Как надёжно настроить безопасность в Microsoft 365

TL;DR

MFA, антивирусное сканирование вложений, антифишинг и Smart Lockout — четыре ключевых механизма повышения безопасности Microsoft 365. Включите Security Defaults или активируйте отдельные политики через Microsoft 365 Admin Center и Azure AD, разверните MFA для пользователей и следуйте чек‑листам для администраторов и конечных пользователей.

Microsoft 365 значительно вырос с точки зрения безопасности: базовые механизмы дополнились автоматическим сканированием вложений, защитой от фишинга и мерами против программ-вымогателей. План Microsoft 365 Business включает расширенные возможности, которые обычно требуют ручной активации. В этой статье — пошаговые инструкции, рекомендации по развёртыванию и практические чек‑листы для администраторов и пользователей.

Important: прежде чем вносить изменения, согласуйте план с отделом ИТ и подготовьте канал связи для своевременной поддержки пользователей.

Почему это важно

• MFA значительно снижает риск компрометации учётных записей при утечке паролей.
• Блокировка опасных вложений и политики антифишинга помогают предотвратить заражения и утечку данных.
• Smart Lockout защищает от брутфорс-атак и снижает объём инцидентов безопасности.

Ключевые понятия (в одну строку)

• MFA: подтверждение входа через второй фактор (SMS или приложение-аутентификатор).
• Anti-malware: фильтрация и блокировка опасных вложений.
• Anti-phishing: правила и эвристики для обнаружения фальшивых писем.
• Smart Lockout: автоматическая блокировка входа при множественных ошибках пароля.

1. Как включить многофакторную аутентификацию (MFA)

Mногофакторная аутентификация — самый быстрый и эффективный способ повысить безопасность учётных записей Microsoft 365. После включения MFA пользователю дополнительно требуется ввести код из SMS или приложения‑аутентификатора.

Варианты развёртывания:

• Включить Security Defaults (быстро, покрывает базовые сценарии для всех пользователей).
• Настроить Conditional Access в Azure AD (гибкое управление, рекомендуется для корпоративных сред).

Включение через Microsoft 365 Admin Center (Security Defaults)

1. Войдите в Microsoft 365 Admin Center как администратор.
2. На левой панели навигации нажмите Show All и перейдите в Admin centers > Azure Active Directory.
3. В Azure Active Directory admin center выберите Azure Active Directory в верхней навигации.
4. На левой панели прокрутите вниз и выберите Properties.
5. Внизу страницы нажмите Manage Security Defaults.
6. Переключите слайдер в положение Yes и нажмите Save.

После этого MFA автоматически включится для всех пользователей (при включении Security Defaults).

Настройка MFA у пользователя (первый вход после включения)

1. Пользователь входит в свою учётную запись как обычно.
2. При входе появится запрос “требуется дополнительная информация” — нажмите Next.
3. Выберите предпочитаемый метод (SMS или приложение‑аутентификатор) и следуйте инструкциям.
4. Нажмите Save.

Notes: рекомендую использовать приложение‑аутентификатор (Microsoft Authenticator, Authy) вместо SMS — оно безопаснее против SIM‑swap атак.

2. Как включить анти‑вредоносное сканирование вложений (Anti‑malware)

Антивредоносная защита в Microsoft 365 автоматически блокирует и/или помечает опасные типы вложений (.js, .exe, .bat и др.), предотвращая запуск вредоносного кода на устройствах пользователей.

Пошаговая настройка:

1. Откройте Microsoft 365 Admin Center.
2. На левой панели нажмите Show More.
3. Перейдите в Admin Centers > Security & Compliance.
4. В меню выберите Threat Management > Policy.
5. На панели политики нажмите Anti‑malware.
6. Откройте политику Default (двойной клик).
7. Перейдите в Settings, в разделе Common Attachments Type Filter установите переключатель в положение On.
8. Нажмите Save.

Опции уведомлений:

• Уведомлять отправителя о блокировке вложения — включите при необходимости.
• Получать уведомления администратору — рекомендуется для оперативного отслеживания.

When it fails: анти‑малваре не гарантирует 100% защиту — комбинируйте с антивирусом на конечных устройствах и регулярными обновлениями ОС.

3. Как настроить антифишинг (ATP anti‑phishing)

Фишинг остаётся одним из основных векторов компрометации: цель — заставить пользователя отдать учётные данные или выполнить вредоносное действие.

Пошагово:

1. Войдите в Microsoft 365 Admin Center.
2. На левой панели в разделе Admin centers откройте Security.
3. Разверните Threat Management и выберите Policy.
4. На панели политики выберите ATP anti‑phishing.
5. Откройте политику Default.
6. В разделе Impersonation нажмите Edit.
7. Решите, кого защищать: Add users to protect или Add domains to protect.
8. Рекомендуется выбрать Add domains to protect и включить Automatically include the domains I own.
9. Перейдите в раздел Action и определите, какое действие применять к письмам, обнаруженным как имитация (quarantine, move to junk или удалить).
10. Включите Mailbox intelligence (переключатель On) — это помогает анализировать поведение отправителей и защищать от целенаправленных атак.
11. Нажмите Review your settings, затем Save.

Советы по тонкой настройке:

• Тестируйте новые правила на небольшой группе пользователей, прежде чем включить агрессивную блокировку для всей организации.
• Используйте списки доверенных отправителей и доменов для снижения ложных срабатываний.

4. Как включить Smart Lockout в Azure AD

Smart Lockout препятствует входу после множества неудачных попыток: это эффективно против брутфорса, но учтите, что при повторном вводе одного и того же неверного пароля учётная запись не будет бесконечно блокироваться.

Требования: лицензия Azure AD P1 или выше для пользователей, к которым применяется настройка.

Пошагово:

1. Войдите в Azure portal под учётной записью администратора.
2. Откройте Azure Active Directory.
3. Выберите Security затем Authentication methods > Password protection.
4. Установите Lockout threshold — число неудачных попыток, после которых срабатывает блокировка.
5. Установите Lockout duration in seconds — длительность блокировки.
6. Нажмите Save.

Критерии приёмки:

• Лимит попыток и длительность блокировки проверены в тестовой группе без нарушения бизнес‑процессов.
• Пользователи проинформированы о возможной блокировке и о процедуре восстановления доступа.

Рекомендации по развёртыванию (мини‑методология)

1. Оценка и приоритизация: определите критичные для бизнеса сервисы и пользователей (администраторы, руководители, финансы).
2. Тестирование: применяйте изменения сначала к пилотной группе (10–20% пользователей).
3. Мониторинг: собирайте метрики (логины, блокировки, обращения в службу поддержки).
4. Итерация: скорректируйте правила по результатам тестирования и мониторинга.
5. Широкое развёртывание: поэтапно включайте политику для всей организации.

Чек‑лист для администратора

• Включить Security Defaults или настроить Conditional Access.
• Активировать MFA для всех пользователей.
• Включить Anti‑malware и убедиться, что список типов вложений актуален.
• Настроить ATP anti‑phishing, добавить защищаемые домены.
• Включить Mailbox intelligence.
• Настроить Smart Lockout в Azure AD (при наличии лицензий).
• Подготовить коммуникацию для пользователей и инструкцию по восстановлению доступа.
• Настроить логирование и оповещения о событиях безопасности.

Чек‑лист для пользователя (коротко)

• Включить MFA (предпочтительно приложение‑аутентификатор).
• Не открывать подозрительные вложения и ссылки.
• Сообщать ИТ о странных письмах и запросах на ввод пароля.
• Использовать парольную фразу и менеджер паролей.

Модель принятия решений (Mermaid)

flowchart TD
  A[Начало: требуется улучшить безопасность?] --> B{MFA включен?}
  B -- Нет --> C[Включить Security Defaults или Conditional Access]
  B -- Да --> D{Антивредоносная защита включена?}
  D -- Нет --> E[Включить Anti‑malware в Security & Compliance]
  D -- Да --> F{Anti‑phishing настроен?}
  F -- Нет --> G[Настроить ATP anti‑phishing]
  F -- Да --> H{Smart Lockout настроен?}
  H -- Нет --> I[Настроить Smart Lockout в Azure AD]
  H -- Да --> J[Мониторинг и обучение пользователей]
  C --> J
  E --> J
  G --> J
  I --> J

Советы по снижению ложных срабатываний и поддержке пользователей

• Используйте режимы “только уведомление” при тестировании новых правил.
• Включите журналирование (audit logs) и централизованные оповещения для быстрых ответов.
• Подготовьте шаблоны писем и сценарии поддержки для разблокировки учётных записей.

Безопасность конечных устройств

Полная защита требует мер на уровне устройств: обновления ОС, включённый брандмауэр, актуальный антивирус/EDR, ограничение привилегий пользователей.

Конфиденциальность и соответствие (коротко)

Если в вашей организации обрабатываются персональные данные, согласуйте изменения с командой по защите данных. Настройки антифишинга и блокировки вложений могут влиять на бизнес‑трафик; документируйте политики для аудита и соответствия требованиям (например, GDPR).

Кому подходит каждый подход

• Security Defaults: малые и средние организации, быстрый старт.
• Conditional Access + Azure AD: средние и крупные компании с гибкими требованиями.
• ATP anti‑phishing + Mailbox intelligence: организации с высоким риском targeted‑атак.

Частые ошибки и когда это не сработает

• Оставлять MFA отключенным для администраторов — критическая ошибка.
• Прямое включение жёстких правил без пилота — вызывает большое количество обращений в поддержку.
• Ожидание, что одна функция полностью закроет все риски; безопасность требует многоуровневого подхода.

Краткое руководство на случай инцидента (runbook)

1. Изолировать пострадавшую учётную запись (временно сбросить сессии, отключить права).
2. Сменить пароли и принудительно включить MFA/дополнительные проверки.
3. Проверить логи входов и активность почты на предмет подозрительных пересылок.
4. Проанализировать вложения/файлы и запустить их через систему анализа угроз.
5. Сообщить заинтересованным сторонам и, при необходимости, регулятору.
6. Провести пост‑инцидентный разбор и внести корректировки в политики.

Часто задаваемые вопросы

Нужно ли включать MFA для всех сотрудников?

Да. MFA резко снижает вероятность несанкционированного доступа и рекомендуется включать для всех категорий пользователей.

Влияет ли включение Security Defaults на старые приложения?

Некоторые старые приложения могут не поддерживать современные методы аутентификации. Перед включением Security Defaults проверьте интеграции и при необходимости настройте исключения или используйте Conditional Access.

Что делать, если пользователи будут часто блокироваться из‑за Smart Lockout?

Проверьте параметры порога и длительности блокировки в тестовой группе, подготовьте процесс поддержки для разблокировки и внедрите уведомления для администраторов.

Заключение

Microsoft 365 предоставляет мощный набор инструментов для защиты почты и учётных записей: MFA, сканирование вложений, антифишинг и Smart Lockout. Наилучший результат даёт сочетание этих механизмов, поэтапное тестирование и подготовленная поддержка пользователей. Начните с MFA и Anti‑malware, затем постепенно добавляйте антифишинг и тонкие настройки Smart Lockout.

Summary:

• Включите MFA как приоритет.
• Включите анти‑вредоносное сканирование вложений и антифишинг.
• Настройте Smart Lockout и следите за метриками и инцидентами.