黃健瑋（解決方案架構師）：Microsoft 365 資安快易通

Microsoft 365 資安快易通
Jackson Huang
現任雲馥數位解決方案架構師
專注於研究 Azure 與 Microsoft 365 各項服務實際運用層面，擅長領域包
括雲端資源轉移評估、雲端環境建置、雲端備份與封存，以及各式 PaaS
服務架構規劃、Microsoft 365 設定與應用等。

資安管理的重點是「人」
使用者有良好的資安意識搭配初
步的資安解決方案可以避免大多
數的資安問題

資訊安全象限
使用者方便程度基本上跟資安嚴謹度成反比，
越方便資安嚴謹度越低，資安嚴謹度越高越
不方便
安全性
方便性
安全與方便兼具
安全但方便性較低
便於使用但安全性較低
安全性與便利度皆不佳

常見的資安檢測措施
弱點掃描滲透測試紅隊演練源碼檢測

疫情期間企業同樣遭受資安威脅

疫情期間爆發的資安危機

機敏資料外洩對企業商譽的衝擊
刑事責任
營業秘密法、個人資料保護法
資料出處：新聞實驗室、法務部調查局

• 使用者導入Microsoft 365
• 未依建議啟用MFA驗證
• 最高長官信箱遭駭客盜用
• 狀況排解並啟用MFA機制後，
再無發生帳戶被破解之狀況
政府機關帳戶遭入侵
發送內部垃圾信
實際案例 #1

• 使用者點擊釣魚信件
• 企業中勒索病毒並持續擴散
• 內部檔案遭加密
• 透過異質性備份復原，但依然
有相當程度的損失
汽車租賃及拖吊業者
遭勒索病毒攻擊
實際案例 #2

• 舊版系統長期未更新
• 成立資安團隊後發現多處漏洞，
入侵痕跡已長達半年
• 透過系統安全更新與MFA認證，
強化企業環境安全性
手機大廠網域遭入侵
被駭客監控了半年
實際案例 #3

第一次篩檢
(量體溫)
入境檢測防疫佈署醫護監控結果佈達
PCR快篩
預防性隔離
持續監控
隔離性醫療照護
案例擴散追蹤
無確診，自我
防護措施落實
疫情、防疫措
施宣佈
體溫正常
發燒
陰性
陽性
陰性
衛福部

第一次檢查
(防火牆/SPAM)
入口檢測資安解決方案導入持續監控永續防護
端點防毒EDR佈
署、帳戶多因數
驗證
信件、檔案、
裝置隔離，帳戶
鎖定
登入控管、
行為偵測
自動告警、
權限封鎖、
侵害範圍評估
資安演練，使用
者資安教育訓練
資安檢測與報告
正常
異常
正常
異常
正常
資安顧問

使用雲端原生解決方案減少機密外洩風險
AIP依據敏感度標籤加密與套用權限
DLP偵測檔案與信件內容機敏性資料
Intune(MDM)限制註冊裝置硬體功能
Intune(MAM)控管註冊裝置App安裝

使用雲端原生解決方案降低企業遭入侵的風險
MDO提供進階信件防護，沙箱隔離、確
保連結與附件的安全性
MDE針對端點設備提供未知型惡意程式
檢測與網路連線行為分析
AADIP針對雲端帳戶進行身份保護 + 條
件存取
MDI針對地端網域環境進行異常連線登
入偵測與用戶行為分析
CAS透過使用者登入到組織帳戶後的網
路行為蒐集及分析

瀏覽到
網站
釣魚
郵件
開啟
附件
點選 URL
攻擊
& 安裝
命令
& 控制
使用者帳戶已
外洩
暴力破解帳號或使用
被盜帳號認證
攻擊者嘗試
橫向移動
特權帳戶
被盜用
網域與系統
入侵
攻擊者存取敏感資料
資料外洩
Azure AD Identity Protection
身份保護 + 條件存取
Microsoft Defender For O365
惡意軟體檢測、安全連結和安全附件
Microsoft Defender For Endpoint
未知型惡意程式檢測與網路連線行為分析
Microsoft Defender For Identity
異常連線登入偵測與用戶行為分析
攻擊者收集
偵察 →
設定資料
Cloud App Security
使用 AI 調查威脅，並大規模搜捕
可疑的活動&內建的常見工作協調
流程和自動化，快速回應事件

企業內機敏資料有那些？
對話記錄、確認事項、會議記錄
內部決議記錄、簡報資料、報名表、
客戶名單、銷售報表、銷貨發票、報
價單據、盤點單據、薪資記錄、醫療
紀錄、病歷資料、過期檔案
財務資訊、營運報表、稅務資料、會
計帳務、內部稽核報告、個人資料、
薪資記錄、企業策略白皮書、產品設
計圖、BOM表、用料表、法律文件
一般
內部
機密
極機密

機敏資料對企業各階層的影響
企業主-公司治理重點
重要機敏資料是企業治理的命脈，一旦流出對商譽及營收都會有影響
中高階主管-減少風險發生
可有效的將資料留在企業內部，且分單位分層級卡控也不能隨意外流
一般主管-導入過程順暢且兼顧資料安全性
資料保護範圍廣，且導入過程中能有效佈署，提高機敏資料安全性
使用者-保護自己與主管
產出的資料能被保護好，不會因為個人或外在因素而導致外洩

企業評估程序
透過評估程序協助客戶分階段導入計劃，有效降低導入風險與
時間
LV0 – 使用Line、FB等通訊軟體進行分享
LV1 – 善用雲端的生產力工具達到多人協作、歷程追蹤，分層權限設定
LV2 – 檔案與信件的偵測加密，機敏性資訊不會離開企業管控的範圍
LV3 – 針對企業的裝置進行軟硬體功能的控管

LV0 – 使用Line、FB等通訊軟體進行分享
一般使用者
其他對像
轉寄
客戶/廠商
公司
私人

LV0->LV1
1、公私混用通訊軟體，拆分公私專用
2、檔案依組織分層分級管理，限定人員共編
3、檔案共享至外部，經SharePoint或OneDrive連結留存記錄
4、新增刪除修改皆可歷程追蹤

LV1 –多人協作、歷程追蹤，分層權限設定
一般使用者
Outlook Word
PowerPoint Excel
Exchange
Online
Teams
其他對像
轉寄
客戶/廠商
Teams
公司
私人

規劃企業檔案的分類
合作廠商客戶
資訊部門財務部門人資部門總務部門
公開機密極機密
公司內部
公司外部
公用檔案
個人檔案

檔案共享結構
外部共享
企業組織
部門單位人資部門
總務部門
資訊部門網管組
系統組
跨部門合作
專案
合作廠商
客戶

使用規則
首先區分為部門單位、企業組織及外部共享三個分類，其下依公司組織建立環境，用途如下：
1. 部門單位：存放各部門內部文件，文件不得讓其他部門讀取。需要讓其他部門讀取的文件請放到Public folder。
2. 企業組織：存放「全公司」或「公司其他部門」讀取的文件。其預設權限為「全公司」都可讀取，包含其下所有的sub
folder也會繼承此權限；如果sub folder要限定只讓特定的「其他部門」讀取，則要在sub folder設定停止繼承並移除全公司
的讀取權限。
3. 外部共享：
• 僅供與公司外部人員暫時交換檔案時使用。
• 分享檔案給特定人，請先對檔案進行壓縮加密，密碼用另外的管道提供給對方。
• 分享檔案給Anyone，請在分享檔案時設定可存取日期小於七天，並設定存取密碼，密碼用另外的管道提供給對方。
• 系統管理員每隔一段時間會清空外部共享之下的所有資料。

LV1->LV2
1、統一入口製定文件標籤政策(身份證字號…)
2、追蹤文件檔案存取，確保無異常使用
3、降低機敏資料被不同管道方式外洩，含列印、雲端空間
4、保護員工與企業，降低風險支出
5、分析機敏文件非法使用狀態，及梳理風險因子來源

LV2-機敏資訊不會離開企業管控的範圍
一般使用者
特殊申請
監控
自動告警
Outlook Word
PowerPoint Excel
Exchange
Online
Teams
其他對像
轉寄
IT 人員
設定標籤加密
客戶/廠商
AIP標籤加密 DLP機敏內容檢核
Teams
公司
私人

LV2->LV3
1、保護企業資料僅能在內部管控範圍使用
2、當設備脫離企業管控一定時間後，將無法使用企業內資料
3、當員工離職後，將企業資料移除且同時不影響個人資料
4、檢核設備狀況，確保公私資料不混用

LV3 – 針對企業的裝置進行軟硬體功能的控管
一般使用者
特殊申請
監控
自動告警
Outlook Word
PowerPoint Excel
Teams
其他對像
轉寄
IT 人員
客戶/廠商
Mobile App Management
行動應用程式管理
設定設備政策
已授權設備
已授權設備
Mobile Device Management
行動裝置管理
Teams
公司
私人

專案導入方法論
需求分析
專案規劃
系統建設
系統上線
專
案
管
理
1、組織架構
2、授權方案
3、管控藍圖
4、稽核點
1、環境規劃與部署
2、現狀管控項目梳理
3、開發需求與設計
4、實施狀況反饋
1、系統許可權定義與分配
2、管理者教育訓練
3、使用者教育訓練
4、管控項目監測分析
1、應用效果評估報告
2、專案總結與收尾
3、專案驗收
持續服務
1、組建顧問團隊
2、內部交接
3、客戶資料取得準備
4、管理機制建立
5、專案啟動會
實施方法

Thank You!
www.cloudriches.com
mailto: Service@cloudriches.com
客服專線: +886-2-25951865
追蹤臉書專頁
雲端趨勢不漏接

黃健瑋（解決方案架構師）：Microsoft 365 資安快易通

More Related Content

What's hot

Similar to 黃健瑋（解決方案架構師）：Microsoft 365 資安快易通

More from 開拓文教基金會

黃健瑋（解決方案架構師）：Microsoft 365 資安快易通