AD FS 环境的帮助)