Microsoft 365 和 Entra ID 安全防護

Microsoft 365 租用戶和基礎身分驗證系統 Entra ID (Azure AD) 具有許多不同的設定選項，可讓您的企業實施不同級別的安全防護。預設情況下，這些選項中有很多未啟用。雖然本文件並未涵蓋所有可用的安全防護選項，也未討論其他技術 (如裝置管理和資料遺失防護 (DLP))，但它為我們的客戶提供了有關建議設定的指導，有助於改進身分保護並降低企業電子郵件入侵 (BEC) 的風險。

指南分為兩部分：建議設定和可選設定。我們敦促所有客戶實施建議設定。我們還建議您考慮並研究可選設置，並根據您的環境情況加以套用。

任何您考慮對環境進行的變更，都應在參考 Microsoft 的適當文件後，於組織內進行審查和測試。建議您在對整個組織實施變更前，先使用測試帳戶、試點使用者和小型部門分批實施。請確保您擁有如下文所述的可用緊急存取帳戶，以避免遭到鎖定。

授權指南

以下部分設定項目適用於所有 M365 租用戶，無論使用什麼授權。但是，對於大多數設定項目，您的租用戶至少要有「Entra ID P1」授權才能使用它們，有些還需要「Entra ID P2」授權。「Entra ID P1」已包含於 M365 商務進階版 E3/A3 套裝方案中，而「Entra ID P2」授權則需透過 M365 E5/A5 套裝方案取得。

若您使用的授權方案未包含「Entra ID P1」或更高版本授權，我們強烈建議啟用 Microsoft 的「Security Defaults (預設安全防護)」功能。這是由 Microsoft 控制的一組基本安全防護原則。請參閱在 Microsoft Entra ID 中提供預設級別的安全防護 - Microsoft Entra。

將 Microsoft 警示整合至 Sophos MDR 服務時，「Entra ID P1」是最低建議授權等級，但由於 Microsoft 產生的警示數量較多，我們建議使用「Entra ID P2」。有關這些警示的示例，請參閱以下文章：

我們建議您向 Microsoft 授權專家詢問其他授權資訊。

建議的設定項目

套用最小權限原則

使用單獨的管理員帳戶和 RBAC 角色來限制管理員權限。僅授與工作職能所需的角色。Microsoft 建議使用最多五個全域管理員帳戶。不要在網域或服務之間重複使用管理員憑證。

影響：使用者只能存取其工作職能所允許的區域。管理員應使用單獨的帳戶。

位置：Entra ID > 角色與管理員

參考：
- Microsoft Entra 內建角色 - Microsoft Entra ID
- 權限身分管理文件 - Microsoft Entra ID Governance

設定身分驗證方法

此設定可設定使用者存取環境時可用的身分驗證方法。我們建議至少設定 Microsoft Authenticator、電子郵件一次性密碼及臨時存取通行證，並停用以電話接聽作為驗證選項。

位置：Entra ID > 保護與安全 > 身分驗證方法 > 原則

參考：

將「預設安全防護」替換為條件式存取原則

使用「Entra ID P1」及更新版本授權時，您可以建立自訂條件式存取原則，以增強安全性。若要建立這些原則，您必須停用「預設安全防護」，並從 Microsoft 範本建立條件式存取原則，以執行 MFA 等作業。建立這些原則時，請務必排除任何「緊急存取」帳戶或群組。

位置：
- Entra ID > 概覽 > 屬性
- Entra ID > 保護與安全 > 條件式存取
參考：
- 條件式存取範本：
- 條件式存取原則指南：

註冊或加入裝置時要求進行 MFA

這可確保嘗試將新 Windows 裝置加入 Entra ID 的使用者必須執行多重要素身分驗證。

位置：Entra ID > 保護與安全 > 條件式存取
- 名稱：註冊或加入裝置時要求進行 MFA。
- 使用者：所有使用者，請務必排除任何「緊急存取」帳戶或群組。
- 雲端應用程式或動作：使用者動作 > 註冊或加入裝置。
- 情況：無。
- 存取控制 > 授與：要求多重要素身分驗證。

僅允許從授權國家/地區登入

為降低帳戶遭入侵風險，建議限制使用者可登入您環境的來源國家/地區數量。若貴組織無員工需出差至海外，建議全面禁止組織使用者從境外存取您的環境。如果有使用者出差，則可以按群組實施這些原則。例如，您可以設定開放所有國家/地區的存取權限，或針對需出差的特定使用者群組開放部分國家/地區的存取權限，亦可依地理區域劃分使用者並按照區域限制使用者的存取權限。

您可以使用條件式存取原則來達成此目的。建立一個「命名位置」清單（例如「允許的國家/地區」），並新增您想開放存取權限的國家/地區。接著建立條件式存取原則，封鎖所有使用者對全部雲端應用程式的存取權限，但排除「允許的國家/地區」及任何「緊急使用者或群組」。

警告

在套用至所有使用者前，請務必仔細測試此原則。

位置：Entra ID > 保護與安全 > 條件式存取

封鎖高風險使用者

M365 使用者風險級別是一項有助於確定 Entra ID 中使用者帳戶風險的功能。此功能屬於 Entra ID Identity Protection，透過分析來自使用者帳戶的各種訊號 (如 IP 位址、裝置狀態、可疑活動和已知已外洩的憑證) 來達成目的。

使用者風險級別分為三類：
- 低風險：「低風險」使用者帳戶被視為正規帳戶。
- 中風險：「中等風險」使用者帳戶雖可能為正規帳戶，但遭惡意攻擊者入侵或鎖定的機率較高。
- 高風險：「高風險」使用者帳戶被視為已遭入侵。
建議封鎖被視為高風險的使用者帳戶，要求使用者對被視為中等風險的帳戶執行安全密碼變更。

位置：Entra ID > 保護與安全 > 條件式存取

參考：
- Microsoft Entra ID Protection 基於風險的存取原則 - Microsoft Entra ID Protection

封鎖高風險登入

M365 登入風險級別是一項有助於確定對 Entra ID 個別登入嘗試所存在之風險的功能。此功能屬於 Entra ID Identity Protection，可在登入過程中分析多個訊號以確定風險級別。

登入風險級別分為三類：
- 低風險：「低風險」登入嘗試被視為正規登入。
- 中風險：「中等風險」登入嘗試雖可能為正規登入，但遭惡意攻擊者入侵或鎖定的機率較高。
- 高風險：「高風險」登入嘗試被視為已遭入侵。
建議封鎖被視為高風險的登入嘗試，要求對中等風險的登入進行 MFA。

位置：Entra ID > 保護與安全 > 條件式存取

參考：
- Microsoft Entra ID Protection 基於風險的存取原則 - Microsoft Entra ID Protection

可選設定項目

緊急存取帳戶

Microsoft 建議設定緊急存取管理員帳戶，並從條件式存取原則中排除此類帳戶。這些帳戶應具有「全域管理員」角色，並使用非常長且復雜的密碼進行保護，密碼應儲存在安全的密碼庫中，僅用於緊急情況。

參考：
- 管理緊急存取管理員帳戶 - Microsoft Entra ID

設定密碼過期原則

確保您的密碼過期設定符合公司政策和合規性要求。

注意

如果在組織範圍內實施了 MFA，Microsoft 建議將密碼設定為「永不過期」。

位置：Microsoft 365 管理中心 > 設定 > 安全與隱私

管理應用程式同意與權限

預設情況下，所有使用者都可以向第三方應用程式和增益集授與權限。此做法可能存在風險，因為惡意攻擊者可能會建立惡意應用程式並向使用者傳送網路釣魚電子郵件，誘使您的使用者無意間授與其郵件信箱與檔案的存取權限。我們建議將此功能限制於「受信任的發行者」，或直接封鎖該功能並要求管理員同意。

位置：Entra ID > 應用程式 > 企業應用程式 > 同意與權限

參考：
- 授與應用程式「租用戶全域管理員同意」權限 - Microsoft Entra ID

要求來賓使用者進行 MFA

建議要求受邀存取您環境中資源的來賓使用者進行 MFA，以降低被入侵的第三方帳戶存取您資料的風險。此功能可以使用條件式存取原則範本進行部署。

位置：Entra ID > 保護與安全 > 條件式存取