Используйте рекомендации и возможности корпорации Microsoft, мирового лидера в производстве программного обеспечения для того, чтоб улучшить базовую защиту данных в Office 365.

Защита идентификации

Следуйте рекомендациям корпорации Microsoft по управлению паролями, основанные на результатах текущих исследований и опыте работы корпорации, как одного из крупнейших поставщиков удостоверений (IdP) в мире.

  • Требование к минимальной длине: не менее 8 символов (но и больше — не обязательно лучше).
  • Требований к составу символов быть не должно.
  • Периодического сброса паролей учетных записей пользователя быть не должно.
  • Распространенные пароли должны быть запрещены, чтобы наиболее уязвимые пароли не использовались в системе.
  • Пользователи должны знать, что пароль не следует использовать для не связанных с работой целей.
  • Добавьте к этим рекомендациям регистрацию данных пользователей для MFA и задачи, связанные с управлением рисками.

Управляйте жизненным циклом пользователей комплексно 

Удалите из жизненного цикла учетных записей сотрудников как можно больше выполняемых вручную шагов, чтобы предотвратить несанкционированный доступ:

  • Синхронизируйте удостоверения из источника достоверных данных (система управления персоналом) с Azure AD.
  • Используйте динамические группы, чтобы автоматически назначать пользователям группы на основе полученных из системы управления персоналом (или другого источника достоверных данных) атрибутов — отдела, должности, региона и т. д.
  • Используйте групповое лицензирование, чтобы автоматически назначать пользователям службы сразу после их добавления в облако. (Ожидается в ближайшее время.)
  • Используйте групповое управление доступом или подготовкой для автоматической подготовки пользователей к работе с приложениями SaaS.

Перенесите внешние учетные записи в службу Azure AD B2B Collaboration

Внешние учетные записи на локальных ресурсах — угроза, которую можно нейтрализовать, переместив учетные записи в службу Azure AD B2B Collaboration.

Служба Azure AD B2B Collaboration позволяет организовать безопасную совместную работу корпоративных партнеров. В Azure AD B2B можно перенести любые учетные записи, необходимые для доступа к приложениям SaaS или для совместной работы в SharePoint Online.

Внедрение Azure AD Connect Health

Отслеживайте работу локальной инфраструктуры идентификации и служб синхронизации с помощью Azure AD Connect Health и узнавайте важные подробности. Это позволит вам поддерживать надежное подключение к Office 365 и Microsoft Online Services за счет предоставляемых возможностей наблюдения за ключевыми компонентами системы идентификации, такими как серверы AD FS, серверы Azure AD Connect (также известны как модули синхронизации), контроллеры домена Active Directory Domain Controllers и т.д.

Отслеживание также обеспечивает легкий доступ к основным точкам данных, касающимся этих компонентов, что позволяет легко узнавать сведения об использовании и другие важные подробности, необходимые для принятия обоснованных решений.

Включите политики защиты идентификации Azure AD для пользователей

Включите защиту идентификации (даже в пробном режиме), чтобы отслеживать риски, связанные с пользователями и входом. Вы будете получать ценную информацию от сигналов, даже если не активируете политики. Спустя некоторое время после этого рекомендуем активировать политики защиты идентификации. Например, чтобы затребовать MFA при входе, если уровень связанного с ним риска средний или выше, или затребовать сброс пароля пользователя, если риск, связанный с пользователем, определен как высокий.

Защита устройств

Настройте основные политики паролей для доступа к Outlook Web Access (OWA) с мобильных устройств

Настройте основные политики паролей для Outlook Web Access (OWA). Если применить политики паролей с помощью Intune позже, эти параметры не учитываются. Политики паролей Intune требуют регистрации устройств.

Управляйте приложениями на мобильных устройствах с помощью Intune

Управляйте приложениями на мобильных устройствах независимо от того, зарегистрированы ли последние для управления мобильными устройствами. Развертывайте приложения, в том числе бизнес-приложения. Разрешите выполнение таких действий, как копирование, вырезание, вставка и сохранение (“Сохранить как”), только для управляемых с помощью Intune приложений. Включите защищенный просмотр веб-сайтов с помощью приложения Intune Managed Browser. Применяйте требования к PIN-кодам и шифрованию, времени доступа в автономном режиме и другие параметры политики.

Присоединяйте устройства с Windows 10 к Azure AD

Благодаря Azure AD возможно упрощенное присоединение, эффективное управление устройствами, автоматическая регистрация для управления мобильными устройствами и единый вход в случае Azure AD и локальных ресурсов. Следующим шагом в этом направлении будет реализация автоматического присоединения к Azure AD ваших присоединенных локальных устройств с Windows 10.

Используйте встроенные возможности защиты в Windows 10

BitLocker. Позволяет зашифровать неактивные данные на всех ПК, чтобы защитить их от атак в автономном режиме. Credential Guard. Предотвращает атаки, защищая хэш-коды паролей NTLM и мандаты TGT Kerberos.Device Guard. Предотвращает незаконные изменения пользователями или вредоносными программами, разрешает только доверенные приложения. Кроме того, можно применять AppLocker.

Включите Microsoft Passport for Work на всех ПК с Windows 10

В Windows 10 представлены новые протоколы проверки подлинности, позволяющие привязать учетные данные к оборудованию, что значительно усложнит кражу учетных данных.

Больше информации о возможностях Office 365, возможные варианты лицензий и их сравнительные характеристики вы можете узнать по ссылке.

По вопросам приобретения продуктов Microsoft обращайтесь к нашим специалистам +380 (44) 390 61 55 или csp@amica.ua