M365 基礎知識 Part 3-安全與合規

20 min readOct 1, 2024

M365的管理中心

M365 管理中心是我們可以管理 M365 訂閱的位置。若要存取，連結admin.microsoft.com 或者，透過 www.office.com（slect app launcher and then select Admin)）或透過 Microsoft 365 Admin mobile app來存取。

M365 管理中心有兩個View：

Simplified view可協助小型組織管理最常見的任務，例如管理使用者、訂閱和團隊。
Dashboard view包括更複雜的設定和任務。我們也可以透過經常執行的任務來客製儀表板。

以下清單為一些常見作業：

Manage users by adding, deleting, restoring users or resetting a user’s password.
Manage licenses by adding and removing licenses.
Manage a Microsoft 365 group by creating a group, deleting a group, and editing the name or description.
Manage billing like viewing, purchasing or canceling subscriptions.
View or create service requests.
Manage global settings for apps.
View activity reports to see how your organization is using Microsoft 365.
View the health of your Microsoft services.

M365管理中心的報告

透過 M365 管理中心中的可用報告，可以深入了解員工如何使用 Microsoft 365 應用程式和服務。報告的週期有 7 天、30 天、90 天和 180 天。下面是兩種報告類型:

Adoption score

這種報告可讓我們深入了解組織透過使用 M365 的數位轉型之旅以及支援它的技術體驗。組織的分數反映了人員和技術經驗的衡量標準，並且可以與類似組織的基準進行比較。Adoption score提供兩個領域的指標、洞察和建議：people experiences與technology experiences。

People experiences
使用內容協作、行動性、通訊、會議和團隊合作等 M365 categories來量化組織的工作方式。
Technology experiences
量化”技術的可靠性和效能”以及 M365 的高效使用。這些洞察力可以透過Endpoint analytics與network connectivity來取得。

Usage

這一類型的報告可協助我們了解使用者如何在整個組織中使用 M365 應用程式和服務。報告可以幫助我們進行更改或引導使用者行為，以最大限度地發揮 M 365 的優勢。

我們可以使用Power BI 中的M365 使用情況分析來更深入地了解組織如何採用M365 中的各種應用程式和服務。

其他類型的報告

安全性(Security) — Microsoft 365 Defender。檢視有關安全趨勢的資訊並追蹤身分、資料、裝置、應用程式和基礎架構的保護狀態。
合規性(Compliance) — Microsoft Purview。檢視 Microsoft 365 裝置、資料、身分、應用程式和基礎架構的合規性狀態和趨勢。
端點管理器(Endpoint Manager)。透過 Microsoft Intune 查看有關組織中端點合規性、運作狀況和趨勢的報告。
Microsoft Entra ID。檢視活動報告，其中包括註冊和使用情況。這些報告可協助我們了解組織中使用者的行為，例如註冊和登入。
Exchange。檢視組織內的電子郵件流程報告以及為組織建立的郵箱遷移批次。
SharePoint。檢視有關 SharePoint 中資料的安全性和合規性的報告。這些報告包括用於識別潛在過度共享的共享連結以及應用於文件以監控敏感內容的敏感度標籤。
Teams。檢視使用情況報告以取得有關 Teams 使用情況的見解和資訊。組織可以使用這些報告來更好地了解使用模式，例如使用者如何使用 Teams，以及他們使用哪些裝置連接到 Teams。

M365的安全性與合規性能力

在安全性方面，組織與外部的界線越來越模糊。也無法再網路邊界來區隔，因為越來越多的服務正在被組織使用。為了讓員工、合作夥伴和客戶能安全地協作，組織需要轉向一種使Identity成為新的安全邊界的方法。運用身identity provider可以幫助組織管理這種轉變以及身分安全的所有面向。

後面介紹以下功能:

Microsoft Entra ID的核心功能
Microsoft Entra ID所支援的Identity類型
Microsoft Entra ID 所支援的hybrid identity概念

Microsoft Entra ID

Microsoft Entra ID（就是以前的 Azure Active Directory）是雲端的AD。組織使用 Microsoft Entra ID 使其員工、訪客和其他人能夠登入並存取所需的資源，包括：

內部資源，例如公司網路和內部網路上的應用程式以及組織自行開發的雲端應用程式
外部服務，例如 Microsoft Office 365、Azure 網站以及組織使用的任何 SaaS 應用程式

Microsoft Entra ID 透過為其雲端和地端應用程式提供單一身分驗證系統，簡化了組織管理授權和存取的方式。 Microsoft Entra ID 可以與現有的端 AD同步、與其他目錄服務(如LDAP)同步或用作獨立服務。

Microsoft Entra ID 還允許組織安全地使用個人裝置（例如手機和平板電腦），並實現與業務合作夥伴和客戶的協作。

身分安全評分(Identity Secure Score)

Microsoft Entra ID 包含身分安全評分，該評分是一個百分比，可作為組織與 Microsoft 安全性最佳實務建議的一致性程度的指標。身分安全評分中的每項改進行動都是根據組織的特定要求量身定制的。

身分安全評分在所有版本的 Microsoft Entra ID 中都有，可協助組織客觀地衡量身分安全狀況、規劃身分安全改善並檢視改進是否成功。

基本術語

以下微軟的名詞解釋

Tenant
Microsoft Entra tenant是 Microsoft Entra ID 的實例(Instance)，其中放置有關單一組織的資訊，包括使用者、群組、裝置和應用程式註冊等組織物件。Tenant還包含資源的存取和合規性政策，例如在目錄中註冊的應用程式。每個 Microsoft Entra 租用戶都有一個唯一的 ID（Tenant ID）和網域名稱（例如jasonkao.com.tw），並肩負安全性和管理邊界，允許組織對資源、應用程式、裝置、和服務的管理與控制。
Directory(目錄)
術語「Microsoft Entra directory」和「Microsoft Entra tenant」通常可以互換使用。目錄是 Microsoft Entra tenant內的邏輯容器(logical container)，用於”持有和組織”與身分和存取管理相關的各種資源和對象，包括使用者、群組、應用程式、裝置和其他目錄物件。基本上，目錄就像與組織的tenant所關聯的Identity或catalog的資料庫。每一個Microsoft Entra tenant只會有一個Directory。
Multi-tenant
多租戶組織(multi-tenant organization)是指擁有多個 Microsoft Entra ID Instance的組織。組織可能擁有多個teant的原因大都是公司大嘛，一堆子公司孫公司之類的獨立法人。

IT 管理員使用 Microsoft Entra ID 是根據業務需求來控制對公司應用程式和資源的存取。例如，Microsoft Entra ID 還可以設定為在存取重要的組織資源時需要多重身份驗證。它提供了工具來自動幫助保護使用者身分和憑證並滿足組織的存取治理要求。

開發人員使用 Microsoft Entra ID 作為唯一標準的方法，向其應用程式加入SSO，以便使用者可以使用其預先就存在的憑證登入。 Microsoft Entra ID 還提供API，讓開發人員可以使用現有組織資料。Azure service、Microsoft 365 或 Dynamics 365 的訂閱者自動有權存取 Microsoft Entra ID。

Identity的類型

Microsoft Entra ID 支援不同類型的身份。說白了就是給機器用或人用的。以下分為三個類別：

給人類用的。例如內部使用者的組織員工以及包括客戶、供應商和合作夥伴的外部使用者。微軟稱為user identities。
給實體裝置（例如手機、桌上型電腦、IoT 裝置）用的。
給software-based objects用的，例如應用程式、虛擬機器、服務和容器。這稱為workload identities。

User identities代表員工和外部使用者（客戶、供應商和合作夥伴）等人員。在 Microsoft Entra ID 中，user identities的特徵在於其驗證方式和使用者類型屬性。

使用者如何進行身份驗證是相對於運行於組織的 Microsoft Entra tenant進行詢問的，可以是內部或外部的。內部身分驗證表示使用者在組織的 Microsoft Entra ID 上擁有一個帳戶，並使用該帳戶對 Microsoft Entra ID 進行驗證。外部身分驗證意味著使用者使用屬於另一個組織、社交網路身分或其他外部身分提供者的外部 Microsoft Entra 帳戶進行驗證。

Internal member
這些使用者通常被視為組織內部員工。使用者透過其組織的 Microsoft Entra ID 進行內部身份驗證，並且在資源 Microsoft Entra 目錄中建立的使用者物件的 UserType 為 Member。
External guest
外部使用者或訪客，包括顧問、供應商和合作夥伴，通常屬於這一類。使用者使用外部的 Microsoft Entra 帳戶或外部身分提供者（例如社交身分FB之類的）進行身份驗證。在資源 Microsoft Entra 目錄中建立的使用者物件的 UserType 為 Guest，為他們提供有限的來賓級權限。
External member
這種情況在由多個租戶組成的組織中很常見。請考慮這樣一種情況：A Microsoft Entra 租戶和 B Microsoft Entra 租戶是一個大型組織內的租戶。 A 租戶的使用者需要對B公司中的資源進行member level存取。在此狀況中，A公司使用者在 B公司的Microsoft Entra 目錄中進行配置，以便他們使用其 A公司帳戶進行身份驗證，該帳戶位於 B公司外部，但具有 Member 的 UserType，以對 B公司資源的member level存取。
Internal guest
當與經銷商、供應商這一類的協作單位時，我們可以將他們設定為內部 Microsoft Entra 帳戶，但透過將使用者物件 UserType 設定為 Guest 。作為訪客，他們在目錄中的權限減少了。這被認為是八百年的狀況了，因為現在使用 B2B 協作更為常見。透過 B2B 協作，使用者可以使用自己的憑證，從而允許其external identity provider來管理身分驗證及其帳戶生命週期。

Workload identities

workload identity也是給機器用的，但是是偏軟體/服務。保護workload identity非常重要，因為與人類使用者不同，機器可能會處理多個憑證(credentials)來存取不同的資源，並且需要安全地儲存這些憑證。也很難追蹤workload identity何時建立或何時應撤銷(例如容器服務)。由於保護workload identity的困難，企業會面臨其應用程式或服務被利用或破壞的風險。

而Microsoft Entra WorkloadID 有助於在保護工作負載身分時解決這些問題。在 Microsoft Entra 中，workload identities是applications、service principals與managed identities。

Applications與service principals

service principal本質上是應用程式的Identity。對於將其身分和存取(identity and access)功能委託給 Microsoft Entra ID 的Application，該應用程式必須先向 Microsoft Entra ID 註冊。註冊應用程式後，將在使用該應用程式的每個 Microsoft Entra 租戶中建立一個service principal。service principal支援核心功能，例如應用程式對 Microsoft Entra 租戶保護的資源進行驗證和授權。

為了使service principal能夠存取 Microsoft Entra 租戶保護的資源，資安人員必須管理和保護憑證。如果操作不當，可能會產生安全漏洞。而把這個作業交給Managed identities有助於減輕開發人員的責任。

Managed identities

Managed identities是一種service principal，在 Microsoft Entra ID 中自動管理，無需資安人員管理憑證。Managed identities為應用程式提供在連接到支援 Microsoft Entra 驗證的 Azure 資源時所使用的identity，並且無需任何額外費用即可使用。

Managed identities有以下兩種:

System-assigned(系統派發)
某些 Azure resources（例如VM）允許直接在資源上啟用managed identity。啟用System-assigned的managed identity時，會在 Microsoft Entra 中建立與該 Azure resources的生命週期相關聯的identity。由於刪除資源時這個identity與該 Azure resources的生命週期相關聯，因此 Azure 會自動為刪除該identity。當workload包含在單一 Azure resource中時（例如在單一VM上執行的應用程式），我們可以看到system-assigned identity。
User-assigned(人類派發)
我們也可以建立managed identity當作獨立的 Azure resource。建立user-assigned的managed identity後，可以將其指派給 Azure 服務的一個或多個instance。例如，可以指派給多個 VM。與system-assigned不一樣的是identity與resource沒有幫在一起，需要個別管理。刪除resource不會連帶自動刪除identity。這在以下場景中非常有用：我們可能擁有多個VM，這些VM都具有相同的權限集，但可能會頻繁回收。刪除任何VM不會影響identity。同樣，我們可以建立新 VM 並為分配只用這一個identity。

裝置(Device)

這是各式各樣的電子設備，從手持式到機房裡的伺服器。device identity為管理員提供了在做出存取或配置決策時可以使用的資訊。可以在 Microsoft Entra ID 中以不同的方式設定device identity。

Microsoft Entra registered devices — 這是讓當組織有BYOD的政策所使用的。在此類的政策中，使用者可以使用自己私人的裝置存取組織的資源。
Microsoft Entra joined — 這是是透過組織帳號加入 Microsoft Entra ID 的設備，然後使用該組織帳戶登入該設備。 Microsoft Entra joined的的方式是該設備是組織的資產。
Microsoft Entra hybrid joined devices —這是給組織有地端AD的組織的使用。這些裝置已經joined地端AD和 Microsoft Entra ID，需要組織帳戶登入裝置。

將裝置註冊並加入 Microsoft Entra ID 的使用者是用SSO的方式存取雲端資源。此外，加入 Microsoft Entra 的裝置如果地端AD的話，也可以使用把地端AD當作驗證服務的地端資源。

IT 管理員可以使用 Microsoft Intune（一種雲端的MDM 和MAM服務）等工具來控制組織裝置的使用方式。

群組(Groups)

在 Microsoft Entra ID 中，如果我們有多個具有相同存取需求的使用者身份，則可以建立一個群組。可以將權限賦予群組而不必個別的給予個人。將 Microsoft Entra resources的存取權限限制為只需要存取權限的身分是零信任的核心安全原則之一。群組有以下兩種類型:

Security:
安全群組是最常見的群組類型，用於管理使用者和裝置對共用資源的存取。例如，我們可以為特定安全性政策（例如自助服務密碼重設）建立安全性群組，或與需要 MFA 的conditional access policy一起使用。安全群組的成員可以包括使用者（包括外部使用者）、裝置、其他群組和service principals。建立安全性群組需要 Microsoft Entra Admin角色。
Microsoft 365:
這通常也稱為distribution group，用於因協作需求對使用者進行分組。例如，我們可以授予群組成員存取共用信箱、行事曆、SharePoint 等的權限。 Microsoft 365 群組的成員只能包含用戶，包括組織外部的使用者。由於 Microsoft 365 群組旨在進行協作，因此預設允許使用者建立 Microsoft 365 群組，權限由使用者配發，因此不需要管理員角色。

可以將群組配置可以手動選擇的人員，也可使用規則來自動新增和刪除人員。

混合式身分驗證

雖然雲端服務一堆企業都在用，但許多企業仍然選擇混合雲的模式。無論應用程式託管在何處，使用者都希望資源存取簡單又容易。因此，這些不同的應用程式需要有一個單一的身份驗證系統。

Microsoft 的身份驗證解決方案可以涵蓋地端和雲端。這些解決方案建立了一個通用身份(common identity)，用於對所有資源進行身份驗證和授權，無論其位置如何。稱之為混合身分(hybrid identity)。混合身份是透過配置和同步來實現的。

Inter-directory provisioning是在兩個不同的目錄服務系統之間設定身分。對於混合式環境，Inter-directory provisioning最常見的情況是將 AD中已存在的使用者設定到 Microsoft Entra ID 中。
同步(Synchronization)負責確保地端AD的使用者和群組的資訊與雲端相同。

要使用上面兩種方式的可行方法之一是透過 Microsoft Entra Cloud Sync。 Microsoft Entra Cloud Sync 將使用者、群組和聯絡人配置並同步到 Microsoft Entra ID。它透過使用 Microsoft Entra cloud provisioning agent來實現此目的。Agent是一種lightweight inter-directory provisioning，可作為 Microsoft Entra ID 和AD之間的橋樑。組織只需在其地端或 IaaS 託管環境中部署Agent。Provisioning configuration儲存在 Microsoft Entra ID 中並作為服務的一部分進行管理。

Microsoft Entra Cloud Sync provisioning agent使用SCIM(Cross-domain Identity Management)和 Microsoft Entra ID 來管理使用者和群組。 SCIM 規範是一種標準，用於在 Microsoft Entra ID 等身分領域(identity domains)之間自動交換使用者或群組身分資訊。

外部身分驗證

當今世界注重協作，即與組織內部和外部的人員合作。這意味著有時需要向外部使用者提供對組織應用程式或資料的存取權。

Microsoft Entra External ID 可與組織外部的人員合作。透過External ID 功能，組織可以允許外部身分安全地存取應用程式和資源。這些身分的範圍可以是公司或政府給的帳號，也可以是 Google 或 Facebook 等社群身分。

Microsoft Entra External ID 解決了與外部使用者合作時遇到的情況。

每個場景都建議組織採用不同的方法來設定其 Microsoft Entra ID tenant。有兩種配置tenant的方法，取決於組織打算如何使用tenant以及想要管理的資源：

Workforce tenant configuration適用於組織內的員工、內部業務應用程式和其他組織資源。也可以邀請外部業務合作夥伴和客戶加入 workforce tenant。
External tenant configuration專門用於想要向一般消費者或企業客戶發布應用程式的external ID 場景。

B2B

External ID用來進行B2B 協作。External ID B2B 協作可讓組織的員工與外部業務合作夥伴進行協作。

透過workforce tenant，組織可以透過 B2B 協作與訪客共享公司的應用程式和服務，同時保持對自己的公司資料的控制。可以邀請任何人使用自己的憑證登入組織的 Microsoft Entra organization，以便他們可以存取組織要與他們共用的應用程式和資源。

當組織需要讓企業訪客存取組織的 O365 應用程式、SaaS和業務應用程式時，請使用 B2B 協作。這種方式不需要企業訪客的憑證。相反，他們會向其訪客所在組織或身分提供者進行身份驗證，然後組織這邊會檢查使用者進行訪客協作的資格。

與任何人協作都保護組織的應用程式

如果是B2C，使用External ID 將身分驗證以及CIAM(customer identity and access management)新增至應用程式。

Microsoft Entra external ID 包括Microsoft 的客戶身分和存取管理(CIAM) 解決方案，該解決方案包括自助服務註冊、個人化登入體驗（包括使用社交和企業身分的SSO）以及客戶帳號管理等功能。由於這些 CIAM 功能內建於 Microsoft Entra ID 中，因此企業可取得強化的安全性、合規性和可擴充性。