跳至內容
部分或全部頁面已經過機器翻譯。

Microsoft 365和Exchange Online安全性

Microsoft 365租戶和底層身份驗證系統Entra ID (Azure AD)具有許多不同的配置選項,允許您的企業實施不同級別的安全。這些選項中的許多預設情況下不啟用。雖然本文檔並未涵蓋所有可用的安全選項,也未討論設備管理和數據丟失預防(DLP)等其他技術,但它為我們的客戶提供了有關建議設定的指導,這些設定將有助於改進身份保護並降低業務電子郵件洩露的可能性(BEC)。

指南分為兩部分:建議設定和可選設定。我們敦促所有客戶實施建議的設定。我們還建議您考慮並研究可選設置,並將其應用爲適合您的環境。

在參考Microsoft提供的相應文檔後,您考慮對環境進行的任何更改都應在您的組織中進行審查和測試。我們建議您在整個組織之前使用測試帳戶,試用用戶和小型部門分批執行任何更改。請確保您擁有可用的緊急訪問帳戶,如下文所述,以避免被鎖定。

許可證指南

以下部分配置項目適用於所有M365租戶,無論使用的許可證是什麼。但是,大多數用戶需要至少有'Entra ID P1許可證才能在您的租戶中使用,有些許可證需要'Entra ID P2許可證。“entra ID P1”包含在M365 Business Premium A3綑綁包中,“Entra ID P2”許可證在E3 M365 E5和A5綑綁包中提供。

如果您使用的授權至少包含「Entra ID P1」授權,我們強烈建議您使用Microsoft的「安全性預設值」。這是由Microsoft控制的一組基本安全原則。請參閱 在Microsoft Entra ID - Microsoft Entra中提供默認安全級別

將Microsoft警示整合至Sophos MDR服務時,「Entra ID P1」是您應該使用的最低授權,但我們建議您使用「Entra ID P2」,因為Microsoft產生的警示數量增加。有關這些警報的示例,請參閱以下文章:

我們建議您向Microsoft授權專家詢問其他授權資訊。

建議的配置項

  • 啟用統一審計日誌


    確保審核日誌記錄了所有服務的活動。

    位置:Defender入口網站>稽核

  • 配置警報原則


    當Exchange中發生某些高風險事件時,Alert原則將生成電子郵件通知。我們建議確保將這些警報配置為轉到Exchange Online管理員。

    位置: Defender門戶>原則& rules >警報策略

    阻止所有共享電子信箱的登入

    • 共享電子信箱通常是簡單易用的目標,密碼不安全且沒有MFA。我們建議修改權限以阻止直接登入到共享電子信箱,並且只能通過經過身份驗證的用戶帳戶訪問這些權限。
    • 位置:"管理中心">"用戶"

    阻止用戶自動轉發組織外部的郵件

    • 威脅參與者通常會危及電子信箱並設定轉發規則到外部帳戶。我們建議您封鎖使用者建立自動轉寄規則給外部收件者的功能。
    • 位置:Defender門戶>原則& rules > Threat原則> Anti-spam (出站策略)。

可選配置項

  • 實施預設的安全原則(電子郵件保護)


    Microsoft發佈了兩組安全原則,定義Exchange Online保護如何處理威脅。我們建議您至少使用原則的「標準防護」群組來防範電子郵件威脅。如果使用附加的外部垃圾郵件過濾解決方案,請確保在修改這些設定之前咨詢該供應商。

    位置:Defender入口網站>原則& Rules > Threat原則> Pre-set security原則

    參考