为何选择 FINOS
超越一次性脚本与孤立的审计工具
- ✓持久多租户扫描历史,支持跨次运行的趋势分析
- ✓与客户记录、合同及资产管理对齐的客户关联运营
- ✓与 FINOS 权限体系集成的基于角色的访问控制
- ✓加密凭证存储,敏感操作需操作员二次认证
- ✓带审批门禁的正式整改工作流及可导出整改报告
- ✓将扫描快照中的目录与设备同步至 FINOS 资产与身份视图
审计引擎
八个领域专项评估模块
扫描通过 Celery 异步执行,进度实时可见。单个模块失败仅记录并跳过 — 仅灾难性认证失败会将运行标记为失败。Intune 与 Defender 模块根据活跃 Microsoft 365 SKU 自动启用。
身份与多因素认证
评估所有已启用用户的身份卫生与多因素认证态势 — MFA 缺口、陈旧密码及用于资产同步的目录快照。
严重 · 高 · 中风险用户与登录
呈现 Identity Protection 风险信号及过去七天内风险等级升高的异常登录活动。
高 · 中特权角色
审计高影响 Azure AD 目录角色成员 — 全局管理员、安全管理员等,并检测过度配置的管理员。
严重 · 高 · 信息应用程序权限
识别过度授权的企业应用程序及暴露危险应用程序或委派范围的风险 OAuth2 委托授权。
严重 · 高条件访问缺口
评估条件访问策略覆盖 — 旧式身份验证阻断、MFA 强制及基于风险的策略是否符合最佳实践。
严重 · 高 · 中Intune 设备合规
评估 Intune 管理设备的终端管理态势 — 合规失败、加密缺口、陈旧同步及缺失合规策略。
高 · 中Microsoft Defender — 安全警报
呈现 Microsoft Defender XDR 的活跃威胁检测信号 — 未关闭的严重与高优先级警报及进行中的安全事件。
严重 · 高Defender for Endpoint
通过 Defender for Endpoint API 深度评估终端漏洞与暴露 — 暴露评分、严重 CVE 实例及整体租户风险。
严重 · 高核心优势
面向 MSP 与企业的生产级态势管理
不同于独立审计脚本或一次性 PowerShell 报告,FINOS IT 安全审计将统一、可审计、客户感知的安全工作流直接融入日常 FINOS 运营。
8
审计领域
0–100
风险评分
PDF + Excel
导出格式
24/7
计划扫描队列
- ✓基于罚分的 0–100 风险评分,含良好、中等、较差与严重等级
- ✓与上次完成扫描对比的趋势指示(改善、恶化、持平)
- ✓在线报告、PDF(WeasyPrint)及多工作表 Excel 导出
- ✓每日或每周计划扫描,以及按租户按需触发
- ✓发现项管理含确认工作流及客户导航侧栏
- ✓整改计划完整生命周期:草稿 → 已提交 → 已批准 → 进行中 → 已完成
应用场景
为大规模 Microsoft 365 审计团队而设计
主要用户包括安全审计员、MSP 工程师、IT 管理员及负责 Microsoft 365 与 Entra ID 租户安全态势的合规官。
托管服务提供商
对多个客户 Azure AD 租户运行自动安全扫描,保留持久历史、客户关联发现项及可导出的客户审计报告。
企业安全团队
通过计划扫描、趋势分析及与内部安全治理对齐的正式整改跟踪,持续掌握 M365 态势可见性。
合规官与审计员
为监管与内部审计项目产出结构化发现项、风险排序报告及整改签收文档。
典型工作流
从租户注册到可衡量的改进
注册 M365 租户
添加租户配置及 Azure AD 应用注册凭证,可选关联 FINOS 客户,并设置扫描计划(每日、每周或仅手动)。
运行安全扫描
按需触发或由计划 Celery 任务排队。仪表板实时显示进度与当前模块名称。
审阅发现项与风险评分
按严重级别、模块与客户筛选发现项。打开含执行摘要与模块统计的交互式在线报告。
同步资产与目录
将 Intune 设备推入 FINOS 资产,并从扫描快照更新 Azure AD 用户与组。
创建整改计划
选择严重与高优先级发现项,提交审批,跟踪逐项解决进度,并导出带签收的整改 PDF。
重新扫描与趋势对比
运行后续扫描,对比最近五次完成运行的风险评分趋势以验证改进效果。
报告与整改
可操作的智能输出 — 在线、PDF 与 Excel
每次完成的扫描为各层级利益相关者产出结构化输出 — 从执行摘要到逐项整改指导。
交互式在线报告
全宽评估报告含风险仪表、严重级别卡片、模块统计、可折叠发现项面板及五次扫描趋势时间线。
PDF 审计报告
通过 WeasyPrint 导出专业 A4 报告,含客户徽标、执行摘要、模块网格及与在线报告对齐的发现项卡片。
Excel 工作簿
多工作表导出,含摘要、全部发现项及身份与访问领域分模块工作表。
整改计划治理
将审计发现项转化为带审批门禁的受管整改项目,工作开始前须经批准。
安全与信任
企业级凭证与访问控制
客户租户凭证不会在 API 响应中返回。敏感操作需操作员完成 Microsoft 365 重新认证,二次认证会话有效期 30 分钟。
- ✓客户端密钥使用 Fernet 对称加密静态存储
- ✓测试连接及凭证新增/编辑流程需操作员二次认证
- ✓FINOS 动态 RBAC — 查看、读取、运行、导出及整改审批的细粒度权限
- ✓扫描结果存储于 FINOS 数据库;Graph API 调用由 FINOS 后端向客户租户发起
- ✓操作员身份(谁运行 FINOS)与被审计租户凭证相互分离
FINOS 平台
深度融入日常运营
模块面向生产级 MSP 与企业使用而设计 — 而非与客户及资产记录脱节的独立工具。
客户
租户配置关联 FINOS 客户记录;发现项与资产可按客户筛选,并显示聚合严重级别徽章。
资产 (MVServices)
Intune 设备同步创建或更新资产记录,映射 intune_device_id 并按合规状态设置资产状态。
用户管理
通过数据迁移注册的动态 RBAC 权限;用户详情页可见 M365 MFA 状态。
帮助中心
在 IT 审计类别下预置七篇上下文帮助文章 — 凭证、权限及专家指南。
常见问题
常见问答
这与博迅 IT 评估与审计服务有何不同? +
博迅 IT 评估与审计是由顾问主导的服务,提供固定范围项目审计及亚太合规映射。FINOS IT 安全审计是 FINOS 平台内的自动化软件模块,用于持续 Microsoft 365 租户扫描、多租户历史及整改工作流管理。许多团队两者结合使用 — FINOS 自动扫描用于持续态势,博迅顾问用于深度合规项目。
需要哪些 Microsoft 365 许可证? +
核心身份、访问与应用程序模块在具备相应 Graph API 权限的任何租户上均可运行。Intune 设备合规模块在 SKU 包含 Intune、EMS、M365 或 Business 计划时启用。Defender 模块在 SKU 包含 Defender、ATP、M365 或 Business 时启用。若 SKU 检测失败,条件模块默认启用并在权限缺失时优雅降级。
扫描数据存储在哪里? +
扫描结果、发现项与整改计划存储在 FINOS PostgreSQL 数据库中。Microsoft Graph 与 Defender API 调用由 FINOS 后端向客户租户发起 — 数据驻留遵循您的 FINOS 部署位置。
支持哪些扫描计划? +
按租户配置支持每日、每周或仅手动计划。Celery Beat 每日 02:30(香港时间)为符合条件的配置排队。可随时从仪表板触发按需扫描。
需要哪些 Azure AD 权限? +
每个客户租户需应用注册及 Microsoft Graph 应用程序权限(非委派)— 包括 User.Read.All、Directory.Read.All、Policy.Read.All 及 Intune 与 Defender 的模块专属权限。须在客户租户中授予管理员同意。联系我们获取完整专家权限清单。
相关服务
以专家交付补充自动扫描
将 FINOS IT 安全审计与博迅人工主导的安全与审计服务结合,实现端到端态势改进。