Microsoft Secure Score 安全分數

Microsoft Secure Score 提升計畫

1. 什麼是 Microsoft Secure Score？

Microsoft Secure Score 是 Microsoft 根據組織在 Microsoft 365 中不同因素的安全狀況所給予的分數。

它提供一個方便的方式，讓您能一目瞭然地了解 Microsoft 365 的安全程度。

許多網路保險公司會詢問 Secure Score，分數低可能會導致保費提高。

新的趨勢是，潛在客戶在決定是否合作之前，可能會詢問您的 Secure Score。

因此，盡可能提高您的 Microsoft Secure Score 是非常有意義的。

2. 什麼是良好的 Secure Score？

您應該盡力將分數提高，但目標不是 100%。

Secure Score 在 60% 到 80% 之間被認為是良好的分數，表示您在 Microsoft 365 中已實施了一些良好的安全措施。

Secure Score 超過 80% 則被認為是優秀的，表示您在安全方面做得非常好。

Secure Score 低於 60% 表示仍有很大的進步空間，許多剛開始接觸 Secure Score 的客戶常處於這個範圍。

3. 如何找到您的 Secure Score？

在您的 Microsoft 365 測試租用戶中，您可以導覽至「admin centers」（管理中心），然後選擇「security」（安全性）。

這會帶您進入 Microsoft 安全性入口網站 (Microsoft Security portal)。

您可以在此看到 Microsoft Secure Score。

或者，您可以導覽至「exposure management」（曝險管理），然後選擇「secure score」。

這將開啟 Secure Score 入口網站，提供更多詳細資訊，例如需要處理的項目數量。

您可以點擊「recommended actions」（建議的動作）來查看具體的改進措施。

4. 實施：授權 (以 Microsoft 365 Business Premium授權為主)。

Business Premium 包含了提升 Secure Score 和保護業務所需的所有安全工具。
如果您使用的是 Business Basic 或 Business Standard 授權，並不含這些安全性的授權。

5. 提升 Secure Score 的四個關鍵領域

保護使用者 (Protecting your users)

這是一些非常基本的資安實施步驟，它們不是複雜的「火箭科學」，而是每個組織為了建立良好的安全基礎所應當遵循的常規做法

多重要素驗證 (Multi-factor Authentication, MFA) 是保護使用者的核心。企業中的所有使用者都應該啟用 MFA。所有管理員帳戶 (admin users) 更是應該啟用 MFA。
這可以透過條件式存取 (Conditional Access) 來實現。

條件式存取 (Conditional Access) 是 Microsoft 365 安全生態系統中最強大的工具之一。透過建立條件式存取 (Conditional Access) 來實現訪問的合規性，例如「除非啟用 MFA，否則任何人皆無法存取 Microsoft 365」，例如「受裝置管理的設備，才可以存取 Microsoft 365」
可以實施的具體條件式存取原則範例包括：阻擋舊版驗證、要求所有使用者進行多重要素驗證、要求 Azure 管理進行多重要素驗證。要求特定IP或地區才可存取服務。實施這些基本條件式存取原則可以在幾分鐘內完成，並提供強大的使用者保護。
管理管理員帳戶數量： Microsoft 建議只有極少數人擁有管理權限，對於全域管理員帳戶，建議只保留兩個帳戶：一個主要帳戶和一個備份緊急帳戶。
您可以在 Microsoft Entra admin center (以前稱為 Azure AD admin center) 的「Identity」>「Roles and admins」中查看和管理這些帳戶。
特權身份管理 (Privileged Identity Management, PIM) 是 Microsoft 提供的一項重要功能，旨在幫助組織有效管理和監控特權帳戶使用情況。PIM 的核心目標是限制特權帳戶的持續性訪問，確保只有在需要時才授予管理員權限。通過實施 PIM，組織可以減少不必要的全域管理員帳戶數量，並降低因特權濫用或憑據洩露所帶來的安全風險。PIM 提供一系列功能，包括臨時性特權分配、使用者行為審核以及要求多重要素驗證等。臨時性分配意味著管理員僅在需要執行特定任務時授予權限，並在任務完成後自動回收權限，從而避免過多帳戶長期持有管理員權限的情況。此外，PIM 還能追蹤特權活動並生成透明的審核報告，協助檢測潛在的安全問題。在減少全域管理員帳戶方面，PIM 發揮了關鍵作用。管理者可以使用 PIM 將全域管理員的持續性權限轉換為需求驅動型的臨時權限，進一步減少帳戶數量，同時保留必要的應急機制。這種做法不僅提升了安全性，也幫助組織實現更精簡、更高效的管理。

保護電子郵件 (Protecting your email)

超過 90% 的網路攻擊源於電子郵件。 Microsoft 365 提供了許多可用的電子郵件保護功能。您可以至 Microsoft 365 admin center 的「Security」>「Email and collaboration」>「Policies and rules」>「Threat policies」來配置相關策略。
配置 Defender for Office 365：這是非常好的電子郵件保護措施，可以顯著提高您的 Secure Score。

實施 SPF、DKIM 和 DMARC：這些是與電子郵件驗證相關的技術。實施這些措施以大幅提升電子郵件安全性。

保護裝置 (Protecting your devices)

這部分有一個三步驟計劃來保護裝置並提升 Secure Score。

步驟一：確保您的企業只使用公司擁有的裝置。

步驟二：在這些公司擁有的裝置上實施 Microsoft 365 Business Premium 提供的所有安全工具。這包括 Defender for Business 和 BitLocker 等技術。Defender for Endpoint 也是相關的工具。

可以透過 Microsoft Intune 來管理和保護這些裝置。Defender for Endpoint/Business 和 BitLocker 等安全軟體應部署在裝置上。來源影片推薦了關於保護裝置和 BitLocker 加密的影片。

步驟三 (進階)：使用合規性原則 (Compliance policies)。

合規性原則用於確保裝置達到最低安全標準。

如果裝置不符合標準，可以限制其存取 Microsoft 365。

可以在 Intune 的「Endpoint security」中建立合規性原則。

合規性原則可以要求裝置具備加密 (encryption)、防火牆 (firewall)、TPM、防病毒軟體 (anti virus)、防間諜軟體 (anti-spyware)、最新的惡意軟體定義 (dependant malware)，甚至要求達到最低作業系統版本 (minimum OS version)。

可以設定非合規裝置的動作，例如將裝置標記為非合規。

最後，透過條件式存取原則來強制執行裝置合規性。

可以建立一個條件式存取原則，要求裝置被標記為「符合規範」(marked as compliant) 後才能授予 Microsoft 365 的存取權。

重要考量：在實施裝置保護措施（例如僅允許公司擁有裝置存取或要求裝置合規）之前，應仔細規劃，特別是對於現有裝置和使用者，以免造成不便和困擾。這些改變可以逐步實施。

一個範例條件式存取策略是僅允許已加入 Entra (Entra joined) 並由 Intune 管理的公司擁有 PC 存取 Microsoft 365 資料。此策略可以排除如 iOS 和 Android 等行動裝置，這些裝置可能透過 MAM (Mobile Application Management) 原則進行管理（MAM 不在影片討論範圍內）。

保護資料 (Protecting your data)

許多企業沒有做好資料保護，但這是非常重要。 Microsoft 365 中有工具可以保護您的資料，並會提升您的 Secure Score。
主要的工具是敏感度標籤 (Sensitivity labels) 和資料外洩防護 (Data Loss Prevention, DLP)。

總結：

提升 Microsoft Secure Score 的過程是透過實施良好的網路管理和利用 Microsoft 365 提供的內建安全工具來實現。從保護使用者、保護電子郵件、保護裝置和保護資料—是入門並顯著提升 Secure Score 的基本步驟。透過循序漸進地實施 MFA、條件式存取、配置電子郵件安全、管理裝置並實施資料保護措施，企業可以大幅增強其安全性。

原廠說明連結 : https://learn.microsoft.com/zh-tw/defender-xdr/microsoft-secure-score

實用功能

全部實用功能