Microsoft 365 與 Entra ID 安全稽核(APAC):檢查項目與重要性完整指南
一份實用指南,說明 Microsoft 365 與 Entra ID 安全稽核實際涵蓋哪些項目、為何亞太監管機關與投資人日益要求,以及 Brocent 快速安全檢查如何協助補上落差。
發佈於
重點摘要: Microsoft 365 與 Entra ID 安全稽核會檢查您的 Secure Score、條件式存取原則、MFA 覆蓋率、Purview DLP 規則、信箱強化設定、Intune 裝置合規性、管理員角色氾濫、來賓存取,以及舊版驗證通訊協定——這正是攻擊者與監管機關真正關注的九大領域。在亞太地區,稽核已日益成為符合等保(MLPS)、PDPA、PDPO 與 APPI 法規要求的必要項目,也已成為投資人與保險公司盡職調查的標準項目。
什麼是 Microsoft 365 與 Entra ID 安全稽核?
Microsoft 365 與 Entra ID 安全稽核是對貴組織雲端身分識別與生產力環境設定方式的結構化檢視——這不是滲透測試,也不是一次性的勾選作業。大多數採用 Microsoft 365 的企業,其設定仍停留在 2019 年時還算合理的預設值,之後從未重新檢視過。與此同時,Microsoft 每季都會在租用戶中推出新的安全控制項,但幾乎沒有一項會自動啟用。
稽核的任務,是將貴租用戶的實際設定——身分識別、郵件、裝置、資料——與已知的良好基準進行比對,找出每一項落差,並依照實際可被利用的風險程度排序。若執行得當,產出的會是一份具優先順序的補救清單,而不是一本沒人會讀的四十頁合規文件。若想進一步了解稽核與弱點掃描服務的典型收費範圍,請參閱我們的配套定價指南。
實務上,大多數組織並非隨興安排這類檢視——通常都有具體的觸發因素。Brocent 在亞太客戶中最常見的觸發原因包括:即將到來的例行監管評鑑(例如等保測評週期、證監會檢查)、募資輪或併購案即將進行技術盡職調查、網路保險續約時問卷比去年更嚴格、一次差點得逞的釣魚事件讓管理層開始追問「這真的有可能成功嗎」,或單純是人員快速成長,已超出公司規模較小時所建立的身分治理架構所能負荷。
為什麼亞太企業現在就需要這麼做
兩股力量正同時匯聚在亞太企業身上:日益嚴格的資料保護法規,以及現在要求先證明具備安全衛生條件才願意往來的第三方夥伴。這兩股壓力都不是紙上談兵,而且都愈來愈直接指向 Microsoft 365 與 Entra ID——因為這正是大多數亞太中型企業存放電子郵件、檔案與身分識別資料的地方。
中國:等保 2.0(網絡安全等級保護制度)
依據中國的網絡安全等級保護制度(等保2.0),二級以上資訊系統的營運者必須在身分識別管理、存取控制、資料保護與稽核記錄等方面,展現具文件記錄且經測試的安全控制項目——並由具資質的測評機構定期評鑑。若外商投資企業營運面向中國的 Microsoft 365 租用戶(或是將地端 Active Directory 與 Entra ID 橋接的混合式身分識別架構),其存取控制與記錄留存狀態就必須能通過該項評鑑,而在正式評鑑前先進行內部稽核,是避免屆時措手不及的標準做法。
香港:PDPO
香港的《個人資料(私隱)條例》(PDPO)要求資料使用者採取「一切切實可行的步驟」保護個人資料,避免未經授權或意外的存取,而個人資料私隱專員公署的指引也明確將存取控制與員工裝置管理列為預期應採取的切實可行步驟。對於持有證監會牌照的資產管理公司及其他受規管的香港實體而言,門檻更高——證監會自身的網絡安全通函要求 MFA、特權存取控制與修補程式管理必須是可被證明的,而不只是口頭聲稱。我們在證監會9號牌與IT安全指南中有詳細說明。
新加坡與馬來西亞:PDPA
新加坡的《個人資料保護法》(PDPA)與馬來西亞的《個人資料保護法》(PDPA)皆課予資料保護義務,要求採取「合理的安全安排」——而兩地監管機關(新加坡的PDPC、馬來西亞的個人資料保護局)皆曾公布執法決定,其認定關鍵正是缺少MFA、權限過度授予的帳戶,或未受監控的管理員存取——這些正是 M365/Entra ID 稽核專門用來揪出的類別。新加坡PDPC亦要求企業備有文件化的資料外洩應變計畫,而若不先掌握實際暴險狀況,很難寫出具說服力的計畫。
台灣:個人資料保護法
台灣的《個人資料保護法》要求企業採取與所持資料敏感度相稱的「適當安全措施」,而各產業主管機關(尤其是針對金融業的金融監督管理委員會)則進一步疊加更具體的技術要求,包括存取記錄與身分識別控管。由於台灣個資法的執法多透過各產業主管機關而非單一中央機關進行,實務上的要求——可被證明的存取治理——與 Entra ID 稽核所評估的內容高度吻合。
日本:APPI
日本的《個人資訊保護法》(APPI)要求企業對個人資料採取「必要且適當」的安全控管措施,而個人資訊保護委員會的指引則更具體,將存取控制、存取監控與實體/技術防護措施皆列為指定類別。APPI對個資保護委員會的外洩通報義務,也強烈促使企業在事件迫使揭露之前,先掌握自身真實的安全態勢。
投資人與保險公司的盡職調查
撇開法規不談,目前有兩股商業力量正朝同一方向推進。網路保險公司日益要求企業在承保或續保前完成安全問卷——涵蓋MFA強制執行、條件式存取、特權帳戶控管——並會在事故發生後,針對這些領域的缺口作為拒賠理由。投資人在募資輪或併購案進行技術盡職調查時,也會例行要求提供標的公司核心SaaS環境的身分識別治理證明,因為Microsoft 365正是客戶資料、智慧財產與財務紀錄實際存放之處。一份乾淨、近期完成的稽核,能讓這兩種對話從臨時抱佛腳變成例行公事。
M365 與 Entra ID 稽核實際檢查什麼
一份範疇界定完善的稽核會涵蓋九大領域。每一項都對應到不同的攻擊路徑,因此漏掉任何一項,留下的都是實際存在的缺口,而非理論上的風險。
1. Secure Score 基準線
Microsoft Secure Score 是單一數字,但它應該是起點,而非終點。稽核會逐條檢視背後的建議項目,剔除不適用於貴公司授權方案或營運模式的項目,並將其餘項目視為具優先順序的待辦清單,而非單純為了追分而追分。
2. Entra ID 條件式存取原則
條件式存取是決定誰能登入、從何處登入、使用什麼裝置、在何種風險條件下登入的原則引擎。稽核會檢查原則是否確實涵蓋每一位使用者(排除緊急備援帳戶的原則沒問題;但若悄悄排除了半個業務團隊就有問題了)、舊版「安全預設值」是否已被租用戶專屬原則取代,以及高風險登入是否會觸發二次驗證,而不是完全不作為。
3. MFA 覆蓋率
重點不是「MFA有沒有啟用」——在管理主控台上技術性啟用的比例,與實際強制執行的覆蓋率,往往是兩個相差甚遠的數字。稽核會量測每位使用者的實際強制執行狀況,檢查服務帳戶與共用信箱是否被悄悄排除在外(這是常見且危險的漏洞),並確認特權帳戶是否專門提供防釣魚驗證方式。
4. Purview DLP(資料外洩防護)
Microsoft Purview 的 DLP 引擎可以封鎖或標記透過電子郵件、Teams 或 SharePoint/OneDrive 外流的敏感資料——但前提是原則必須真正針對貴公司業務中重要的資料類型設定(客戶財務紀錄、原始碼、受PDPA/PDPO/APPI規範的個人資料)。稽核會依貴公司實際的資料類型檢查原則涵蓋範圍,而不只是仰賴開箱即用的範本。
5. Exchange Online 與信箱強化
信箱規則是已取得立足點的攻擊者偏愛的持久化手法之一——一條靜默轉寄規則能在無人察覺的情況下,連續數月外洩每一張發票與合約。稽核會檢視收件匣轉寄規則、郵件流程連接器、防釣魚與防偽造原則(SPF/DKIM/DMARC),以及外部寄件者警示。
6. Intune 裝置合規性
若裝置未註冊且不合規,那麼依賴裝置狀態的條件式存取原則對它就形同虛設。稽核會檢查註冊涵蓋率、合規原則的嚴謹程度(磁碟加密、作業系統修補等級、越獄/root偵測),以及不合規裝置是否確實被封鎖存取公司資料,還是僅僅收到提醒而已。
7. 管理員角色氾濫
每一個常設的全域管理員都是常設的風險。稽核會盤點誰持有 Entra ID 特權角色、其中有多少是永久指派、多少是透過特權身分識別管理(PIM)即時授予,以及是否有離職員工或早已終止合作的廠商仍持有沒人記得撤銷的角色——這是一項驚人地常見的發現。
8. 來賓存取與外部共用
B2B協作既真正有用,也真正有風險——兩者往往同時存在。稽核會檢視來賓使用者的生命週期管理(專案結束後是否會檢視並移除來賓,還是就此無限期累積下去)、SharePoint/OneDrive 預設的外部共用設定,以及「知道連結的任何人」共用選項是否在整個租用戶中預設可用。
9. 舊版驗證通訊協定
像 POP、IMAP 以及較舊版的 Exchange ActiveSync 連線等舊版通訊協定,不支援新式驗證,也完全無法受條件式存取或MFA保護——這使其成為針對 Microsoft 365 租用戶進行憑證填充攻擊時最常見的入侵管道。稽核會確認舊版驗證是否已被完全封鎖,而不僅是降低優先順序,並檢查是否有任何舊版應用程式註冊悄悄留著後門。
自助掃描工具 vs. 委外管理式 M365 稽核
兩種做法都能找出問題;差別在於找出問題之後會發生什麼事。
自助工具(Qualys/Tenable式掃描器): 對貴租用戶執行自動化檢查並產出報告——通常是數百項結果,附上通用的嚴重程度標籤,沒有關於哪些項目對貴公司業務真正重要的脈絡,也沒有協助解讀 Microsoft 自身時而互相矛盾的建議。貴公司團隊仍須自行分類、排序優先順序,並逐一落實每項修補。
Brocent委外管理式稽核: 由合格工程師依貴公司實際授權方案、業務脈絡與法規暴險程度,檢視相同的九大領域,交付一份依真實可被利用風險排序(而非通用CVSS分數)的優先順序調查結果報告,並可視需要直接落實已核准的補救措施,而不只是丟給您一份清單。對大多數沒有專職資安人力的亞太中型企業團隊而言,這正是委外服務的全部價值所在。
Brocent 快速安全檢查如何運作
Brocent 提供依租用戶使用者人數分級定價的 Microsoft 365 安全稽核(快速安全檢查),定價隨貴公司規模成長而可預測地調整,不必每次都重新報價。稽核會針對貴公司實際租用戶設定,逐一檢視上述九大領域,產出依可被利用性與貴公司所在亞太司法管轄區法規相關性排序的調查結果報告——如您需要,Brocent 也可直接落實優先修補項目,而不只是留下一份文件讓您自行處理。
對於同時營運地端或混合式基礎架構、並搭配 Microsoft 365 使用的組織,此服務可自然搭配弱點掃描;對於希望持續監控而非僅做單次檢查的團隊,則可搭配我們更廣泛的管理式IT安全服務。正在建立完整安全基準的企業,有時會將兩種稽核類型一併搭售——詳見安全入門套組了解此套裝方案。
稽核開始前該如何準備
稽核本身在貴公司這一側只需要極少的準備工作,但提供幾項資訊能大幅加快進度,也能讓最終的調查結果報告更精準。
租用戶管理員存取權限: 稽核人員需要一個臨時、範圍受限的唯讀角色(例如全域讀取者,或功能同樣受限的內建角色,絕不應是常設的全域管理員授權),以便檢視 Entra ID、Exchange Online、Intune 與 Purview 的設定,而本身不具備任何變更能力。
授權方案盤點: 了解實際指派(而非僅是採購)的 Microsoft 365 與 Entra ID 授權層級,可讓稽核人員區分「尚未設定」的問題與「方案本身不支援」的問題,這對排序優先順序影響甚大。
法規背景: 貴公司資料涉及哪些司法管轄區(中國大陸、香港、新加坡、馬來西亞、台灣、日本,或多地並存),會改變哪些調查結果具有合規權重、哪些純屬良好實務做法。事先說明這一點,能讓報告直接對應貴公司實際的法規義務,而非套用通用檢查清單。
指定內部負責人: 即使由 Brocent 直接落實補救措施,貴公司仍需有人具備核准會影響使用者體驗變更的權限——例如推行二次驗證,或封鎖少數老舊裝置仍依賴的舊版通訊協定。在稽核開始前指定該負責人,可避免調查結果報告送達後補救階段停滯不前。
以上這些在稽核開始前都不需要做到完美——稽核的部分任務,正是要揭露貴公司自身可視性上的落差,包括盤點本身的落差。從未對其 Microsoft 365 租用戶做過任何安全檢視的組織,應預期首次稽核會比後續的季度檢查找出更多問題;這是正常現象,也正是稽核存在的目的——建立這個基準線。
稽核之後會發生什麼事
一份躺在收件匣裡沒人讀的稽核報告,並不會降低風險。調查結果應轉化為三條軌道:數天內即可落實的速贏項目(封鎖舊版驗證、補上明顯的來賓存取漏洞)、需要變更管理或使用者溝通的範疇界定補救計畫(推行防釣魚MFA、收緊條件式存取),以及定期覆核週期——通常以季為單位——因為 Microsoft 本身建議的基準線會隨新功能上線而變動。受等保、PDPA、PDPO 或 APPI 義務規範的組織,應將稽核報告與補救證據留存備查;這正是監管機關、保險公司或投資人會要求查看的內容。
讓證據留存保持實用而非流於形式:一份標註日期的調查結果報告、一份記錄變更內容與時間的補救日誌,以及監管機關與保險公司最常直接要求查看的少數幾項控制項(條件式存取原則、MFA強制執行、DLP規則)的螢幕截圖或匯出設定快照。這類資料夾若能在每次季度覆核後持續更新,在實際的盡職調查對話中,其價值遠勝於事後才製作的精美簡報。
常見問題
Microsoft 365 與 Entra ID 安全稽核需要多久時間?
標準租用戶檢視從啟動到最終調查結果報告,通常需要一到兩週,實際時間取決於租用戶規模,以及九大檢視領域中有多少項適用於貴公司的授權方案。複雜的混合式身分識別環境(地端AD同步至Entra ID)通常會落在較長的一端。
是否需要特定的 Microsoft 365 授權層級,這項稽核才有意義?
不需要。即使是 Business Standard 與 Business Premium 租用戶也能受益——九大領域中大多數項目(MFA、信箱強化、來賓存取檢視、舊版驗證)不論授權層級皆可使用。較高層級(E5,或Entra ID P2、Purview附加元件等外掛)能解鎖更進階的控制項,例如風險導向條件式存取與更深入的DLP,稽核會在相關情況下將其標註為建議升級項目,而非假設貴公司已經擁有這些功能。
這跟滲透測試一樣嗎?
不一樣。滲透測試是主動嘗試從外部入侵貴公司環境;而 M365/Entra ID 稽核則是對租用戶本身進行設定與治理檢視。兩者互為補充——許多組織會先進行設定稽核以補上明顯漏洞,再進行滲透測試驗證剩餘風險。
哪些亞太法規真正要求這類稽核?
等保、PDPA(新加坡/馬來西亞/台灣)、PDPO(香港)或APPI(日本)都沒有明確點名「Microsoft 365稽核」——它們要求的是可被證明、恰當的個人與業務資料安全控管。由於 Microsoft 365 與 Entra ID 通常正是亞太中型企業這類資料的存放之處,稽核就是產出這些法規實際要求證據的實務做法。
這類稽核最常見的發現是什麼?
MFA強制執行不完整——許多組織以為MFA已經「開啟」,因為大多數使用者確實已啟用,卻沒意識到服務帳戶、共用信箱或少數舊版通訊協定連線,悄悄被排除在外。舊版驗證未封鎖則是次常見的發現。
Brocent 能修補稽核找出的問題,還是只提供報告?
兩者皆可。快速安全檢查包含調查結果報告,Brocent 也可以在同一次委託中,直接落實已核准的補救措施,而不必留給貴公司內部團隊處理。
我們應該多久重新執行一次稽核?
對大多數中型企業租用戶而言,每季執行一次是合理的預設頻率,並在發生重大變動後(併購、新增法規義務、人員大幅異動,或組織任何一處發生資安事件)另外安排臨時稽核。
這項稽核是否也涵蓋我們的地端基礎架構?
快速安全檢查的範疇僅限於 Microsoft 365 與 Entra ID 雲端租用戶。若需涵蓋地端與混合式基礎架構,可搭配弱點掃描服務,或若您正從零開始建立安全基準,可從整合式的安全入門套組開始。
若貴組織在中國、香港、新加坡、馬來西亞、台灣或日本任何一地營運,且過去十二個月內未曾檢視其 Microsoft 365 與 Entra ID 設定,這項落差值得在監管機關、保險公司或投資人搶先提出前先行補上。聯絡我們為貴租用戶安排一次快速安全檢查範疇界定,或參閱目前的價格方案了解Brocent所有安全服務。
分享:
📬 亞太IT月報
中國合規動態、網絡安全預警及亞太IT實踐指南,每月一期。
不發垃圾郵件,隨時可取消訂閱。