Microsoft 365和Entra ID安全性

Microsoft 365租戶和底層身份驗證系統Entra ID (Azure AD)具有許多不同的配置選項，允許您的企業實施不同級別的安全。這些選項中的許多預設情況下不啟用。雖然本文檔並未涵蓋所有可用的安全選項，也未討論設備管理和數據丟失預防(DLP)等其他技術，但它為我們的客戶提供了有關建議設定的指導，這些設定將有助於改進身份保護並降低業務電子郵件洩露的可能性(BEC)。

指南分為兩部分：建議設定和可選設定。我們敦促所有客戶實施建議的設定。我們還建議您考慮並研究可選設置，並將其應用爲適合您的環境。

在參考Microsoft提供的相應文檔後，您考慮對環境進行的任何更改都應在您的組織中進行審查和測試。我們建議您在整個組織之前使用測試帳戶，試用用戶和小型部門分批執行任何更改。請確保您擁有可用的緊急訪問帳戶，如下文所述，以避免被鎖定。

許可證指南

以下部分配置項目適用於所有M365租戶，無論使用的許可證是什麼。但是，大多數用戶需要至少有'Entra ID P1許可證才能在您的租戶中使用，有些許可證需要'Entra ID P2許可證。“entra ID P1”包含在M365 Business Premium A3綑綁包中，“Entra ID P2”許可證在E3 M365 E5和A5綑綁包中提供。

如果您使用的授權至少包含「Entra ID P1」授權，我們強烈建議您使用Microsoft的「安全性預設值」。這是由Microsoft控制的一組基本安全原則。請參閱在Microsoft Entra ID - Microsoft Entra中提供默認安全級別。

將Microsoft警示整合至Sophos MDR服務時，「Entra ID P1」是您應該使用的最低授權，但我們建議您使用「Entra ID P2」，因為Microsoft產生的警示數量增加。有關這些警報的示例，請參閱以下文章：

我們建議您向Microsoft授權專家詢問其他授權資訊。

建議的配置項

應用最小特權原則

使用單獨的管理員帳戶和RBAC角色來限制管理員權限。僅授予工作職能的角色需要。Microsoft建議使用最多五個全局管理員帳戶。不要在域或服務之間重複使用管理員憑據。

影響：用戶只能訪問其工作職能所允許的區域。管理員應使用單獨的帳戶。

位置：entra ID >角色和管理員

參考：
- Microsoft Entra內置角色- Microsoft Entra ID
- 特權身份管理文檔- Microsoft Entra ID管理

配置身份驗證方法

此設定配置用戶訪問環境時可用的身份驗證方法。我們建議您至少設定Microsoft驗證器，電子郵件一次性密碼和臨時訪問通行證，以禁用呼叫至電話作為選項。

位置：輸入ID >保護和安全>驗證方法>原則

參考：

將“安全默認值”替換爲條件訪問原則

使用「Entra ID P1」授權及更新版本時，您可以建立自訂的Conditional Access原則來增強安全性。若要建立這些原則，您必須停用「安全性預設值」，並從Microsoft範本建立Conditional Access原則，以執行MFA等作業。建立這些原則時，請務必排除任何「緊急存取」帳戶或群組。

位置：
- 輸入ID >概述>屬性
- entra ID > Protect & secure > Conditional access
參考：
- 條件訪問模板：
- Conditional Access原則指南：

要求MFA注冊或加入設備

這可確保嘗試將新Windows設備加入Entra ID的用戶必須執行多重身份驗證。

位置：entra ID > Protect & secure > Conditional access
- 名稱：要求MFA注冊或加入設備。
- 使用者：所有使用者，請務必排除任何「緊急存取」帳戶或群組。
- 雲應用程式或操作：用戶操作>注冊或加入設備。
- 情況：無。
- 訪問控制>授予：要求多重身份驗證。

僅允許從授權國家/地區登入

我們建議您限制使用者可登入您環境的國家數目，以降低帳戶遭入侵的風險。如果您沒有工作人員到國外出差，則禁止您組織中的所有用戶訪問您所在國家/地區以外的環境。如果有用戶出差，則可以按組實施這些原則。例如，您可以允許從所有國家/地區進行訪問，或允許旅行的特定用戶組的一個子國家/地區訪問，或將用戶劃分為不同的地理區域，從而按區域限制他們的訪問。

您可以使用Conditional Access原則來達成此目的。創建命名的位置列表(例如"允許的國家/地區")，並添加您想要訪問的國家/地區。然後創建條件訪問策略，阻止所有雲應用程式的所有用戶訪問，不包括"允許的國家/地區"和任何"緊急用戶或組"。

警告

在將此策略應用於所有用戶之前，請仔細測試。

位置：entra ID > Protect & secure > Conditional access

阻止高風險用戶

M365用戶風險級別是一項有助於確定Entra ID中用戶帳戶風險的功能。它是Entra ID身份保護的一部分，通過分析來自用戶帳戶的各種信號(如IP地址，設備狀態，可疑活動和已知已洩露的憑據)來完成。

用戶風險級別分為三類：
- 低風險：低風險用戶帳戶被視為合法帳戶。
- 中風險：中等風險的用戶帳戶可能是合法的，但也更有可能被威脅者破壞或鎖定目標。
- 高風險：高風險用戶帳戶被視為已被洩露。
我們建議您封鎖被視為高風險的使用者帳戶，並要求對被視為中等風險的使用者進行安全密碼變更。

位置：entra ID > Protect & secure > Conditional access

參考：
- Microsoft Entra ID保護基於風險的訪問原則- Microsoft Entra ID保護

- **阻止高風險登入** --- M365登入風險等級是一項功能，可協助判斷個別登入Entra ID嘗試的風險。它是Entra ID身份保護的一部分，並在登入過程中分析多個信號以確定風險級別。登入風險等級分為三類： - **低風險**：低風險登入嘗試被視為合法。 - **中風險**：中等風險的登入嘗試可能是合法的，但也更有可能受到威脅行為者的破壞或攻擊。 - **高風險**：高風險的登入嘗試被視為受到威脅。我們建議阻止被視為高風險的登入嘗試，並要求MFA進行中等風險的登入。 **位置**：entra ID > Protect & secure > Conditional access **參考**： - [Microsoft Entra ID保護基於風險的訪問原則- Microsoft Entra ID保護](https://learn.microsoft.com/zh-tw/azure/active-directory/identity-protection/concept-identity-protection-policies#sign-in-risk-based-conditional-access-policy)

可選配置項

緊急訪問帳戶

Microsoft建議從Conditional Access原則中排除的緊急存取系統管理員帳戶。這些帳戶應具有'global admin'角色，並使用非常長且復雜的密碼進行保護，密碼存儲在安全的密碼庫中，僅用於緊急情況。

參考：
- 管理緊急訪問管理員帳戶- Microsoft Entra ID

- **配置密碼過期策略** --- 確保您的密碼過期符合公司策略和合規性要求。 !!! note "注意" 如果在組織範圍內強制實施MFA，Microsoft建議將密碼設定為“永不過期”。 **位置**：Microsoft 365管理中心>設定>安全和隱私

管理應用程式同意和權限

預設情況下，所有用戶都可以向第三方應用程式和載入項授予權限。這可能會有風險，因為威脅者可能會創建惡意應用程式並向用戶發送釣魚電子郵件，提示用戶提供對其電子信箱和文件的無意訪問。我們建議將此限制為受信任的發行者或加以封鎖，需要系統管理員同意。

位置：entra ID > Applications > Enterprise applications > Consent and permissions

參考：
- 授予租戶範圍的管理員對應用程式的同意- Microsoft Entra ID

- **客人需要MFA** --- 我們建議要求受邀訪問您環境中資源的訪客使用MFA，以降低被入侵的第三方帳戶訪問您的數據的機率。這可以使用條件訪問策略模板進行部署。 **位置**：entra ID > Protect & secure > Conditional access