設定 Microsoft 365 租用戶以提高安全性

• 適用於:

  ✅ Exchange Online Protection, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

提示

您知道您可以免費試用適用於 Office 365 的 Microsoft Defender XDR 方案 2 中的功能嗎？ 在 Microsoft Defender 入口網站試用中樞使用 90 天適用於 Office 365 的 Defender 試用版。 在這裡瞭解誰可以註冊和 試用條款。

您的組織需求需要安全性。

特定專案由您的企業決定。

本文將逐步引導您手動設定全租用戶設定，以影響 Microsoft 365 環境的安全性。 請使用這些建議做為調整的起始點。

在 Microsoft Defender 入口網站中調整適用於 Office 365 的 EOP 和 Defender 保護原則

Microsoft Defender 入口網站具有保護和報告的功能。 它具有儀錶板，可讓您在威脅發生時用來監視並採取動作。

在初始步驟中，您必須為 Microsoft 365 中的所有自定義電子郵件網域設定 DNS 中 的電子郵件驗證 記錄， (SPF、DKIM 和 DMARC) 。 Microsoft 365 會自動設定 *.onmicrosoft.com 網域的電子郵件驗證。 如需詳細資訊，請參閱 步驟 1：設定 Microsoft 365 網域的電子郵件驗證。

注意事項

針對SPF、混合式部署和疑難解答的非標準部署： 設定SPF以協助防止詐騙。

Exchange Online Protection (EOP) 和適用於 Office 365 的 Defender 中的大部分保護功能都隨附 默認原則設定。 如需詳細資訊，請參閱 這裡的表格。

建議您針對所有收件者開啟和使用標準和/或嚴格預設安全策略。 如需詳細資訊，請參閱下列文章：

• 開啟並設定預設安全策略： EOP 和適用於 Office 365 的 Microsoft Defender 中的預設安全策略。
• 標準和嚴格預設安全策略之間的設定差異： 預設安全策略中的原則設定。
• 默認原則、標準預設安全策略和嚴格預設安全策略中所有功能和設定的完整清單： EOP 和適用於 Office 365 的 Microsoft Defender 安全性的建議設定。

如果您組織的商務需求需要 不同於 或未在預設安全策略 中定義 的原則設定，則需要自定義原則。 或者，如果您的組織需要不同的用戶體驗來隔離郵件， (包括通知) 。 如需詳細資訊，請 參閱判斷您的保護原則策略。

在 Microsoft Defender 入口網站中檢視儀錶板和報表

在 Defender 入口網站中 https://security.microsoft.com ，選取 [ 報告]。 或者，若要直接移至 [ 報表 ] 頁面，請使用 https://security.microsoft.com/securityreports。

在 [ 報告] 頁面上，您可以檢視安全性趨勢的相關信息，並追蹤身分識別、數據、裝置、應用程式和基礎結構的保護狀態。

當貴組織使用 Office 365 服務時，這些報告中的數據會變得更豐富 (如果您要試驗或測試) ，請記住這一點。 現在，請先熟悉您可以監控與採取動作的項目。

在 的 [ 報告] 頁面上 https://security.microsoft.com/securityreports，選 取 [電子郵件 & 共同作業>電子郵件 & 共同作業報告]。

在開啟 的 [電子郵件 & 共同作業報告 ] 頁面上，記下可用的卡片。 在任何卡片中，選 取 [檢視詳細 數據] 以深入了解數據。 如需詳細資訊，請參閱下列文章：

• 在 Microsoft Defender 入口網站中檢視電子郵件安全性報告
• 在 Microsoft Defender 入口網站中檢視適用於 Office 365 的 Defender 報告

郵件流程報告和深入解析可在 Exchange 系統管理中心 (EAC) 中取得。 如需詳細資訊，請參閱 郵件流程報告 和 郵件流程深入解析。

|如果您正在調查或遇到租用戶的攻擊，請使用威脅總管 (或即時偵測) 來分析威脅。 總管 (或即時偵測) 能顯示隨時間受到的攻擊量，而您可以依照威脅系列、攻擊者的基礎結構等項目來分析這份資料。 您也可以將任何可疑的電子郵件標記為 [事件清單]。

其他考量

如需勒索軟體保護的相關信息，請參閱下列文章：

• 防範勒索軟體
• Microsoft 365 中的惡意代碼和勒索軟體保護
• 勒索軟體事件回應劇本

設定 SharePoint 系統管理中心的全租用戶共用原則

Microsoft 建議您從基礎保護開始，逐漸提高 SharePoint 小組網站的保護層級設定。 如需詳細資訊，請參閱 保護 SharePoint 網站和檔案的原則建議。

設定為基礎層級的 SharePoint 小組網站可讓您使用匿名存取連結，來與所有外部使用者共用檔案。 建議您採用此方法，而不要在電子郵件中傳送檔案。

為了支援基礎保護達到目標，請依以下建議設定全租用戶共用原則。 請為個別網站設定比此全租用戶原則更嚴格 (而非更寬鬆) 的共用設定。

區域	包含默認原則	建議
共用 (SharePoint Online 和商務用 OneDrive)	是	外部共用預設為啟用狀態。 這些為建議設定： 允許共用已驗證的外部使用者，並使用匿名存取連結 (預設設定) 。 匿名存取連結會在這幾天內過期。 如有需要，請輸入一個數字，例如 30 天。 默認連結類型 > 選取 [僅限組織中的內部 (人員) ]。 想要以匿名連結進行共用的使用者必須從共用功能表中選擇此選項。 其他資訊：外部共用概觀

SharePoint 系統管理中心與商務用 OneDrive 系統管理中心包含同樣的設定。 任一系統管理中心內的設定都適用於兩者。

在 Microsoft Entra ID 中設定設定

請務必造訪 Microsoft Entra ID 中的這兩個區域，以完成適用於更安全環境的全租用戶設定。

設定具名位置 (使用條件式存取)

如果您的組織包含具有安全網路存取權的辦公室，請將受信任的IP位址範圍新增至 Microsoft Entra ID 作為具名位置。 這項功能可協助減少誤判為登入風險事件的次數。

請參閱： Microsoft Entra ID 中的具名位置

封鎖不支援新式驗證的應用程式

應用程式必須支援新式驗證才能使用多重要素驗證。 不支援新式驗證的應用程式無法使用條件式存取規則來封鎖。

針對安全的環境，請務必停用不支援新式驗證之應用程式的驗證。 您可以在 Microsoft Entra ID 中使用即將推出的控制項來執行此動作。

在此同時，請使用下列其中一種方法來封鎖 SharePoint Online 和商務用 OneDrive 中不支援新式驗證之應用程式的存取：

• SharePoint 系統管理中心：

  1. 在位於的 SharePoint 系統管理中心 https://admin.microsoft.com/sharepoint， 移至原則>訪問控制。
  2. 在 [ 存取控制] 頁面上，選取 [不使用新式驗證的應用程式]。
  3. 在 開啟的 [不使用新式驗證的應用程式 ] 飛出視窗中，選取 [ 封鎖存取]，然後選取 [ 儲存]。

• PowerShell：請參閱 封鎖不使用新式驗證的應用程式。

開始使用適用於雲端應用程式的Defender或 Office 365 Cloud App Security

使用 Microsoft 365 Cloud App Security 評估風險、警示可疑活動，以及自動採取動作。 需要 Office 365 E5 方案。

或者，即使授與存取權、全面控制，以及改善所有雲端應用程式的保護，包括 Office 365，仍可使用適用於雲端應用程式的 Microsoft Defender 取得更深入的可見度。

由於此解決方案建議使用EMS E5方案，因此建議您從適用於雲端應用程式的Defender開始，讓您可以將它與環境中的其他SaaS應用程式搭配使用。 請以預設原則與設定開始使用。

詳細資訊：

• 部署 Defender for Cloud App
• Microsoft Defender for Cloud App 的詳細資訊
• 什麼是 Defender for Cloud Apps？

其他資源

這些文章和指南提供保護 Microsoft 365 環境的其他規範資訊：

• 適用於政治活動、非營利組織和其他敏捷式組織的 Microsoft 安全性指引 (您可以在任何環境中使用這些建議，尤其是僅限雲端的環境)

• 適用於身分識別與裝置的建議安全原則與設定 (這些建議包括 AD FS 環境說明)