為何選擇 FINOS
超越一次性腳本與孤立的審計工具
- ✓持久多租戶掃描歷史,支援跨次運行的趨勢分析
- ✓與客戶記錄、合約及資產管理對齊的客戶關聯營運
- ✓與 FINOS 權限體系整合的基於角色的存取控制
- ✓加密憑證儲存,敏感操作需操作員二次認證
- ✓帶審批門禁的正式整改工作流及可匯出整改報告
- ✓將掃描快照中的目錄與裝置同步至 FINOS 資產與身份視圖
審計引擎
八個領域專項評估模組
掃描透過 Celery 非同步執行,進度即時可見。單個模組失敗僅記錄並跳過 — 僅災難性認證失敗會將運行標記為失敗。Intune 與 Defender 模組根據活躍 Microsoft 365 SKU 自動啟用。
身份與多因素認證
評估所有已啟用用戶的身份衛生與多因素認證態勢 — MFA 缺口、陳舊密碼及用於資產同步的目錄快照。
嚴重 · 高 · 中風險用戶與登入
呈現 Identity Protection 風險信號及過去七天內風險等級升高的異常登入活動。
高 · 中特權角色
審計高影響 Azure AD 目錄角色成員 — 全域管理員、安全管理員等,並偵測過度配置的管理員。
嚴重 · 高 · 資訊應用程式權限
識別過度授權的企業應用程式及暴露危險應用程式或委派範圍的風險 OAuth2 委託授權。
嚴重 · 高條件式存取缺口
評估條件式存取原則覆蓋 — 舊式身份驗證阻斷、MFA 強制及基於風險的原則是否符合最佳實務。
嚴重 · 高 · 中Intune 裝置合規
評估 Intune 管理裝置的端點管理態勢 — 合規失敗、加密缺口、陳舊同步及缺失合規原則。
高 · 中Microsoft Defender — 安全警報
呈現 Microsoft Defender XDR 的活躍威脅偵測信號 — 未關閉的嚴重與高優先級警報及進行中的安全事件。
嚴重 · 高Defender for Endpoint
透過 Defender for Endpoint API 深度評估端點漏洞與暴露 — 暴露評分、嚴重 CVE 實例及整體租戶風險。
嚴重 · 高核心優勢
面向 MSP 與企業的生產級態勢管理
不同於獨立審計腳本或一次性 PowerShell 報告,FINOS IT 安全審計將統一、可審計、客戶感知的安全工作流直接融入日常 FINOS 營運。
8
審計領域
0–100
風險評分
PDF + Excel
匯出格式
24/7
計劃掃描佇列
- ✓基於罰分的 0–100 風險評分,含良好、中等、較差與嚴重等級
- ✓與上次完成掃描對比的趨勢指示(改善、惡化、持平)
- ✓線上報告、PDF(WeasyPrint)及多工作表 Excel 匯出
- ✓每日或每週計劃掃描,以及按租戶按需觸發
- ✓發現項管理含確認工作流及客戶導覽側欄
- ✓整改計劃完整生命週期:草稿 → 已提交 → 已批准 → 進行中 → 已完成
應用場景
為大規模 Microsoft 365 審計團隊而設計
主要用戶包括安全審計員、MSP 工程師、IT 管理員及負責 Microsoft 365 與 Entra ID 租戶安全態勢的合規官。
託管服務提供商
對多個客戶 Azure AD 租戶執行自動安全掃描,保留持久歷史、客戶關聯發現項及可匯出的客戶審計報告。
企業安全團隊
透過計劃掃描、趨勢分析及與內部安全治理對齊的正式整改追蹤,持續掌握 M365 態勢可見性。
合規官與審計員
為監管與內部審計項目產出結構化發現項、風險排序報告及整改簽收文件。
典型工作流
從租戶註冊到可衡量的改進
註冊 M365 租戶
新增租戶配置及 Azure AD 應用程式註冊憑證,可選關聯 FINOS 客戶,並設定掃描計劃(每日、每週或僅手動)。
執行安全掃描
按需觸發或由計劃 Celery 任務排隊。儀表板即時顯示進度與目前模組名稱。
審閱發現項與風險評分
按嚴重級別、模組與客戶篩選發現項。開啟含執行摘要與模組統計的互動式線上報告。
同步資產與目錄
將 Intune 裝置推入 FINOS 資產,並從掃描快照更新 Azure AD 用戶與群組。
建立整改計劃
選擇嚴重與高優先級發現項,提交審批,追蹤逐項解決進度,並匯出帶簽收的整改 PDF。
重新掃描與趨勢對比
執行後續掃描,對比最近五次完成運行的風險評分趨勢以驗證改進效果。
報告與整改
可操作的智慧輸出 — 線上、PDF 與 Excel
每次完成的掃描為各層級利益相關者產出結構化輸出 — 從執行摘要到逐項整改指導。
互動式線上報告
全寬評估報告含風險儀表、嚴重級別卡片、模組統計、可摺疊發現項面板及五次掃描趨勢時間線。
PDF 審計報告
透過 WeasyPrint 匯出專業 A4 報告,含客戶徽標、執行摘要、模組網格及與線上報告對齊的發現項卡片。
Excel 工作簿
多工作表匯出,含摘要、全部發現項及身份與存取領域分模組工作表。
整改計劃治理
將審計發現項轉化為帶審批門禁的受管整改項目,工作開始前須經批准。
安全與信任
企業級憑證與存取控制
客戶租戶憑證不會在 API 回應中返回。敏感操作需操作員完成 Microsoft 365 重新認證,二次認證會話有效期 30 分鐘。
- ✓用戶端密鑰使用 Fernet 對稱加密靜態儲存
- ✓測試連接及憑證新增/編輯流程需操作員二次認證
- ✓FINOS 動態 RBAC — 查看、讀取、執行、匯出及整改審批的細粒度權限
- ✓掃描結果儲存於 FINOS 資料庫;Graph API 呼叫由 FINOS 後端向客戶租戶發起
- ✓操作員身份(誰執行 FINOS)與被審計租戶憑證相互分離
FINOS 平台
深度融入日常營運
模組面向生產級 MSP 與企業使用而設計 — 而非與客戶及資產記錄脫節的獨立工具。
客戶
租戶配置關聯 FINOS 客戶記錄;發現項與資產可按客戶篩選,並顯示聚合嚴重級別徽章。
資產 (MVServices)
Intune 裝置同步建立或更新資產記錄,映射 intune_device_id 並依合規狀態設定資產狀態。
用戶管理
透過資料遷移註冊的動態 RBAC 權限;用戶詳情頁可見 M365 MFA 狀態。
幫助中心
在 IT 審計類別下預置七篇上下文幫助文章 — 憑證、權限及專家指南。
常見問題
常見問答
這與博迅 IT 評估與審計服務有何不同? +
博迅 IT 評估與審計是由顧問主導的服務,提供固定範圍項目審計及亞太合規映射。FINOS IT 安全審計是 FINOS 平台內的自動化軟體模組,用於持續 Microsoft 365 租戶掃描、多租戶歷史及整改工作流管理。許多團隊兩者結合使用 — FINOS 自動掃描用於持續態勢,博迅顧問用於深度合規項目。
需要哪些 Microsoft 365 授權? +
核心身份、存取與應用程式模組在具備相應 Graph API 權限的任何租戶上均可執行。Intune 裝置合規模組在 SKU 包含 Intune、EMS、M365 或 Business 計劃時啟用。Defender 模組在 SKU 包含 Defender、ATP、M365 或 Business 時啟用。若 SKU 偵測失敗,條件模組預設啟用並在權限缺失時優雅降級。
掃描資料儲存在哪裡? +
掃描結果、發現項與整改計劃儲存在 FINOS PostgreSQL 資料庫中。Microsoft Graph 與 Defender API 呼叫由 FINOS 後端向客戶租戶發起 — 資料駐留遵循您的 FINOS 部署位置。
支援哪些掃描計劃? +
按租戶配置支援每日、每週或僅手動計劃。Celery Beat 每日 02:30(香港時間)為符合條件的配置排隊。可隨時從儀表板觸發按需掃描。
需要哪些 Azure AD 權限? +
每個客戶租戶需應用程式註冊及 Microsoft Graph 應用程式權限(非委派)— 包括 User.Read.All、Directory.Read.All、Policy.Read.All 及 Intune 與 Defender 的模組專屬權限。須在客戶租戶中授予管理員同意。聯繫我們獲取完整專家權限清單。
相關服務
以專家交付補充自動掃描
將 FINOS IT 安全審計與博迅人工主導的安全與審計服務結合,實現端到端態勢改進。