B BROCENT

亚太地区 Microsoft 365 与 Entra ID 安全审计指南:检查哪些内容,为何如此重要

全面解读 Microsoft 365 与 Entra ID 安全审计究竟检查哪些内容,为何亚太监管机构与投资人日益要求企业完成此项审计,以及博圣 Quick Security Check 如何提供支持。

Team of IT security professionals reviewing Microsoft 365 and Entra ID audit findings on screens in a security operations room
一句话总结: Microsoft 365 与 Entra ID 安全审计会检查安全分数(Secure Score)、条件访问策略、MFA 覆盖率、Purview 数据防泄漏(DLP)、邮箱安全加固、Intune 设备合规、管理员权限蔓延、访客访问以及旧版身份验证协议——这九个方面正是攻击者与监管机构真正关注的重点。在亚太地区,这类审计已日益成为满足等保、PDPA、PDPO、APPI 合规要求以及投资人与保险公司尽职调查的标配环节。

Microsoft 365 与 Entra ID 安全审计到底是什么?

Microsoft 365 与 Entra ID 安全审计,是对企业云端身份与协同办公环境配置的一次结构化审查——它不是渗透测试,也不是走过场的一次性合规打钩。绝大多数使用 Microsoft 365 的企业,其租户配置仍停留在最初部署时的默认状态,从未做过系统性复查。与此同时,微软几乎每个季度都会向租户推送新的安全能力,但这些能力绝大多数都不会自动生效。

审计的核心工作,是把租户在身份、邮件、设备、数据四个层面的真实配置,与已知的安全基线逐项比对,找出所有差距,并按照真实可被利用的风险程度排序。做得到位的审计,最终交付的应该是一份可执行的整改优先级清单,而不是一份没人会读的四十页合规报告。关于审计与漏洞扫描服务在本地区的定价情况,可参阅我们的配套价格指南。

为什么亚太企业现在就需要这项审计

两股力量正在同时向亚太企业施压:日趋严格的数据保护立法,以及越来越多要求在合作前出示安全治理证据的第三方。这两种压力都不是纸面上的假设,而且越来越多地指向 Microsoft 365 与 Entra ID——因为这正是绝大多数亚太中型企业存放邮件、文件与身份信息的地方。

中国大陆:网络安全等级保护制度(等保 2.0)

根据中国《网络安全等级保护制度》(等保 2.0),二级以上信息系统的运营者需要在身份管理、访问控制、数据保护及审计日志等方面展示已文档化并经过测试的安全控制措施,并由具备资质的测评机构定期评估。对于运营面向中国业务的 Microsoft 365 租户,或采用本地 Active Directory 与 Entra ID 混合身份架构的外商投资企业而言,其访问控制与日志留存能力必须经得起这类测评的检验——在正式测评前先做一次内部审计,是业内规避意外风险的通行做法。

香港:《个人资料(私隐)条例》(PDPO)

香港《个人资料(私隐)条例》(PDPO)要求资料使用者采取一切「切实可行的步骤」保护个人资料,免受未经授权或意外的查阅。个人资料私隐专员公署的指引中明确将访问控制与员工设备管理列为应有的「切实可行步骤」之一。对于持有香港证监会牌照的资产管理公司等受监管机构而言,标准更高——证监会自身发布的网络安全通函要求 MFA、特权访问控制与补丁管理必须可被证明,而不仅仅是口头声称已经落实。我们在香港 SFC 9 号牌与 IT 安全指南中对此有详细介绍。

新加坡与马来西亚:PDPA

新加坡与马来西亚的《个人资料保护法》(PDPA)均要求企业采取「合理的安全措施」履行数据保护义务,两地监管机构(新加坡 PDPC、马来西亚个人资料保护部门)均曾发布执法决定,其认定依据正是缺失 MFA、权限过度授予的账户,或未受监控的管理员访问——这些恰恰是 M365/Entra ID 审计所要捕捉的类别。新加坡 PDPC 同时要求企业制定成文的数据泄露管理计划,而若不先厘清自身的真实风险敞口,这样的计划很难写得站得住脚。

台湾:《个人资料保护法》

台湾《个人资料保护法》要求企业根据所持数据的敏感程度,采取「适当的安全措施」,而金融监督管理委员会等行业主管机关又会在此基础上叠加更具体的技术要求,包括访问日志与身份控制。由于台湾 PDPA 的执法往往通过各行业主管机关而非单一中央机构进行,其实际落地要求——可被证明的访问治理——与 Entra ID 审计所评估的内容高度契合。

日本:《个人信息保护法》(APPI)

日本《个人信息保护法》(APPI)要求经营者对个人信息采取「必要且适当」的安全管理措施,个人信息保护委员会(PPC)的指引进一步细化,将访问控制、访问监控以及物理与技术防护措施均列为明确类别。APPI 规定的向 PPC 通报数据泄露的义务,也促使企业在事故迫使其披露之前,主动了解自身真实的安全状况。

投资人与保险公司的尽职调查压力

抛开监管因素不谈,两股商业力量也在朝同一个方向施压。网络安全保险公司在承保或续保前,越来越多地要求企业完成安全问卷调查——涵盖 MFA 强制执行、条件访问、特权账户控制等内容,并且一旦发生安全事件,会以这些环节的缺失为依据拒赔。而在融资或并购前进行技术尽职调查的投资人,也会例行要求目标公司提供针对其核心 SaaS 环境的身份治理证据,因为 Microsoft 365 正是客户数据、知识产权与财务记录的实际存放地。一份干净、及时的审计报告,能把这两类对话从临阵磨枪变成走个流程。

M365 与 Entra ID 审计究竟检查哪些内容

一次范围界定合理的审计会覆盖九个方面。每一项都对应一条独立的攻击路径,遗漏其中任何一项都会留下真实的、而非理论上的风险敞口。

1. 安全分数(Secure Score)基线

Microsoft Secure Score 是一个数字,但它是起点,不是目标。审计会逐条查看其背后的建议,剔除与企业所持许可证级别或业务模式不符的项目,并将剩余部分作为优先级待办清单,而不是为了刷分而刷分。

2. Entra ID 条件访问策略

条件访问是决定谁能登录、从何处登录、使用何种设备登录以及在何种风险条件下登录的策略引擎。审计会检查策略是否真正覆盖所有用户(排除应急账户是合理的,悄悄排除半个销售团队则不是),旧版「安全默认设置」是否已被针对本租户定制的策略取代,以及高风险登录是否会触发二次验证,而不是被直接放行。

3. MFA 覆盖率

关键不是「MFA 是否已启用」——管理控制台中显示的技术启用状态,与实际强制执行的覆盖率,往往是两个相差甚远的数字。审计会衡量按用户维度的真实强制执行情况,检查服务账户与共享邮箱是否被悄悄豁免(这是常见且危险的漏洞),并核实特权账户是否具备抗钓鱼的验证方式。

4. Purview 数据防泄漏(DLP)

Microsoft Purview 的 DLP 引擎可以拦截或标记通过邮件、Teams、SharePoint/OneDrive 外泄的敏感数据——但前提是策略针对企业真正关心的数据类型(客户财务记录、源代码、受 PDPA/PDPO/APPI 约束的个人数据)已被正确配置。审计会将策略覆盖范围与企业真实的数据类型逐一比对,而不仅仅依赖开箱即用的模板。

5. Exchange Online 与邮箱安全加固

邮箱规则是攻击者站稳脚跟后最常用的持久化手段之一——一条静默转发规则可以在数月内不被发现地窃取每一份发票与合同。审计会审查收件箱转发规则、邮件流连接器、反钓鱼与反仿冒策略(SPF/DKIM/DMARC),以及外部发件人警示设置。

6. Intune 设备合规

如果设备未被纳管并处于合规状态,那么依赖设备状态的条件访问策略在该设备上就无法真正生效。审计会检查纳管覆盖率、合规策略的严格程度(磁盘加密、操作系统补丁级别、越狱/root 检测),以及不合规设备是否真的被阻止访问公司数据,还是仅仅收到一条提示。

7. 管理员权限蔓延

每一个常驻的全局管理员账户都是一项常驻风险。审计会盘点谁持有 Entra ID 特权角色,其中有多少是永久性分配、多少是通过特权身份管理(PIM)实现的即时授权,以及是否存在已离职员工或早已终止合作的供应商仍持有从未被回收的权限——这在实际审计中出现的频率高得惊人。

8. 访客访问与外部共享

B2B 协作既真正有用,也真正存在风险,二者往往同时成立。审计会审查访客账户的生命周期管理(项目结束后访客是否被及时清理,还是无限期累积下去)、SharePoint/OneDrive 的默认外部共享设置,以及「知道链接即可访问」这类共享方式是否在整个租户范围内默认开放。

9. 旧版身份验证协议

POP、IMAP 等旧版协议以及较老的 Exchange ActiveSync 连接不支持现代身份验证,也完全无法被条件访问或 MFA 保护——这使其成为针对 Microsoft 365 租户的撞库攻击中最常见的入口。审计会确认旧版身份验证是否被彻底阻断,而不只是降低了优先级,同时排查是否存在悄悄留有后门的旧版应用注册。

自助扫描工具 vs. 托管式 M365 审计

两种方式都能发现问题,区别在于发现之后会发生什么。

自助扫描工具(类 Qualys/Tenable 产品): 对租户运行自动化检查并输出报告——往往是数百条带有通用严重等级标签的发现项,缺乏对企业业务真正重要与否的判断,也无法帮助解读微软自身相互矛盾的一些建议。团队仍然需要自行完成分诊、排序与逐项落实。

博圣(Brocent)托管审计: 由具备资质的工程师,结合企业实际所持许可证、业务背景与监管风险敞口,逐一审查上述九个方面,交付按真实可被利用程度(而非通用 CVSS 评分)排序的优先级发现报告,并且可以直接落地实施已达成一致的整改方案,而不只是甩给企业一份清单。对于没有专职安全团队的大多数亚太中型企业而言,这正是此类服务的核心价值所在。

博圣 Quick Security Check 服务如何运作

博圣提供按租户用户数量分档定价的 Microsoft 365 安全审计(Quick Security Check),定价随企业规模增长而可预期地调整,无需每次都重新报价。该审计会针对企业租户的实际配置,逐一检查上述九个方面,交付一份按可被利用程度与所在亚太司法辖区监管相关性排序的发现报告;如企业有需要,博圣也可以直接落地实施优先级最高的整改项,而不是把文档留给企业自行处理。

对于同时运行本地或混合基础设施的企业,该服务可与漏洞扫描自然搭配;对于希望获得持续监控而非单次快照式检查的团队,也可与我们更全面的托管 IT 安全服务结合使用。部分企业在从零搭建完整安全基线时,会选择将两类审计打包——可参阅安全启动套餐了解该组合方案。

审计完成之后会发生什么

一份放在收件箱里无人问津的审计报告,并不会降低任何风险。发现项应转化为三条落地路径:数日内即可完成的「速赢」整改(如阻断旧版身份验证、关闭明显的访客访问漏洞),需要变更管理或用户沟通配合的范围化整改计划(如推行抗钓鱼 MFA、收紧条件访问策略),以及一个周期性复审节奏——多数企业以每季度一次为宜,因为微软自身推荐的安全基线会随新功能上线而持续变化。受等保、PDPA、PDPO 或 APPI 约束的企业,应妥善留存审计报告与整改证据;这正是监管机构、保险公司或投资人日后最有可能索要的材料。

常见问题

一次 Microsoft 365 与 Entra ID 安全审计通常需要多长时间?

标准的租户审查从启动到交付最终发现报告,通常需要一到两周,具体取决于租户规模以及九个审查方面中有多少项适用于企业所持的许可证级别。复杂的混合身份环境(本地 AD 与 Entra ID 同步)通常耗时会更长一些。

是否必须持有特定的 Microsoft 365 许可证级别,这次审计才有意义?

不需要。即使是 Business Standard 与 Business Premium 级别的租户也能从中受益——九个方面中的多数(MFA、邮箱安全加固、访客访问审查、旧版身份验证排查)与许可证级别无关。更高级别的许可证(如 E5,或 Entra ID P2、Purview 附加组件)会解锁更高级的能力,例如基于风险的条件访问与更深入的 DLP,审计会在相关的地方将其标注为建议升级项,而不是默认企业已经具备这些能力。

这与渗透测试是一回事吗?

不是。渗透测试是从外部主动尝试攻破企业环境;M365/Entra ID 审计则是对租户本身配置与治理的审查。两者互为补充——很多企业会先做一次配置审计,堵上明显的漏洞,再进行渗透测试来验证剩余风险。

亚太地区哪些法规真正要求这类审计?

等保、PDPA(新加坡/马来西亚/台湾)、PDPO(香港)与 APPI(日本)都没有专门点名要求「Microsoft 365 审计」——它们要求的是对个人与业务数据采取可被证明、适当的安全控制措施。而对绝大多数亚太中型企业而言,这些数据的实际存放地正是 Microsoft 365 与 Entra ID,因此审计是产出这些法规真正要求的证据的实际途径。

这类审计中最常见的发现是什么?

MFA 强制执行不完整——企业往往认为 MFA 「已经开启」,因为大多数用户确实启用了,却没有意识到服务账户、共享邮箱,或少数旧版协议连接被悄悄豁免在外。旧版身份验证未被阻断则是第二常见的发现。

博圣能否直接修复审计发现的问题,还是只出具报告?

两者都可以。Quick Security Check 服务包含发现报告,博圣也可以作为服务的一部分,直接落地实施已达成一致的整改方案,而不是把修复工作全部留给企业内部团队。

这类审计应该多久重新做一次?

对多数中型企业租户而言,每季度一次是合理的默认节奏,此外在发生重大变化时(如并购、新增监管义务、人员规模显著变化,或组织内任何地方发生安全事件)应额外安排一次专项审计。

这项审计是否也覆盖本地基础设施?

Quick Security Check 的范围界定在 Microsoft 365 与 Entra ID 云端租户。若涉及本地或混合基础设施,可搭配漏洞扫描一起使用;如果企业希望从零搭建完整安全基线,也可以从组合方案安全启动套餐入手。

如果贵公司业务覆盖中国大陆、香港、新加坡、马来西亚、台湾或日本任何一个市场,且过去十二个月内未曾系统性复查 Microsoft 365 与 Entra ID 配置,这项差距值得在监管机构、保险公司或投资人主动询问之前先行补齐。联系我们,为贵公司租户安排一次 Quick Security Check,或查看博圣全部安全服务的当前定价

分享:

立即采取行动

将这些洞察转化为您企业的IT路线图。

预约15分钟免费咨询,与我们的亚太IT专家交流。我们将评估您的现有环境,并在24小时内提供定制化IT发展路线图。

📋

免费清单

进入大中华区IT部署前必须检查的10项关键事项

PIPL合规、网络分段、双语服务台配置等——企业进入中国大陆第一天所需的完整IT准备清单。

获取清单 →