共用方式為

Microsoft 365 中優先帳戶的安全性建議

提示

您知道您可以免費試用 Microsoft Defender XDR for Office 365 方案 2 中的功能嗎? 在 Microsoft Defender 入口網站試用中樞使用適用於 Office 365 的 90 天 Defender 試用版。 瞭解誰可以在 Try Microsoft Defender for Office 365 上註冊和試用條款。

並非所有用戶帳戶都可以存取相同的公司資訊。 某些帳戶可以存取敏感性資訊,例如財務數據、產品開發資訊、重要組建系統的合作夥伴存取權等等。 如果遭到入侵,可存取高度機密資訊的帳戶會造成嚴重威脅。 我們將這些類型的帳戶 稱為優先帳戶。 優先帳戶包含 (,但不限於) CEO、CISO、CPO、基礎結構系統管理員帳戶、組建系統帳戶等等。

Microsoft Defender for Office 365 支援優先順序帳戶作為卷標,可用於警示、報告和調查的篩選。 如需詳細資訊,請參閱 Microsoft Defender for Office 365 中的使用者標籤

對於攻擊者而言,為一般或未知使用者轉換隨機網路的一般網路釣魚攻擊效率不佳。 另一方面,以優先順序帳戶為目標的 魚叉式網路釣魚捕擷取 攻擊對攻擊者而言非常有報酬。 因此,優先順序帳戶需要比一般保護更強大的保護,以協助防止帳戶遭到入侵。

Microsoft 365 和適用於 Office 365 的 Microsoft Defender 包含數個重要功能,可為您的優先帳戶提供額外的安全性層級。 本文說明這些功能及其使用方式。

圖示形式的安全性建議摘要

工作 所有 Office 365 企業版方案 Microsoft 365 E3 Microsoft 365 E5
提高優先順序帳戶的登入安全性
針對優先順序帳戶使用嚴格預設安全策略
將使用者標籤套用至優先順序帳戶
監視警示、報告和偵測中的優先順序帳戶
訓練使用者

注意事項

如需保護特殊 許可權帳戶 (系統管理員帳戶) 的相關信息,請參閱 本主題

提高優先順序帳戶的登入安全性

優先順序帳戶需要提高登入安全性。 您可以藉由要求多重要素驗證 (MFA) 並停用舊版驗證通訊協定,來提高其登入安全性。

如需指示,請參閱 步驟 1。使用 MFA 提高遠端工作者的登入安全性。 雖然本文是關於遠端工作者,但相同的概念也適用於優先使用者。

注意:強烈建議您全域停用所有優先順序使用者的舊版驗證通訊協定,如上一篇文章所述。 如果您的商務需求讓您無法這麼做,Exchange Online 會提供下列控件來協助限制舊版驗證通訊協定的範圍:

另值得注意的是,Exchange Web Services (EWS) 、Exchange ActiveSync、POP3、IMAP4 和遠端 PowerShell 的 Exchange Online 正在淘汰基本身份驗證。 如需詳細資訊,請參閱此 部落格文章

針對優先順序帳戶使用嚴格預設安全策略

優先使用者需要針對 Exchange Online Protection (EOP) 和適用於 Office 365 的 Defender 中提供的各種保護採取更嚴格的動作。

例如,您不應該將分類為垃圾郵件的郵件傳遞至 [垃圾郵件] 資料夾,而是應該隔離這些相同的郵件,因為它們是用於優先帳戶。

您可以使用預設安全策略中的 Strict 配置檔,針對優先順序帳戶實作此嚴格的方法。

默認安全策略是一個方便且集中的位置,可針對適用於 Office 365 的 EOP 和 Defender 中的所有保護套用我們建議的 Strict 原則設定。 如需詳細資訊, 請參閱 EOP 和 Microsoft Defender for Office 365 中的預設安全策略。

如需 Strict 原則設定與預設和標準原則設定有何差異的詳細資訊,請參閱 EOP 和適用於 Office 365 的 Microsoft Defender 安全性的建議設定

將使用者標籤套用至優先順序帳戶

Microsoft Defender for Office 365 方案 2 中的使用者卷標 (作為Microsoft 365 E5 或附加元件訂閱) 的一部分,可在報告和事件調查中快速識別和分類特定使用者或使用者群組。

優先順序帳戶 是一種內建用戶標籤 (稱為 系統標籤) ,可用來識別涉及優先順序帳戶的事件和警示。 如需 優先順序帳戶的詳細資訊,請 參閱管理和監視優先順序帳戶

您也可以建立自定義標籤,以進一步識別和分類您的優先順序帳戶。 如需詳細資訊,請參閱 使用者標籤。 您可以在與自訂使用者標籤相同的介面中管理) (系統標籤的 優先順序帳戶

監視警示、報告和偵測中的優先順序帳戶

保護並標記優先用戶之後,您可以使用 EOP 和適用於 Office 365 的 Defender 中可用的報告、警示和調查,快速識別涉及優先順序帳戶的事件或偵測。 下表說明支援使用者標籤的功能。

功能 描述
警示 在 Microsoft Defender 入口網站的 [ 警示 ] 頁面上,會顯示受影響使用者的使用者標籤並作為篩選條件。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的警示原則
事件 所有相互關聯警示的使用者標籤都會顯示在 Microsoft Defender 入口網站的 [ 事件 ] 頁面上。 如需詳細資訊,請 參閱管理事件和警示
自訂警示原則 您可以在 Microsoft Defender 入口網站中,根據使用者標籤來建立警示原則。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的警示原則
總管

即時偵測

 Explorer (適用於 Office 365 的 Defender 方案 2) 或 即時偵 測 (適用於 Office 365 的 Defender 方案 1) 中,使用者卷標會顯示在 [電子郵件] 方格檢視和 [電子郵件詳細數據] 飛出視窗中。 用戶標籤也可做為可篩選的屬性。 如需詳細資訊,請參閱 威脅總管中的標籤
電子郵件實體頁面 您可以根據 Microsoft 365 E5 和適用於 Office 365 的 Defender 方案 1 和方案 2 中所套用的使用者標籤來篩選電子郵件。 如需詳細資訊,請參閱 電子郵件實體頁面
行銷活動檢視 用戶標籤是 Microsoft Defender for Office 365 方案 2 中許多可篩選屬性之一。 如需詳細資訊,請參閱 行銷活動檢視
威脅防護狀態報告 在威脅 防護狀態報告中幾乎所有檢視和詳細數據表中,您可以依 優先順序帳戶篩選結果。 如需詳細資訊,請參閱 威脅防護狀態報告
熱門寄件人和收件者報告 您可以將此使用者標籤新增至組織中的前 20 名郵件寄件者。 如需詳細資訊,請 參閱熱門寄件人和收件者報告
遭入侵的用戶報告 在具有 Exchange Online 信箱Microsoft 365 組織中標示為 可疑受限制 的使用者帳戶會顯示在此報告中。 如需詳細資訊,請參閱 遭入侵的用戶報告
系統管理員提交和用戶回報的訊息 使用 Microsoft Defender 入口網站中的 [提交] 頁面,將電子郵件訊息、URL 和附件提交至Microsoft進行分析。 如需詳細資訊,請參閱 系統管理員提交和用戶回報的訊息
隔離 在具有 Exchange Online 信箱的Microsoft 365 組織或獨立 Exchange Online Protection (EOP) 組織中,可使用隔離來保存潛在的危險或垃圾郵件。 如需詳細資訊,請參閱 隔離電子郵件訊息
攻擊模擬 若要測試您的安全策略和做法,請為目標使用者執行良性網路攻擊模擬。 如需詳細資訊,請參閱 攻擊模擬
優先順序帳戶的電子郵件問題報告 Exchange 系統管理中心中 優先帳戶的電子郵件問題 報告 (EAC) 包含 優先順序帳戶未傳遞和延遲訊息的相關信息。 如需詳細資訊,請參閱 優先帳戶的電子郵件問題報告

訓練使用者

使用優先帳戶訓練使用者有助於節省這些使用者和安全性作業小組許多時間和挫折感。 精明的使用者較不可能開啟附件或按兩下有問題電子郵件訊息中的連結,而且他們更可能避免可疑的網站。

[偵測到學校 網路安全性活動手冊 ] 提供絕佳的指引,可讓您在組織內建立強大的安全性意識文化,包括訓練使用者識別網路釣魚攻擊。

Microsoft 365 提供下列資源來協助通知組織中的使用者:

概念 資源 描述
Microsoft 365 可自定義的學習路徑 這些資源可協助您為組織中的用戶進行訓練。
Microsoft 365 安全性 學習課程模組:使用來自 Microsoft 365 的內建智慧型安全性來保護您的組織 本課程模組可讓您描述Microsoft 365安全性功能如何共同運作,並清楚說明這些安全性功能的優點。
多重要素驗證 下載並安裝 Microsoft Authenticator 應用程式 本文可協助使用者了解什麼是多重要素驗證,以及為什麼會在您的組織中使用。
攻擊模擬訓練 開始使用攻擊模擬訓練 Microsoft Defender for Office 365 方案 2 中的攻擊模擬訓練可讓系統管理員設定、啟動及追蹤針對特定使用者群組的模擬網路釣魚攻擊。

此外,Microsoft建議使用者採取本文所述的動作: 保護您的帳戶和裝置免於遭受駭客和惡意代碼攻擊。 這些動作包括:

  • 使用強密碼
  • 保護裝置
  • 針對非受控裝置啟用 Windows 和 Mac 電腦 (的安全性功能)

另請參閱