27 Office 365 安全最佳实践

这是 Office 365 安全最佳实践的终极指南。

在本指南中，我将分享有关改进 Office 365 安全性、策略设置和应更改的配置选项的建议。

Office 365 租户的安全始终是一个问题。某些安全功能默认启用，而另一些则需要启用。

其中一些建议需要购买额外的许可证。

警告：我建议您在进行这些安全更改之前获得组织的适当批准。您需要仔细查看建议并确定每个更改的潜在影响。

1. 为您的租户启用多重身份验证 (MFA)

设置租户后应执行的第一步是为 Office 365 启用 MFA。MFA 允许您通过添加多种身份验证方法来保护用户登录。如今，即使使用复杂的密码，仅使用密码也不是最安全的。对于您使用的任何平台来说，拥有不止一种身份验证方法始终是一个好主意。

您可以通过启用安全默认值或使用条件访问策略，为每个用户在 Azure Active Directory 中的租户启用 MFA

MFA 的选项包括使用 Microsoft 身份验证应用程序、向电话号码发送代码以及 OATH 硬件令牌。如果要使用 OATH 硬件令牌，则需要为分配令牌的每个用户购买 Azure Active Directory Premium P1 或 P2 许可证。

要查看哪些用户已启用或未启用 MFA，请参阅我的文章使用 PowerShell 获取 MFA 状态。我将向您展示如何轻松地将报告导出为 CSV。

2. 阻止传统身份验证协议

旧版身份验证只是指仅使用基本身份验证或仅传递用户名和密码的应用程序或客户端。保留传统身份验证为所有类型的凭据攻击打开了大门。此外，旧版身份验证不支持 MFA，这意味着您无法在仅使用基本身份验证的应用程序或客户端上强制使用 MFA。由于现在大多数应用程序或客户端都支持现代身份验证，因此摆脱这种情况应该相对容易。您可以使用条件访问策略、启用安全默认值或在管理中心的组织设置中关闭基本身份验证协议，以阻止租户的旧版身份验证。

在关闭旧版身份验证之前，我建议您查看 Azure AD 登录日志以查找任何旧版登录。

转到 https://aad.portal.azure.com/ 登录 Azure AD，然后选择 Azure Active Directory，然后选择登录日志。选择顶部的添加过滤器。选择客户端应用程序并选择旧版身份验证客户端下的所有选项。

3. Azure Active Directory 中的安全默认设置

如果你的租户是在 2019 年 10 月 21 日之后创建的，则默认情况下会在 Azure 中启用安全默认值。您无需购买任何额外的许可证即可使用此功能。

要查看租户中是否启用了安全默认值，请转至 https://aad.portal.azure.com 登录到 Azure Active Directory，然后单击“属性”，然后单击底部的“管理安全默认值”。

如果它设置为“是”，则会为您的租户启用它。

如果您计划实施或已经为您的租户制定了条件访问策略，我不会启用安全默认值。此外，如果您支付 Azure Active Directory P1 或 P2 许可证费用，则使用条件访问策略可以让您的安全策略更加灵活。

启用安全默认值后，用户和管理员需要在 14 天内使用 Microsoft Authenticator 应用注册 MFA，否则将面临被租户锁定的风险。它还阻止旧的身份验证协议。

4. 创建紧急访问帐户

拥有一个从条件访问和 MFA 中排除的备份帐户始终是明智之举。您想要这样做有几个原因：

• MFA 技术问题
• 提供商中断
• 你搞乱了条件访问策略
• 您的 Active Directory 域受到威胁，或者管理员工出现问题。

您必须始终有办法进入您的租户。

除非必要，否则不应使用紧急帐户。您想要在 Office 365 租户中创建帐户。如果您同步本地 Active Directory 域，请勿在本地 AD 中创建帐户。确保为此帐户分配全局管理员角色。另外，请确保帐户的密码非常复杂且长。每年更改此密码几次并经常监控此帐户的登录始终是一个好主意。将此帐户信息存储在非常安全的地方，并且不止一名管理员工可以访问该信息。

5.限制管理员访问

仅将管理员访问权限限制为在组织中执行角色所需的权限

不应将全局管理员角色授予管理 Office 365 租户的每个人。如果可能的话，您应该只拥有几个全局管理员。 Microsoft 建议少于 5。这是执行工作职能的最少访问权限的安全规则。例如，如果您的管理员仅支持 Exchange，则仅向该管理员授予 Exchange 管理员角色。

考虑对具有 Azure AD 角色的人员进行访问审查。如果他们不使用自己拥有的访问权限，请删除该访问权限。您需要 Azure AD Premium P2 或 E5 许可证才能在 Azure AD 中使用身份治理。

此外，在 Office 365 中设置配置时，请使用通用帐户。您永远不想使用员工的用户名，以防他们离开公司。这可能会导致管理员的噩梦。

有关更多详细信息，请参阅 Microsoft 文章关于 Microsoft 365 管理中心中的管理员角色。

6. 用户密码策略

制定用户密码策略始终是一个好主意。很难向我们的用户解释良好密码的重要性。即使启用了 MFA，仍应要求密码强度高且复杂。

如果您有与 Azure Active Directory 同步的本地 Active Directory 域，则 Azure AD 将使用您在本地域中设置的密码策略，除非您启用 EnforceCloudPasswordPolicyForPasswordSyncedUsers 设置。设置需要数字、字母数字和特殊字符的密码策略。它们的长度至少应为 8 个字符。应经常更改密码，至少每 90 天更改一次。我建议比这个短一些，尽管这会让你的用户对你生气。另外，通过设置密码历史记录要求，不要让您的用户重复密码。

如果您仅在 Azure Active Directory 中拥有帐户，则这些帐户将需要使用默认的 Azure AD 密码策略。并非默认 Azure AD 密码策略设置中的所有设置都可以修改，因此您无法完全根据需要自定义策略。下面列出了默认的 Azure AD 密码策略，并列出了可以更改的选项。

有关更多详细信息，请参阅 Azure AD 中的密码策略和帐户限制一文。

7. 用户设置

关闭用户注册自定义开发的应用程序、访问 Azure AD 管理门户以及使用其帐户访问 LinkedIn 的功能。普通用户无需注册定制开发的应用程序，也无需访问 Azure AD 管理门户。此外，当您连接到 LinkedIn 时，它会代表他们共享公司数据，其中可能包括他们的个人资料数据和联系人列表。

登录 https://aad.portal.azure.com 并单击“Azure Active Directory”，然后单击“用户设置”。

在“应用程序注册”下，将“用户可以注册应用程序”更改为“否”。在“管理门户”下，将“限制访问 Azure AD 管理门户”更改为“是”。在 LinkedIn 帐户连接下，将允许用户将其工作或学校帐户与 LinkedIn 连接更改为否。

8. 用户对应用程序的同意

关闭用户同意会阻止您的用户与应用程序共享数据。您与其他应用程序共享的数据越少，您的数据就越安全。只与任何应用程序共享数据并不安全。此外，当您授予用户同意共享公司数据的能力时，这为用户授予可能危及整个组织的权限打开了大门。

登录 https://admin.microsoft.com。转到“设置”，然后转到“组织设置”，然后转到“用户对应用程序的同意”。关闭当应用请求代表用户访问您组织的数据时让用户表示同意。

现在，您可以设置用户同意策略来帮助您的用户获得对他们有帮助的应用程序，但只是帮助确保它们是合法的应用程序。

转到 https://aad.portal.azure.com 并选择 Azure Active Directory，然后选择企业应用程序，然后选择同意和权限。选择允许用户同意来自经过验证的发布商的应用程序，然后单击保存。

现在，我们想要验证我们愿意让用户授予应用程序哪些权限。单击选择权限以分类为低影响。微软会推荐低风险的应用程序权限。选择它们，然后单击是，添加选定的权限

现在，返回企业应用程序并选择用户设置。选择用户可以请求管理员同意他们无法同意的应用程序。然后选择可以审核和批准这些请求的管理员。

9. 管理外部协作设置

这些设置确定来宾用户在目录、租户和应用程序级别拥有哪些访问权限。来宾用户不应邀请其他来宾用户加入您的租户。在“访客邀请设置”下，将其更改为“会员用户”，分配给特定管理员角色的用户可以邀请访客用户，包括具有会员权限的访客。

查看这些设置 登录 https://aad.portal.azure.com 并单击“Azure Active Directory”、“外部身份”，然后单击“外部协作设置”。

10. 自定义登录页面

为了帮助您的用户确保他们不会陷入网络钓鱼尝试，您可以自定义 Office 门户登录页面。您可以更改徽标和登录页面文本。您可以在此处添加的任何内容使其最容易被用户识别，这都是有益的。如果您可以添加世界上不存在的任何类型的文本或品牌，以便轻松复制，那么这将是最好的选择。黑客很容易从您的公司网站复制您的公司徽标，并使其看起来像您的 Office 365 登录页面。

登录 https://aad.portal.azure.com 并单击“Azure Active Directory”，然后单击“公司品牌”。单击顶部的配置。

11.启用门户超时

虽然您应该限制用户对 Azure AD 门户的访问权限，但启用门户超时并不是一个坏主意。默认情况下，它设置为从不注销。这只是一个保险政策，以防管理员不保护其计算机。

转到 https://aad.portal.azure.com 并选择“设置”齿轮，然后选择“注销 + 通知”。

12. 空闲会话超时

如果您允许用户从任何计算机访问 Microsoft 365，您可以考虑将空闲会话超时策略作为附加的安全功能。但要小心这一点，因为它可能会让你的用户感到不安。用户将收到会话即将过期的通知，但如果他们长时间离开办公桌，系统会将他们从网络应用程序中注销。

转到 https://admin.microsoft.com 并选择“设置”，然后选择“组织设置”，然后选择“安全和隐私”选项卡，然后选择“空闲会话超时”。

13.审查审计政策

默认情况下，Office 365 中的审核处于打开状态。在跟踪可能的安全事件时，拥有活动日志是您最大的资产。您可以查看用户和管理员活动。如果您想要跟踪特定活动或保留日志超过 90 天，您还可以创建自己的审核策略。

要验证审核是否已打开，请转至 https://compliance.microsoft.com 登录合规性管理门户，然后单击“审核”。

如果未打开审核，屏幕上将显示一条横幅，显示“开始记录用户和管理员活动”。单击横幅以打开审核。

14. 管理 SharePoint 和 OneDrive 中的共享

对于站点和文件共享，从最严格的限制开始，仅在必要时放宽限制。

例如，如果大多数用户不需要在组织外部共享其 OneDrive 文件，则关闭外部共享并根据需要将其授予您的用户。如果您发现您的用户仅与相同的域共享文件，那么您可以将共享限制为仅与该域共享。

使用 SharePoint，每个网站都有自己的共享设置。确保您的租户和网站共享设置相同，或者您的网站设置比租户设置更具限制性。

最终，您必须做对您的组织最有利的事情，而又不会造成管理噩梦。

您至少应该更改共享设置，因为默认情况下它们设置为最宽松的。

要更改共享设置，请登录 https://admin.microsoft.com 并依次选择“SharePoint”、“策略”和“共享”。

对于文件和文件夹链接共享默认值，请选择“仅限组织中的人员”和“查看”，以强制用户更多地关注他们授予访问权限的人员以及访问类型。

15.SharePoint访问控制

SharePoint 访问控制允许您设置用于访问 SharePoint 网站和 OneDrive 的其他安全功能。您可以设置空闲超时、将其锁定为仅特定的 IP 地址、阻止旧式身份验证和设备访问管理。至少，您希望阻止旧身份验证，因为旧身份验证不支持 MFA。

转到 https://admin.microsoft.com 并选择 SharePoint，然后选择策略，然后选择访问控制。单击不使用现代身份验证的应用程序，然后选择阻止访问。

16.限制SharePoint和OneDrive中的文件类型

OneDrive 有多种安全措施来防止勒索软件，但它仍然容易受到攻击。为了获得额外的保护，您可以指定不希望从 OneDrive 客户端同步到 OneDrive Online 的文件，以及不希望上传到 SharePoint 网站的文件。您希望阻止某些文件同步到 OneDrive 在线和 SharePoint 网站的原因可能有很多：例如，您不想与外部源共享的文件、大小可能非常大且可能影响带宽的文件、常见的文件勒索软件扩展、可执行文件或音乐文件。

您可以考虑的另一个安全措施是仅允许与受信任的域同步。

要更改共享设置，请登录 https://admin.microsoft.com 并选择 SharePoint，然后单击“设置”，然后单击“OneDrive 同步”。

选择阻止上传特定文件类型。然后添加您希望阻止同步的文件类型。

17. 实施条件访问策略

条件访问策略可以更轻松地保护您的租户。有很多不同的方法可以做到这一点，并且有很多可能性可以帮助确保租户的安全。例如，使用条件访问策略保护租户的一种方法是阻止特定国家/地区，以便他们无法访问您的租户。

条件访问策略可能非常强大，因此请确保始终从策略中排除至少一名全局管理员，以防止将自己锁定在租户之外。

如果购买 Azure AD Premium P1 许可证或拥有 Microsoft 365 商业高级版许可证，则可以创建策略。

18. 查看警报政策

Microsoft 默认打开了许多警报。警报有多种不同类型，其严重程度从信息性到高严重性不等。查看这些警报。当警报被触发时，电子邮件将发送给管理员进行审核。

您可以添加警报或修改现有警报。转到 https://compliance.microsoft.com，然后转到“策略”，然后在“警报”下单击“警报策略”。

要查看活动警报，请转至 https://compliance.microsoft.com 并选择“警报”。您可以使用过滤器来查看特定事件。

您还可以在 Exchange 管理中心查看和创建邮件流警报。转到 https://admin.exchange.microsoft.com 并单击“警报策略”。要查看活动警报，请单击警报。

19. 数据丢失防护策略

考虑创建 DLP 策略来保护敏感数据免遭共享或泄露。我建议制定一项政策来防止存储和共享个人身份信息和受保护的健康信息。 DLP 策略应应用于 Teams，因为在 Teams 内共享数据非常容易，尤其是在允许外部访问的情况下。

对于我们这些必须支付网络安全保险的人来说，您存储的数据量越少，您的保险就越便宜。您不必担心审核会在您的 SharePoint 和 OneDrive 网站或团队中发现该信息，这让您高枕无忧。

敏感度标签是 DLP 策略以及本地扫描仪的一项出色功能。但是，如果您没有 E5 许可证，DLP 中的某些功能将要求您拥有 Microsoft Purview 许可证。

如果需要保留 PII 或 PHI，则应将其置于高安全性、访问控制的环境中，并尽可能经常清除。

有关更多详细信息，请参阅 Microsoft 文章创建数据丢失防护策略。

20.团队设置

您可以在 Teams 中设置您希望用户拥有的基本设置。我的建议之一是文件共享。我不喜欢我的用户能够使用多个不同的文件共享平台的想法，因为您无法控制第三方文件共享应用程序上的文件。我将它们关闭只是因为它为恶意文件进入您的网络打开了另一扇门。

转到 https://admin.teams.microsoft.com 并选择 Teams 设置。转到文件并关闭所有选项。

21.阻止匿名用户加入 Teams 会议

知道会议链接的任何人都可以加入会议，而无需表明身份。它只会显示为用户的会议访客。

转到 https://admin.teams.microsoft.com 并选择“会议”，然后选择“会议设置”。

22.管理团队应用程序

当您授予用户添加应用程序的权限时，您可以让他们代表自己与该应用程序共享数据，并将应用程序权限授予您的租户。默认情况下，允许所有应用程序。至少，我会限制第三方应用程序和自定义应用程序，除非您批准它们。

转到 https://admin.teams.microsoft.com 并转到 Teams 应用程序，然后转到权限策略。单击组织范围的应用程序设置以限制第三方访问。

您还可以通过转到“管理应用程序”并单击该应用程序，然后单击“权限”，向下浏览列表以查看应用程序拥有哪些权限。

23. 在 Exchange 中配置 DKIM、DMARC 和 SPF

电子邮件是您组织中最常用的工具，因此它当然将成为最大的安全威胁。配置 DKIM、DMARC 和 SPF 将有助于保护您的电子邮件。这些协议是身份验证技术，可通过检查邮件消息中的标头来验证电子邮件域的合法性。您在 DNS 中创建一条 SPF 记录，其中列出了允许代表您的域发送电子邮件的 IP 地址。

DKIM 是您的邮件域数字签名。 DMARC 与 SPF 和 DKIM 一起使用时可以增加安全性，以确保从您的域发送的邮件是安全的。所有组织都应实施这些身份验证方法来对抗垃圾邮件和网络钓鱼电子邮件。在电子邮件的宏伟计划中，只需单击一封电子邮件即可导致网络瘫痪。我们为保护电子邮件安全所做的一切都是值得的。

24. 在 Exchange 中禁用自动转发到外部域

最好的保护措施之一是阻止电子邮件转发到您的域之外。如果用户的电子邮件遭到泄露，这将阻止电子邮件被转发到外部来源。您可以使用简单的传输规则来做到这一点。

转到 https://admin.exchange.microsoft.com，然后转到“邮件流”，单击“规则”。添加一条规则，它应该如下图所示。

25. 对来自外部域的电子邮件添加免责声明

为了帮助您的用户在单击来自外部发件人的链接和打开附件之前更加警惕，您可以使用简单的传输规则在来自组织外部的电子邮件顶部添加一条消息。

该文本将显示在用户电子邮件的顶部，如下所示。

请参阅文章向 Office 365 电子邮件添加免责声明，了解详细信息和分步说明。

26.考虑阻止可以运行代码的文件

.doc 和 .xls 等较旧的文件可以运行代码，但它们仍然是许多组织使用的流行格式。这些是恶意软件和勒索软件攻击中的常见文件。考虑阻止这些文件。强制您的用户将这些旧文件转换为新格式。验证常见文件类型的反恶意软件过滤器是否已打开。

转到 https://security.microsoft.com 并选择策略和规则，然后选择威胁策略，然后选择反恶意软件。编辑默认策略。

27. 在 Exchange 中启用预设安全策略

在 Exchange Online Protection 中，有一些预设的安全策略，除非您为 Office 365 的 Defender 付费，否则默认情况下不会启用这些策略。这些策略应用所有 Microsoft 建议的垃圾邮件、恶意软件和网络钓鱼安全设置。除了排除收件人之外，您无法自定义这些设置。这些策略不保护出站电子邮件。请记住，这些策略将优先于所有自定义和默认策略。如果您希望使用安全链接和安全附件，则需要为 Office 365 的 Defender 付费。

要打开预设安全设置，请转至 https://security.microsoft.com 并选择“策略和规则”、“威胁策略”，然后选择“预设安全策略”。

然后单击要启用的保护策略的管理保护设置。

指定保护适用的对象，然后单击下一步。选择策略模式，然后单击下一步。然后点击确认。

28. 使用传输规则将域列入白名单

建议使用传输规则与反垃圾邮件策略将域和电子邮件列入白名单。这是因为它允许域绕过垃圾邮件过滤，从而允许攻击者欺骗受信任的域。

请参阅我的白名单域 Office 365 指南以获取分步说明。

我希望您喜欢这篇文章。我还建议阅读我有关如何保护 Active Directory 的提示。