安全性小組支援在家工作的前12個工作

如果您就像 Microsoft 一樣,突然發現自己支援主要以家庭為基礎的員工,我們想要協助您確保貴組織盡可能安全地運作。 本文會排定工作的優先順序,以協助安全性小組儘快實作最重要的安全性功能。

要執行以支援在家工作的首要工作

如果您是使用其中一個 Microsoft 商務方案的小型或中型組織,請改為查看下列資源:

對於使用企業方案的客戶,Microsoft 建議您完成下表中所列適用於您服務方案的工作。 如果您要合併訂閱,請注意下列專案,而不是購買 Microsoft 365 企業版方案:

  • Microsoft 365 E3 包含 Enterprise Mobility + Security (EMS) E3 和 Microsoft Entra ID P1
  • Microsoft 365 E5 包含EMS E5和 Microsoft Entra ID P2
步驟 工作 所有 Office 365 企業版 方案 Microsoft 365 E3 Microsoft 365 E5
1 啟用 Microsoft Entra 多重要素驗證 (MFA) 包括。 包括。 包括。
2 防範威脅 包括。 包括。 包括。
3 設定 適用於 Office 365 的 Microsoft Defender 包括。
4 設定 適用於身分識別的 Microsoft Defender 包括。
5 開啟 Microsoft Defender 全面偵測回應 包括。
6 為手機和平板電腦設定 Intune 行動裝置應用程式保護 包括。 包括。
7 設定來賓的 MFA 和條件式存取,包括 Intune 應用程式保護 包括。 包括。
8 將計算機註冊到裝置管理,並要求符合規範的計算機 包括。 包括。
9 將您的網路優化以進行雲端連線 包括。 包括。 包含
10 訓練使用者 包括。 包括。 包括。
11 開始使用 Microsoft Defender for Cloud Apps 包括。
12 監視威脅並採取動作 包括。 包括。 包括。

開始之前,請在 Microsoft Defender 入口網站中檢查您的 Microsoft 365 安全分數。 從集中式儀錶板,您可以監視並改善 Microsoft 365 身分識別、數據、應用程式、裝置和基礎結構的安全性。 您可以取得設定建議安全性功能、執行安全性相關工作 (例如檢視報表) ,或使用第三方應用程式或軟體處理建議的要點。 本文中的建議工作會提高您的分數。

Microsoft Defender 入口網站中的 Microsoft 安全分數畫面

1:啟用 Microsoft Entra 多重要素驗證 (MFA)

若要改善在家工作員工的安全性,您可以做的一個最佳做法是開啟 MFA。 如果您尚未備妥程式,請將此條件視為緊急試驗,並確定您已準備好支援人員來協助遇到困難的員工。 因為您可能無法散發硬體安全性裝置,請使用 Windows Hello 生物識別技術和智慧型手機驗證應用程式,例如 Microsoft Authenticator。

一般而言,Microsoft 建議您在要求 MFA 之前,為使用者提供 14 天的時間來註冊其裝置以進行多重要素驗證。 不過,如果您的員工突然在家工作,請繼續並要求 MFA 作為安全性優先順序,並準備好協助需要 MFA 的使用者。

套用這些原則只需要幾分鐘的時間,但請準備好在接下來的幾天內支援您的使用者。

方案 建議
不 Microsoft Entra ID P1 或 P2) 的 Microsoft 365 方案 ( 在 Microsoft Entra ID 中啟用安全性預設值。 Microsoft Entra ID 中的安全性預設值包括用戶和系統管理員的 MFA。
Microsoft 365 E3 (與 Microsoft Entra ID P1) 使用常見的條件式存取原則來設定下列原則:
Microsoft Entra ID P2) 的 Microsoft 365 E5 ( 利用 Microsoft Entra ID 中的功能,開始實作 Microsoft 建議的條件式存取集和相關原則,例如:
  • 登入風險中或高時需要 MFA。
  • 封鎖不支援新式驗證的用戶端。
  • 要求高風險用戶變更其密碼。

2:防範威脅

所有具有雲端信箱的 Microsoft 365 方案都包含 Exchange Online Protection (EOP) 功能,包括:

這些 EOP 功能的預設設定會透過預設原則自動指派給所有收件者。 但是, 若要根據資料中心的觀察,將 EOP 保護層級提升至 Microsoft 建議的標準或嚴格安全性設定,請開啟並指派適用於大部分用戶的標準預設安全策略 (,) 和/或系統管理員和其他高風險使用者的嚴格預設安全策略 () 。 隨著新的保護功能加入,而且隨著安全性環境的變更,預設安全策略中的 EOP 設定會自動更新為我們建議的設定。

如需指示,請參閱使用 Microsoft Defender 入口網站將標準和嚴格預設安全策略指派給使用者

處的表格摘要說明 Standard 與 Strict 之間的差異。 這裏的數據表說明標準和嚴格 EOP 設定的完整設定

3:設定 適用於 Office 365 的 Microsoft Defender

適用於 Office 365 的 Microsoft Defender (隨附於 Microsoft 365 E5 和 Office 365 E5) 提供其他保護措施:

  • 安全附件 和安全 連結保護:使用可檢查檔案、附件和惡意內容連結的智慧型手機系統,即時保護您的組織免於遭受未知的威脅。 這些自動化系統包括強固的擷取平臺、啟發學習法和機器學習模型。
  • 適用於 SharePoint、OneDrive 及 Microsoft Teams 的安全附件:透過找出並封鎖小組網站和文件庫中的惡意檔案,在使用者共同作業及共用檔案時保護您的組織。
  • 防網路釣魚原則中的模擬保護:套用機器學習模型和進階模擬偵測算法,以避免網路釣魚攻擊。
  • 優先順序帳戶保護優先順序帳戶 是您套用至選取數目高價值用戶帳戶的標籤。 然後,您可以使用 優先順序 標籤作為警示、報告和調查的篩選條件。 在 適用於 Office 365 的 Defender Microsoft 365 E5) 中包含的方案 2 (中,優先順序帳戶保護會針對專為公司主管量身打造的優先帳戶提供額外的啟發學習法, (一般員工不會受益於此特殊保護) 。

如需 適用於 Office 365 的 Defender的概觀,包括計劃摘要,請參閱 適用於 Office 365 的 Defender

內建保護預設安全策略預設會為所有收件者提供安全連結和安全附件保護,但您可以指定例外狀況

如同上一節,若要根據資料中心的觀察,將 適用於 Office 365 的 Defender 保護層級提升至 Microsoft 建議的標準或嚴格安全性設定,請開啟並指派標準預設安全策略 (,讓大部分使用者) 和/或系統管理員和其他高風險使用者的嚴格預設安全策略 () 。 隨著新的保護功能新增,而且隨著安全性環境的變更,預設安全策略中的 適用於 Office 365 的 Defender 設定會自動更新為建議的設定。

您在預設安全策略中選取 適用於 Office 365 的 Defender 保護的使用者,會取得 Microsoft 針對安全附件和安全連結所建議的標準或嚴格安全性設定。 您也需要為 用戶模擬和網域模擬保護新增專案和選擇性例外狀況。

如需指示,請參閱使用 Microsoft Defender 入口網站將標準和嚴格預設安全策略指派給使用者

表摘要說明 Standard 和 Strict 中 適用於 Office 365 的 Defender 保護設定之間的差異。 這裏的數據表說明標準和嚴格 適用於 Office 365 的 Defender 保護設定的完整設定。

您可以開啟及關閉 SharePoint、OneDrive 和 Microsoft Teams 的安全附件,而不受預設 (默認開啟的安全策略) 。 若要確認, 請參閱開啟 SharePoint、OneDrive 和 Microsoft Teams 的安全附件

在您 將使用者識別為優先帳戶之後,如果使用者默認開啟帳戶 () ,他們就會獲得優先順序帳戶保護。 若要確認,請參閱在 適用於 Office 365 的 Microsoft Defender 中設定和檢閱優先順序帳戶保護

4:設定 適用於身分識別的 Microsoft Defender

適用於身分識別的 Microsoft Defender 是雲端式安全性解決方案,使用 內部部署的 Active Directory 訊號來識別、偵測及調查進階威脅、遭入侵的身分識別,以及針對貴組織的惡意內部人員動作。 接下來將焦點放在此專案,因為它可保護您的內部部署和雲端基礎結構、沒有相依性或必要條件,而且可以提供立即的好處。

5:開啟 Microsoft Defender 全面偵測回應

現在您已 適用於 Office 365 的 Microsoft Defender 並 適用於身分識別的 Microsoft Defender 設定,您可以在一個儀錶板中檢視來自這些功能的合併訊號。 Microsoft Defender 全面偵測回應 將警示、事件、自動化調查和回應,以及跨工作負載 (適用於身分識別的 Microsoft Defender、適用於 Office 365 的 Defender 的進階搜捕整合在一起。適用於端點的 Microsoft Defender,然後 Microsoft Defender for Cloud Apps) Microsoft Defender 入口網站中的單一窗格。

Microsoft Defender 全面偵測回應 儀錶板

設定一或多個 適用於 Office 365 的 Defender 服務之後,請開啟 MTP。 新功能會持續新增至 MTP;考慮加入以接收預覽功能。

6:設定手機和平板電腦的 Intune 行動裝置應用程式保護

Microsoft Intune 行動應用程式管理 (MAM) 可讓您管理及保護組織在手機和平板電腦上的數據,而不需要管理這些裝置。 以下為運作方式:

  • 您會建立應用程式保護原則 (APP) ,以決定裝置上哪些應用程式受到管理,以及允許哪些行為 (例如防止將來自受控應用程式的數據複製到 Unmanaged 應用程式) 。 您會為 iOS、Android) (每個平臺建立一個原則。
  • 建立應用程式保護原則之後,您可以在 Microsoft Entra ID 中建立條件式存取規則來強制執行這些原則,以要求核准的應用程式和應用程式數據保護。

應用程式保護原則包含許多設定。 幸運的是,您不需要瞭解每個設定並權衡選項。 Microsoft 建議起點,讓您輕鬆地套用設定組態。 使用應用程式保護原則的數據保護架構包含三個您可以選擇的層級。

更棒的是,Microsoft 會使用一組條件式存取和相關原則來協調此應用程式保護架構,我們建議所有組織都使用 作為起點。 如果您使用本文中的指引來實作 MFA,您就已經一半了!

若要設定行動應用程式保護,請使用 一般身分識別和裝置存取原則中的指引:

  1. 使用 套用應用程式數據保護原則 指引來建立 iOS 和 Android 的原則。 建議使用層級 2 (增強型數據保護) 以進行基準保護。
  2. 建立條件式存取規則,以 要求核准的應用程式和應用程式保護

7:設定來賓的 MFA 和條件式存取,包括 Intune 行動應用程式保護

接下來,讓我們確保您可以繼續與來賓共同作業和合作。 如果您使用 Microsoft 365 E3 方案,而且已為所有用戶實作 MFA,則會設定。

如果您使用 Microsoft 365 E5 方案,而且正在利用 Azure Identity Protection 來進行風險型 MFA,您需要 (進行一些調整,因為 Microsoft Entra ID Protection 不會延伸到來賓) :

  • 建立新的條件式存取規則,要求來賓和外部使用者一律使用 MFA。
  • 更新風險型 MFA 條件式存取規則,以排除來賓和外部使用者。

使用更新一般原則中的指引來允許和保護來賓和外部存取,以瞭解來賓存取如何與 Microsoft Entra ID 搭配運作,以及更新受影響的原則。

您建立的 Intune 行動應用程式保護原則,以及要求已核准應用程式和應用程式保護的條件式存取規則,會套用至來賓帳戶,並協助保護組織的數據。

注意事項

如果您已將計算機註冊到裝置管理,以要求符合規範的計算機,您也必須從強制執行裝置合規性的條件式存取規則中排除來賓帳戶。

8:將計算機註冊到裝置管理,並且需要符合規範的計算機

有幾種方法可以註冊員工的裝置。 每個方法都取決於裝置的擁有權 (個人或公司)、裝置類型 (iOS、Windows、Android) 及管理需求 (重設、同質、鎖定)。 這項調查可能需要一些時間來排序。請參閱:在 Microsoft Intune 中註冊裝置

最快速的方式是設定 Windows 10 裝置的自動註冊

您也可以利用下列教學課程:

註冊裝置之後,請使用 一般身分識別和裝置存取 原則中的指引來建立這些原則:

  • 定義裝置合規性原則:Windows 10 的建議設定包括需要防病毒軟體保護。 如果您有 Microsoft 365 E5,請使用 適用於端點的 Microsoft Defender 來監視員工裝置的健康情況。 請確定其他操作系統的合規性原則包括防病毒軟體保護和端點保護軟體。
  • 需要符合規範的計算機:這是 Microsoft Entra ID 中強制執行裝置合規性原則的條件式存取規則。

只有一個組織可以管理裝置,因此請務必在 Microsoft Entra ID 中將來賓帳戶從條件式存取規則中排除。 如果您未將來賓和外部使用者排除在需要裝置合規性的原則之外,這些原則將會封鎖這些使用者。 如需詳細資訊,請 參閱更新通用原則以允許和保護來賓和外部存取

9:優化您的網路以進行雲端連線

如果您快速地讓大量員工在家工作,這種突然的連線模式切換可能會對公司網路基礎結構造成重大影響。 許多網路都已在採用雲端服務之前進行調整和設計。 在許多情況下,網路都可容許遠端工作者,但並非設計為同時由所有使用者從遠端使用。

由於整個企業使用網路元素的負載,網路元素突然承受了極大的壓力。 例如:

  • VPN Concentrator。
  • 中央網路輸出設備 (例如 Proxy 和數據外洩防護裝置) 。
  • 中央因特網頻寬。
  • Backhaul MPLS 線路
  • NAT 功能。

最終結果是效能和生產力不佳,再加上適應在家工作之使用者的不良體驗。

一些傳統上透過公司網路將流量路由傳回所提供的保護,現在是由您的使用者所存取的雲端應用程式所提供。 如果您在本文中達到此步驟,您已針對 Microsoft 365 服務和數據實作一組複雜的雲端安全性控制措施。 備妥這些控件之後,您就可以直接將遠端使用者的流量路由傳送至 Office 365。 如果您仍然需要 VPN 連結才能存取其他應用程式,您可以實作分割通道來大幅改善效能和用戶體驗。 一旦您在組織中達成合約,協調良好的網路小組就可以在一天內完成這項優化。

如需詳細資訊,請參閱:

本主題的最近部落格文章:

10:訓練使用者

訓練用戶可以為您的使用者和安全性作業小組節省許多時間和挫折感。 精明的使用者較不可能開啟附件或按兩下有問題電子郵件訊息中的連結,而且他們更可能避免可疑的網站。

在組織內建立強大的安全性意識文化,包括訓練使用者識別網路釣魚攻擊,其提供有關建立強式安全性意識的絕佳指引。

Microsoft 365 提供下列資源來協助通知組織中的使用者:

概念 資源
Microsoft 365 可自定義的學習路徑

這些資源可協助您為組織中的用戶進行訓練

Microsoft 365 安全性 學習課程模組:使用來自 Microsoft 365 的內建智慧型安全性來保護您的組織

本課程模組可讓您描述 Microsoft 365 安全性功能如何搭配運作,並清楚說明這些安全性功能的優點。

多重要素驗證 雙步驟驗證:什麼是額外的驗證頁面?

本文可協助使用者了解什麼是多重要素驗證,以及為何會在您的組織中使用。

除了本指引之外,Microsoft 建議您的用戶採取本文所述的動作: 保護您的帳戶和裝置免於遭受駭客和惡意代碼攻擊。 這些動作包括:

  • 使用強密碼
  • 保護裝置
  • 針對非受控裝置啟用 Windows 10和 Mac 電腦 (的安全性功能)

Microsoft 也建議使用者採取下列文章中建議的動作來保護其個人電子郵件帳戶:

11:開始使用 Microsoft Defender for Cloud Apps

Microsoft Defender for Cloud Apps 提供豐富的可見度、數據傳輸的控制,以及複雜的分析,以識別及對抗所有雲端服務的網路威脅。 一旦您開始使用適用於雲端應用程式的Defender,就會自動啟用異常偵測原則。 但是,適用於雲端應用程式的Defender有七天的初始學習期間,在此期間不會引發所有異常偵測警示。

立即開始使用適用於雲端應用程式的Defender。 稍後您可以設定更複雜的監視和控制項。

12:監視威脅並採取動作

Microsoft 365 包含數種方式來監視狀態並採取適當的動作。 您的最佳起點是 Microsoft Defender 入口網站,您可以在其中檢視組織的 Microsoft 安全分數,以及任何需要您注意的警示或實體。

後續步驟

恭喜您! 您已快速實作一些最重要的安全性保護,而且您的組織更加安全。 現在您已準備好使用威脅防護功能, (包括 適用於端點的 Microsoft Defender) 、數據分類和保護功能,以及保護系統管理帳戶。 如需一組更深入且有條理的安全性建議,請參閱 Microsoft 365 商務用安全性決策者 (BDM)

另請流覽 Microsoft 的新適用於雲端安全性 Defender