Contoso Corporation のエンタープライズ セキュリティに関する Microsoft 365 の概要

  • [アーティクル]

Microsoft 365 for enterprise の展開の承認を得るために、Contoso IT セキュリティ部門は徹底的なセキュリティ レビューを実施しました。 クラウドの次のセキュリティ要件を特定しました。

  • クラウド リソースへの従業員アクセスには、最も強力な認証方法を使用します。
  • PC とモバイル デバイスが安全な方法でアプリケーションに接続してアクセスすることを確認します。
  • PC と電子メールをマルウェアから保護します。
  • クラウドベースのデジタル資産に対するアクセス許可は、ユーザーが何と何を実行できるかを定義し、最小限の特権アクセス用に設計されています
  • 機密性が高く規制の厳しいデジタル資産は、ラベル付け、暗号化、セキュリティで保護された場所に格納されます。
  • 高度に規制されたデジタル資産は、追加の暗号化とアクセス許可で保護されます。
  • IT セキュリティ スタッフは、中央のダッシュボードから現在のセキュリティ体制を監視し、セキュリティ イベントの通知を受け取って迅速な対応と軽減を行うことができます。

Microsoft 365 セキュリティの準備への Contoso パス

Contoso は、次の手順に従って、Microsoft 365 for Enterprise の展開に備えてセキュリティを準備しました。

  1. クラウドの管理者アカウントを制限する

    Contoso は、既存のActive Directory Domain Services (AD DS) 管理者アカウントの広範なレビューを行い、一連の専用クラウド管理者アカウントとグループを設定しました。

  2. データを 3 つのセキュリティ レベルに分類する

    Contoso は慎重にレビューを行い、最も価値のあるデータを保護するために Microsoft 365 for Enterprise 機能を特定するために使用された 3 つのレベルを決定しました。

  3. 各データ レベルについてアクセス、保持、情報保護ポリシーを決定する

    Contoso は、データ レベルに基づいて、クラウドに移行される将来の IT ワークロードを修飾するための詳細な要件を決定しました。

セキュリティのベスト プラクティスと Microsoft 365 for Enterprise 展開の要件に従うために、Contoso のセキュリティ管理者とその IT 部門は、次のセクションで説明するように、多くのセキュリティ機能と機能を展開しました。

ID およびアクセス管理

  • MFA および PIM を設定した全体管理者専用アカウント

    Contoso は、グローバル管理者ロールを日常的なユーザー アカウントに割り当てるのではなく、強力なパスワードを使用して 3 つの専用のグローバル管理者アカウントを作成しました。 アカウントは、Microsoft Entra多要素認証 (MFA) とMicrosoft Entra Privileged Identity Management (PIM) によって保護されます。 PIM は、Microsoft 365 E5 でのみ使用可能です。

    Microsoft Entra DC 管理者またはグローバル管理者アカウントを使用したサインインは、特定の管理タスクに対してのみ行われます。 パスワードは指定されたスタッフにのみ認識され、PIM で構成された期間内にのみ使用Microsoft Entra。

    Contoso のセキュリティ管理者は、IT ワーカーのジョブ機能に適したアカウントに、より少ない管理者ロールを割り当てます。

    詳細については、「Microsoft 365 の管理者の役割」を参照してください。

  • すべてのユーザー アカウントの MFA

    MFA は、サインイン プロセスに追加の保護レイヤーを追加します。 ユーザーは、パスワードを正しく入力した後、スマートフォンで電話、テキスト メッセージ、またはアプリ通知を確認する必要があります。 MFA を使用すると、アカウント のパスワードが侵害された場合でも、Microsoft Entraユーザー アカウントは承認されていないサインインから保護されます。

    • Microsoft 365 サブスクリプションの侵害から保護するために、Contoso では、すべての DC 管理者またはグローバル管理者アカウントMicrosoft Entra MFA が必要です。
    • 組織内の信頼されている人の資格情報が漏えいし、攻撃者が悪意のある電子メールを送信するというフィッシング攻撃からの保護を目的として、Contoso 社ではマネージャーや経営幹部を含むすべてのユーザー アカウントで MFA を有効にしました。

  • 条件付きアクセス ポリシーを使用したデバイスとアプリケーションへの安全なアクセス

    Contoso は、ID、デバイス、Exchange Online、および SharePoint に条件付きアクセス ポリシーを使用しています。 ID 条件付きアクセス ポリシーには、リスクの高いユーザーにパスワードの変更を要求し、先進認証をサポートしていないアプリの使用をクライアントがブロックする機能が含まれます。 デバイス ポリシーには、承認済みアプリの定義と、準拠している PC とモバイル デバイスの要求が含まれます。 Exchange Online条件付きアクセス ポリシーには、ActiveSync クライアントのブロックとOffice 365メッセージ暗号化の設定が含まれます。 SharePoint 条件付きアクセス ポリシーには、機密性が高く規制の厳しいサイトに対する追加の保護が含まれています。

  • Windows Hello for Business

    Contoso はWindows Hello for Businessをデプロイし、最終的には、WINDOWS 11 ENTERPRISEを実行している PC とモバイル デバイスでの強力な 2 要素認証を通じてパスワードの必要性を排除しました。

  • Windows Defender Credential Guard

    管理特権を持つオペレーティング システムで実行されている標的型攻撃とマルウェアをブロックするために、Contoso は AD DS グループ ポリシーを通じて Windows Defender Credential Guard を 有効にしました。

脅威に対する保護

  • Microsoft Defender ウイルス対策によるマルウェアからの保護

    Contoso は、Microsoft Defenderウイルス対策を使用して、Windows 11 Enterpriseを実行している PC とデバイスのマルウェア対策の保護とマルウェア対策管理を行います。

  • Microsoft Defender for Office 365を使用して電子メール フローとメールボックス監査ログをセキュリティで保護する

    Contoso は、Exchange Online ProtectionとDefender for Office 365を使用して、不明なマルウェア、ウイルス、および電子メール経由で送信される悪意のある URL から保護しています。

    Contoso では、メールボックス監査ログを有効にして、ユーザー メールボックスにログインするユーザーを特定し、メッセージを送信し、メールボックスの所有者、委任されたユーザー、または管理者によって実行されるその他のアクティビティを実行しました。

  • Office 365 脅威の調査および対応を使用した攻撃の監視と防止

    Contoso はOffice 365脅威の調査と対応を使用して、ユーザーを保護し、攻撃の識別と対処を容易にし、将来の攻撃を防ぎます。

  • Advanced Threat Analytics を使用した高度な攻撃からの保護

    Contoso は Advanced Threat Analytics (ATA) を使用して、高度な標的型攻撃から自身を保護しています。 ATA は、通常のエンティティと異常なエンティティ (ユーザー、デバイス、リソース) の動作を自動的に分析、学習、識別します。

情報保護

  • Azure Information Protection ラベルを使用した機密性の高い厳しく規制されたデジタル資産の保護

    Contoso は 3 つのレベルのデータ保護を決定し、ユーザーがデジタル資産に適用する Microsoft 365 秘密度ラベル を展開しました。 Contoso は、企業秘密やその他の知的財産のために、高度に規制されたデータに秘密度サブラベルを使用します。 このプロセスは、コンテンツを暗号化し、特定のユーザー アカウントとグループへのアクセスを制限します。

  • データ損失防止機能を使用したイントラネット データの漏洩防止

    Contoso は、ユーザーが誤ってまたは意図的に機密データを共有しないように、Exchange Online、SharePoint、およびOneDrive for Businessに対してMicrosoft Purview データ損失防止ポリシーを構成しました。

  • デバイスのデータ漏洩を防止する Windows 情報保護

    Contoso は、Windows Information Protection (WIP) を使用して、従業員が仕事に持ち込む企業所有のデバイスや個人のデバイス上のインターネット ベースのアプリとサービス、エンタープライズ アプリ、データによるデータ漏洩から保護しています。

  • Microsoft Defender for Cloud Appsによるクラウド監視

    Contoso はMicrosoft Defender for Cloud Appsを使用して、クラウド環境のマップ、使用状況の監視、セキュリティ イベントとインシデントの検出を行っています。 Microsoft Defender for Cloud Appsは、Microsoft 365 E5でのみ使用できます。

  • Microsoft Intune を使用したデバイス管理

    Contoso では、Microsoft Intuneを使用して、モバイル デバイスとそのデバイスで実行されるアプリへのアクセスを登録、管理、および構成します。 デバイス ベースの条件付きアクセス ポリシーには、承認済みのアプリと準拠している PC とモバイル デバイスも必要です。

セキュリティ管理

  • クラウド用のMicrosoft Defenderを使用した IT 用の中央セキュリティ ダッシュボード

    Contoso は、Microsoft Defender for Cloud を使用して、セキュリティと脅威の保護の統合ビューを提示し、ワークロード全体のセキュリティ ポリシーを管理し、サイバー攻撃に対応します。

  • Windows Defender セキュリティ センターを使用したユーザー向けの中心となるセキュリティ ダッシュボード

    Contoso は、Windows セキュリティ アプリを PC と Windows 11 Enterprise を実行しているデバイスにデプロイし、ユーザーが自分のセキュリティ体制をひとめで確認し、アクションを実行できるようにします。