安全团队支持在家办公的 12 大任务

如果你像 Microsoft 一样,突然发现自己支持主要以家庭为基础的员工,我们希望帮助你确保你的组织尽可能安全地工作。 本文对任务进行优先级排序,以帮助安全团队尽快实现最重要的安全功能。

支持在家工作的最佳任务

如果你是使用 Microsoft 业务计划之一的中小型组织,请改为查看以下资源:

对于使用我们的企业计划的客户,Microsoft 建议你完成下表中列出的适用于你的服务计划的任务。 如果要合并订阅,请记下以下项,而不是购买 Microsoft 365 企业版计划:

  • Microsoft 365 E3包括 企业移动性 + 安全性 (EMS) E3 和 Microsoft Entra ID P1
  • Microsoft 365 E5包括 EMS E5 和 Microsoft Entra ID P2
步骤 任务 所有Office 365 企业版计划 Microsoft 365 E3 Microsoft 365 E5
1 (MFA) 启用Microsoft Entra多重身份验证 包括。 包括。 包括。
2 威胁防护 包括。 包括。 包括。
3 配置Microsoft Defender for Office 365 包括。
4 配置Microsoft Defender for Identity 包括。
5 打开Microsoft Defender XDR 包括。
6 为手机和平板电脑配置 Intune 移动应用保护 包括。 包括。
7 为来宾配置 MFA 和条件访问,包括 Intune 应用保护 包括。 包括。
8 将电脑注册到设备管理中,并需要合规的电脑 包括。 包括。
9 针对云连接优化网络 包括。 包括。 Included
10 培训用户 包括。 包括。 包括。
11 Microsoft Defender for Cloud Apps 入门 包括。
12 监视威胁并采取措施 包括。 包括。 包括。

在开始之前,请在 Microsoft Defender 门户中检查 Microsoft 365 安全功能分数。 通过集中式仪表板,可以监视和改进 Microsoft 365 标识、数据、应用、设备和基础结构的安全性。 你将获得配置建议的安全功能、执行与安全相关的任务 ((例如查看报表) 或使用第三方应用程序或软件处理建议)的分数。 本文中建议的任务将提高分数。

Microsoft Defender门户中的 Microsoft 安全功能分数屏幕

1: (MFA) 启用Microsoft Entra多重身份验证

为在家工作的员工提高安全性,可以做的最好的一件事就是启用 MFA。 如果还没有到位的流程,请将这种情况视为紧急试点,并确保有支持人员准备帮助遇到困难的员工。 由于你可能无法分发硬件安全设备,因此请使用Windows Hello生物识别和智能手机身份验证应用(如 Microsoft Authenticator)。

通常,Microsoft 建议在要求 MFA 之前给予用户 14 天的时间注册其设备进行多重身份验证。 但是,如果你的员工突然在家工作,请继续要求将 MFA 作为安全优先事项,并准备好帮助需要它的用户。

应用这些策略只需几分钟时间,但请准备好在接下来的几天内为用户提供支持。

计划 建议
Microsoft 365 计划 (没有Microsoft Entra ID P1 或 P2) 在 Microsoft Entra ID 中启用安全默认值。 Microsoft Entra ID中的安全默认值包括用户和管理员的 MFA。
使用 Microsoft Entra ID P1) 的Microsoft 365 E3 ( 使用常用条件访问策略配置以下策略:
使用 Microsoft Entra ID P2) Microsoft 365 E5 ( 利用 Microsoft Entra ID 中的功能,开始实现 Microsoft 建议的条件访问集和相关策略,例如:
  • 在登录风险中等或较高时要求进行 MFA。
  • 阻止不支持新式身份验证的客户端。
  • 要求高风险用户更改其密码。

2:防范威胁

所有包含云邮箱的 Microsoft 365 计划都包括Exchange Online Protection (EOP) 功能,包括:

这些 EOP 功能的默认设置通过默认策略自动分配给所有收件人。 但是, 若要根据数据中心的观察结果将 EOP 保护级别提高到 Microsoft 建议的标准或严格安全设置,请为大多数用户打开标准预设安全策略 (,) 和/或管理员和其他高风险用户) 的严格预设安全策略 (。 随着新保护功能的添加和安全环境的变化,预设安全策略中的 EOP 设置会自动更新为建议的设置。

有关说明,请参阅使用Microsoft Defender门户向用户分配标准和严格预设安全策略

此处的表中汇总了“标准”和“严格”之间的差异。 此处的表中介绍了标准 EOP 和严格 EOP 设置的综合设置

3:配置Microsoft Defender for Office 365

Microsoft 365 E5 附带的Microsoft Defender for Office 365 (和Office 365 E5) 提供了其他安全措施:

  • 安全附件 和安全 链接保护:使用智能系统实时保护组织免受未知威胁,这些系统检查文件、附件和链接是否存在恶意内容。 这些自动化系统包括可靠的引爆平台、试探法和机器学习模型。
  • 用于 SharePoint、OneDrive 和 Microsoft Teams 的安全附件:当用户协作和共享文件时,可通过识别和阻止工作组网站和文档库中的恶意文件来保护你的组织。
  • 防钓鱼策略中的模拟保护:应用机器学习模型和高级模拟检测算法来避免网络钓鱼攻击。
  • 优先级帐户保护优先级帐户 是应用于选定数量的高价值用户帐户的标记。 然后,可以使用 Priority 标记作为警报、报告和调查中的筛选器。 Defender for Office 365计划 2 (包含在Microsoft 365 E5) 中,优先帐户保护为公司高管定制的优先级帐户提供了额外的启发, (普通员工不会从这种专业保护) 中受益。

有关Defender for Office 365的概述(包括计划摘要),请参阅Defender for Office 365

默认情况下,内置保护预设安全策略为所有收件人提供安全链接和安全附件保护,但可以指定例外

与上一部分一样,若要根据数据中心的观察情况将Defender for Office 365保护级别提高到 Microsoft 建议的标准或严格安全设置,请为大多数用户启用标准预设安全策略 (,) 和/或为管理员和其他高风险用户) (严格预设安全策略 (。 随着新保护功能的添加和安全环境的变化,预设安全策略中的Defender for Office 365设置会自动更新为建议的设置。

你为预设安全策略中的Defender for Office 365保护选择的用户将获得 Microsoft 针对安全附件和安全链接建议的标准或严格安全设置。 还需要为 用户模拟和域模拟保护添加条目和可选异常。

有关说明,请参阅使用Microsoft Defender门户向用户分配标准和严格预设安全策略

此处的表中汇总了“标准”和“严格”中的Defender for Office 365保护设置之间的差异。 此处的表中介绍了标准和严格Defender for Office 365保护设置的综合设置。

你可以打开和关闭 SharePoint、OneDrive 和 Microsoft Teams 的安全附件,独立于预设的安全策略, (默认) 。 若要验证,请参阅 为 SharePoint、OneDrive 和 Microsoft Teams 启用安全附件

将用户标识为优先帐户后,如果默认打开 (处于打开状态,他们将获得优先级帐户保护) 。 若要验证,请参阅在 Microsoft Defender for Office 365 中配置和查看优先级帐户保护

4:配置Microsoft Defender for Identity

Microsoft Defender for Identity是基于云的安全解决方案,它使用本地 Active Directory信号来识别、检测和调查针对组织的高级威胁、泄露的标识和恶意内部操作。 接下来请关注此项目,因为它可以保护本地和云基础结构,没有依赖项或先决条件,并且可以立即带来好处。

5:打开Microsoft Defender XDR

配置Microsoft Defender for Office 365和Microsoft Defender for Identity后,可以在一仪表板查看这些功能的组合信号。 Microsoft Defender XDR将警报、事件、自动调查和响应以及跨工作负载的高级搜寻 (Microsoft Defender for Identity、Defender for Office 365集合在一起,Microsoft Defender for Endpoint和Microsoft Defender for Cloud Apps) 到Microsoft Defender门户中的单个窗格中。

Microsoft Defender XDR 仪表板

配置一个或多个Defender for Office 365服务后,请打开 MTP。 新功能不断添加到 MTP;考虑选择加入以接收预览功能。

6:为手机和平板电脑配置 Intune 移动应用保护

Microsoft Intune移动应用程序管理 (MAM) 允许你在手机和平板电脑上管理和保护组织的数据,而无需管理这些设备。 以下是相应的工作方式:

  • (应用) 创建应用保护策略,该策略确定管理设备上的哪些应用以及允许哪些行为 ((例如,防止托管应用中的数据) 复制到非托管应用)。 (iOS、Android) 为每个平台创建一个策略。
  • 创建应用保护策略后,通过在 Microsoft Entra ID 中创建条件访问规则来强制实施这些策略,以要求批准的应用和应用数据保护。

应用保护策略包括许多设置。 幸运的是,你不需要了解每个设置并权衡选项。 Microsoft 通过推荐起点,可以轻松应用设置配置。 使用应用保护策略的数据保护框架包括三个可以选择的级别。

更妙的是,Microsoft 通过一组条件访问和相关策略来协调此应用保护框架,我们建议所有组织都将其用作起点。 如果你使用本文中的指南实现了 MFA,则你已实现一半!

若要配置移动应用保护,请使用 常见标识和设备访问策略中的指南:

  1. 使用 应用应用数据保护策略 指南创建适用于 iOS 和 Android 的策略。 建议使用级别 2 (增强的数据保护) 进行基线保护。
  2. 创建条件访问规则, 以要求批准的应用和应用保护

7:为来宾配置 MFA 和条件访问,包括 Intune 移动应用保护

接下来,让我们确保你可以继续与来宾进行协作和协作。 如果使用Microsoft 365 E3计划,并且为所有用户实现了 MFA,则已设置好。

如果使用Microsoft 365 E5计划,并且正在利用 Azure 标识保护实现基于风险的 MFA,则需要 (进行一些调整,因为Microsoft Entra ID 保护不会扩展到来宾) :

  • 创建新的条件访问规则,要求始终对来宾和外部用户执行 MFA。
  • 更新基于风险的 MFA 条件访问规则,以排除来宾和外部用户。

使用更新常见策略中的指南来允许和保护来宾和外部访问,以了解来宾访问如何与Microsoft Entra ID并更新受影响的策略。

创建的 Intune 移动应用保护策略,以及要求已批准的应用和应用保护的条件访问规则,应用于来宾帐户并帮助保护组织的数据。

注意

如果已将电脑注册到设备管理中以要求合规电脑,则还需要从强制设备符合性的条件访问规则中排除来宾帐户。

8:将电脑注册到设备管理中,并需要合规的电脑

有几种方法可以注册工作人员的设备。 每个方法取决于设备的所有权(个人或公司)、设备类型(iOS、Windows、Android)和管理要求(重置、相关性、锁定)。 这项调查可能需要一些时间来梳理。请参阅:在 Microsoft Intune 中注册设备

最快的方法是为Windows 10设备设置自动注册

还可以利用以下教程:

注册设备后,请使用 通用标识和设备访问策略 中的指南创建以下策略:

  • 定义设备符合性策略:Windows 10的建议设置包括要求防病毒保护。 如果有Microsoft 365 E5,请使用 Microsoft Defender for Endpoint 监视员工设备的运行状况。 确保其他操作系统的合规性策略包括防病毒保护和终结点保护软件。
  • 需要合规的电脑:这是Microsoft Entra ID中强制实施设备符合性策略的条件访问规则。

只有一个组织可以管理设备,因此请务必从 Microsoft Entra ID 中的条件访问规则中排除来宾帐户。 如果不从需要设备合规性的策略中排除来宾和外部用户,这些策略将阻止这些用户。 有关详细信息,请参阅 更新通用策略以允许和保护来宾和外部访问

9:针对云连接优化网络

如果快速使大部分员工能够在家办公,这种连接模式的突然切换可能会对企业网络基础结构产生重大影响。 许多网络在采用云服务之前进行了缩放和设计。 在许多情况下,网络可以容忍远程工作者,但不是设计为可供所有用户同时远程使用。

由于整个企业使用网络元素的负载,网络元素突然承受着巨大的压力。 例如:

  • VPN 集中器。
  • ) 代理和数据丢失防护设备等中心网络出口设备 (。
  • 中央 Internet 带宽。
  • 回程 MPLS 线路
  • NAT 功能。

最终结果是性能和工作效率不佳,加上适应在家办公的用户体验不佳。

一些传统上通过企业网络将流量路由回提供的保护现在由用户正在访问的云应用提供。 如果达到本文中的此步骤,则表示你已为 Microsoft 365 服务和数据实现了一组复杂的云安全控制。 有了这些控制,就可以直接将远程用户的流量路由到Office 365。 如果仍需要 VPN 链接才能访问其他应用程序,可以通过实现拆分隧道来大幅提高性能和用户体验。 在组织中达成一致后,协调良好的网络团队可以在一天内完成此优化。

有关更多信息,请参阅:

有关本主题的最新博客文章:

10:培训用户

培训用户可以为用户和安全运营团队节省大量时间,并节省大量挫折感。 精明的用户不太可能打开可疑电子邮件中的附件或单击链接,并且他们更有可能避免可疑网站。

哈佛肯尼迪学院 网络安全活动手册 提供有关在组织内建立强大的安全意识文化的出色指导,包括培训用户识别网络钓鱼攻击。

Microsoft 365 提供以下资源来帮助通知组织中的用户:

概念 资源
Microsoft 365 可自定义的学习路径

这些资源可帮助你为组织中的最终用户提供培训

Microsoft 365 安全中心 学习模块:使用 Microsoft 365 提供的内置智能安全性保护组织

本模块使你能够描述 Microsoft 365 安全功能如何协同工作,并阐明这些安全功能的优点。

多重身份验证 双重验证:什么是其他验证页?

本文可帮助最终用户了解什么是多重身份验证,以及组织中使用它的原因。

除了本指南之外,Microsoft 还建议用户采取本文中所述的操作: 保护你的帐户和设备免受黑客和恶意软件的侵害。 这些操作包括:

  • 使用强密码
  • 保护设备
  • 在 Windows 10 和 Mac 电脑上为非托管设备启用安全功能 ()

Microsoft 还建议用户采取以下文章中建议的操作来保护其个人电子邮件帐户:

11:Microsoft Defender for Cloud Apps入门

Microsoft Defender for Cloud Apps提供丰富的可见性、对数据移动的控制,以及复杂的分析功能,以识别和应对所有云服务中的网络威胁。 开始使用 Defender for Cloud Apps 后,将自动启用异常情况检测策略。 但是,Defender for Cloud Apps 的初始学习期为 7 天,在此期间,并非所有异常情况检测警报都会引发。

立即开始使用 Defender for Cloud Apps。 稍后可以设置更复杂的监视和控制。

12:监视威胁并采取措施

Microsoft 365 包括多种监视状态和采取适当操作的方法。 最佳起点是Microsoft Defender门户,可在其中查看组织的 Microsoft 安全功能分数以及需要注意的任何警报或实体。

后续步骤

恭喜! 你已快速实施了一些最重要的安全保护,并且你的组织更加安全。 现在,你可以进一步使用威胁防护功能 (包括Microsoft Defender for Endpoint) 、数据分类和保护功能以及保护管理帐户。 有关 Microsoft 365 的更深入、有条不紊的安全建议集,请参阅 Microsoft 365 商业安全决策者 (BDM)

另请访问 Microsoft 的新 Defender for Cloud in Security 文档