配置您的 Office 365 租户为提高安全性

重要:  本文是由机器翻译的,请参阅免责声明。请在 此处 中查找本文的英文版本以便参考。

本主题将引导您完成会影响您的 Office 365 环境的安全性的租户范围内设置的推荐配置。您的安全需求可能需要更多或更少的安全。使用这些建议作为起始点。

检查 Office 365 安全分数

Office 365 安全分数分析您的 Office 365 组织根据您的定期活动和安全设置的安全和分配分数。开始通过学习记下您当前的分数。调整一些租户范围的设置将会增加您的分数。目标是无法实现的最高分数,但要注意的机会来保护您的环境,而不会为您的用户的工作效率产生负面影响。请参阅简介 Office 365 安全分数

优化 Office 365 安全和合规性中心中的威胁管理策略

Office 365 安全和合规性中心包括保护您的环境的功能。它还包括报告和仪表板可用于监控和执行操作。使用默认策略配置附带的某些区域。默认策略或规则不包括某些区域。请访问威胁管理以优化威胁管理设置为更安全环境下的这些策略。

面积

包含默认策略

建议

反恶意软件引擎

编辑默认策略:

  • 常见的附件类型筛选器中,选择上

也可以创建自定义恶意软件筛选器策略,并将其应用于指定的用户、 组或域,您的组织中。

详细信息:

ATP 安全附件

添加新的安全的附件策略使用下列设置:

  • 阻止-阻止的当前和将来的电子邮件和附件检测到的恶意软件 (选择此选项)。

  • 启用重定向-(选中此复选框,然后输入电子邮件地址,如管理员或隔离的帐户)。

  • 如果恶意软件扫描附件的超时或发生错误应用以上所选内容 (选中此复选框)。

  • 应用于 — 收件人域是 (选择您的域)。

详细信息:设置 Office 365 ATP 安全附件策略

ATP 安全链接

添加此设置默认为整个组织的策略:

  • 在 Windows (选择此选项) 上的 Office 2016 中使用安全的链接。

对特定收件人的推荐的策略:

  • 将重写和用户单击该链接上时,根据已知恶意链接列表检查 Url (选择此选项)。

  • 使用安全附件扫描可下载的内容 (选中此复选框)。

  • 应用于 — 收件人域是 (选择您的域)。

详细信息: Office 365 ATP 安全链接

反垃圾邮件 (筛选的邮件)

若要监视的内容:

  • 太多垃圾邮件,选择自定义设置和编辑默认垃圾邮件筛选器策略。

  • 欺骗智能 — 审阅欺骗您的域的发件人。阻止或允许这些发件人。

详细信息: Office 365 电子邮件反垃圾邮件保护

DKIM (域密钥识别邮件)

DKIM 是可以帮助保护发件人和收件人的身份验证过程伪造 (欺骗) 和网络钓鱼电子邮件。您的租户包括您的域的默认签名。如果您将自定义域添加到您的租户,请创建其他 DKIM 签名。

详细信息:使用 DKIM 以验证从您的自定义域 Office 365 中发送的出站电子邮件https://technet.microsoft.com/en-us/library/mt695945(v=exchg.150).aspx

查看仪表板和安全和合规性中心中的报表

访问这些报表,要了解有关您的环境的运行状况仪表板。这些报表中的数据将成为更丰富您的组织使用 Office 365 服务。现在,熟悉什么可以监视并对其执行操作。 有关详细信息,请参阅: Office 365 安全和合规性中心中的报表

仪表板

说明

威胁管理仪表板

使用此仪表板查看已处理,并根据方便的工具,用于向在哪些威胁智能业务决策者报告已完成,来保护您的企业的威胁。

威胁资源管理器

如果您正在进行调查或遇到攻击针对 Office 365 租户,使用威胁资源管理器以分析威胁。威胁资源管理器中显示的攻击音量一段时间,并可以分析该数据通过威胁系列、 攻击基础架构和详细信息。您也可以将事件列表中的任何可疑电子邮件。

报表 — 仪表板

对于 SharePoint Online 与 Exchange Online 组织查看审核报告。您也可以访问 Azure Active Directory (AD) 用户登录报表,用户活动报告,并从查看报告页面的 Azure AD 审核日志。

安全和合规性中心仪表板

配置 Exchange Online 租户范围内的其他设置

中的安全和合规性中心还包含许多安全和保护在 Exchange 管理中心中的控件。您不需要配置以下两个位置中。下面是几个其他推荐的设置。

面积

包含默认策略

建议

邮件流   (传输规则)

添加邮件流规则,以帮助防止勒索软件。请参阅中此博客文章"如何使用 Exchange 传输规则来跟踪联系人或阻止电子邮件与勒索软件通过使用文件扩展名":如何处理勒索软件

创建传输规则以防止外部域的电子邮件自动转发。有关详细信息,请参阅缓解客户端外部转发规则安全分数

详细信息:邮件流规则 (传输规则) 在 Exchange Onlinehttps://technet.microsoft.com/en-us/library/jj919238(v=exchg.150).aspx

启用的现代身份验证   

在 Office 365 中的现代身份验证是使用多重身份验证 (MFA) 的先决条件。MFA 建议保护云资源,包括电子邮件的访问。

请参阅下列主题:

默认情况下为 Office 2016 客户端、 SharePoint Online 和 OneDrive for Business 被启用的现代身份验证。

详细信息:使用 Office 365 的 Office 客户端的现代身份验证

在 SharePoint 管理中心中配置租户级共享策略

Microsoft 建议在提高的保护,开始与比较基准保护级别配置 SharePoint 工作组网站。 有关详细信息,请参阅安全 SharePoint Online 网站和文件

SharePoint 工作组网站的比较基准级别配置允许使用匿名访问链接与外部用户共享文件。此方法建议,而不是电子邮件中发送文件。

支持的比较基准保护的目标,配置租户级共享策略,按照下面的建议。共享设置为单个网站可以更严格比此租户范围的策略,但不是更大许可。

面积

包含默认策略

建议

共享(SharePoint Online 和 OneDrive for Business)

默认情况下启用外部共享。建议使用下列设置:

  • 允许外部用户的身份验证的共享和使用匿名访问链接 (默认设置)。

  • 在此许多天后过期匿名访问链接。输入一个数字,如果需要,如 30 天。

  • 默认链接类型,选择内部 (仅限组织中的人员)。用户希望使用匿名链接共享必须从共享菜单中选择此选项。

详细信息:管理外部共享您的 SharePoint Online 环境

SharePoint 管理中心和 OneDrive for Business 管理中心中包含相同的设置。在任一管理中心中的设置应用于两者。

Azure Active Directory 中配置设置

请务必访问 Azure Active Directory 以完成租户范围设置为更安全环境中的这两个区域。

配置命名的位置 (在下条件的访问权限)

如果您的组织包括办公室网络的安全访问使用,请为命名位置 Azure Active directory 添加受信任的 IP 地址范围。此功能有助于减少登录风险事件的报告误报的数量。

请参阅: Azure Active Directory 中的命名位置

不支持的现代身份验证的块应用程序

多重身份验证要求支持的现代身份验证的应用程序。不支持的现代身份验证的应用程序不能阻止使用条件访问规则。

对于安全环境,一定要禁用的应用程序不支持的现代身份验证的身份验证。您可以执行此操作 Azure Active Directory 与即将推出的控件。

同时,使用下列方法之一来完成此 SharePoint Online 和 OneDrive for Business:

  • 使用 PowerShell,请参阅不使用的现代身份验证的块应用

  • 在 SharePoint 管理中心中配置此"设备访问页-"控制从不使用的现代身份验证的应用程序的访问"。选择阻止。

开始使用云应用安全性或 Office 365 云应用安全性

使用 Office 365 云应用程序安全评估风险,指向通知可疑的活动,并自动执行操作。需要 Office 365 E5 计划。

或者,使用 Microsoft 云应用程序安全以获得更深入地可见性偶数后被授予访问权限、 全面控件和所有云应用程序,包括 Office 365 的改进的保护。

由于本解决方案建议 EMS E5 计划,我们建议以便可以在您的环境中与其他 SaaS 应用程序使用此开头云应用程序安全。启动与默认策略和设置。

详细信息:

云应用程序安全仪表板

其他资源

这些文章和参考线提供其他保护您的 Office 365 环境的说明性信息:

注意: 机器翻译免责声明:本文是由无人工介入的计算机系统翻译的。Microsoft 提供机器翻译是为了帮助非英语国家/地区用户方便阅读有关 Microsoft 产品、服务和技术的内容。由于机器翻译的原因,本文可能包含词汇、语法或文法方面的错误。

扩展你的技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×