コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/central/mdr/help/ja-jp/index.html?contextId=MDR-Best-practices-ExchangeOnline

Microsoft 365 および Exchange Online セキュリティ

Microsoft 365 テナントと基盤となる認証システムの Entra ID (Azure AD) には、さまざまなレベルのセキュリティを実装できるように、さまざまな設定オプションがあります。これらのオプションの多くは、デフォルトでは有効になっていません。このドキュメントでは、利用可能なすべてのセキュリティオプションについて説明しているわけではなかったり、デバイス管理やデータ流出防止 (DLP) などの他のテクノロジーについて説明しているわけではありませんが、ID 保護を強化し、ビジネスメール詐欺 (BEC) の可能性を減らすための推奨設定についてお客様に説明しています。

ガイダンスは、推奨設定とオプション設定の 2つのセクションで構成されています。すべてのお客様に推奨設定を実装することをお勧めします。また、オプションの設定を検討して調査し、環境に適した設定を適用することをお勧めします。

検討しているお客様環境の変更は、Microsoft の適切なドキュメントを参照した後で、組織内で確認およびテストする必要があります。組織全体に適用する前に、テストアカウント、パイロットユーザー、小規模な部門を使用して、バッチで変更を行うことをお勧めします。ロックアウトされないようにするために、下記に記載されているように、緊急アクセスアカウントを使用できることを確認してください。

ライセンスガイダンス

使用されているライセンスに関係なく、以下の設定項目一部はすべての M365 テナントで使用できます。ただし、ほとんどの場合、テナントで使用可能な 'Entra ID P1' ライセンスが必要です。また、'Entra ID P2' ライセンスが必要な場合もあります。'Entra ID P1' は M365 Business Premium E3/A3 バンドルに含まれており、'Entra ID P2' ライセンスは M365 E5/A5 バンドルで利用できます。

少なくとも 'Entra ID P1' ライセンスを含むライセンスを使用していない場合は、Microsoft の 'セキュリティの既定値群' を使用することを強くお勧めします。これは、マイクロソフトによって制御される基本的なセキュリティ ポリシー セットです。Microsoft Entra ID のセキュリティの既定値群を参照してください。

マイクロソフトのアラートを Sophos MDR サービスに統合するときには、少なくとも「Entra ID P1」ライセンスを使用してください。ただし、このライセンスでは、マイクロソフトによって生成されるアラートの量が増加するため、「Entra ID P2」を使用することをお勧めします。これらのアラートの例については、次の記事を参照してください。

ライセンスの詳細については、マイクロソフトのライセンス担当者に問い合わせることをお勧めします。

推奨される構成項目

  • 統合監査ログを有効化

    監査ログにすべてのサービスのアクティビティが記録されていることを確認します。

    場所: Defender ポータル > 監査

  • アラートポリシーの設定

    アラートポリシーは Exchange で特定の高リスクイベントが発生したときにメール通知を生成します。これらのアラートが Exchange Online 管理者に送信されるように設定されていることを確認することをお勧めします。

    場所: Defender ポータル > ポリシーとルール > アラートポリシー

    すべての共有メールボックスのサインインをブロックする

    • 多くの場合、共有メールボックスは、パスワードが脆弱で MFA が導入されていない簡単なターゲットです。共有メールボックスへのサインインを直接ブロックするようにアクセス許可を変更し、認証されたユーザーアカウント経由でのみ共有メールボックスにアクセスできるようにすることをお勧めします。
    • 場所: 管理センター > ユーザー

    ユーザーによる組織外へのメッセージの自動転送をブロックする

    • 多くの場合、脅威主体は、メールボックスを侵害し、外部アカウントへの転送ルールを設定します。ユーザーが外部の受信者に自動転送ルールを作成する機能をブロックすることをお勧めします。
    • 場所: Defender ポータル > ポリシーとルール > 脅威ポリシー > スパム対策(送信ポリシー)。

オプションの構成項目

  • 事前設定されたセキュリティポリシーの実装(メール保護)

    マイクロソフトは、Exchange Online 保護が脅威を処理する方法を定義するために、2つのセキュリティポリシーセットを公開しています。メールベースの脅威から保護するには、少なくとも「標準保護」ポリシーグループを使用することをお勧めします。追加の外部スパムフィルタリングソリューションを使用している場合は、これらの設定を変更する前に、必ずそのベンダーに問い合わせてください。

    場所: Defender ポータル > ポリシーとルール > 脅威ポリシー > 事前設定されたセキュリティポリシー

    補足: