配置 Defender 與 Purview DLP 防護,是企業使用 Microsoft 365 的資安重點。許多公司僅將 M365 視為信箱與辦公工具,卻忽略雲端環境充斥釣魚郵件、假發票及機密外流等風險。未啟動防禦機制,就是讓漏洞暴露在第一線。本文提供 M365 資安最佳實務,協助 IT 主管與企業主掌握核心設定順序,有效降低資料外洩風險。
目錄
目錄
Microsoft 365 資安為什麼不能只靠密碼?
許多企業以為只要員工密碼夠複雜,就能保護 Microsoft 365。現在常見攻擊多半不是硬猜密碼,而是透過假登入頁、惡意連結、假發票附件、冒名主管信件,誘導員工自己把帳密交出去。
企業還要注意資料流向。合約被誤寄、報價單被分享給外部、個資被下載、Teams 對話出現敏感內容,這些都不一定是駭客攻擊,卻同樣會造成資料外洩。M365 資安應該從郵件、資料、登入 3 層一起看。
| 防護層級 | 對應工具 | 解決問題 |
| 郵件防護 | Defender | 釣魚信 |
| 資料防護 | Purview DLP | 外洩風險 |
| 登入控管 | Conditional Access | 帳號盜用 |
Microsoft Defender 是什麼?企業該看哪一種?
Microsoft Defender 並非單一產品,它是涵蓋端點、身分與郵件的完整資安服務體系。對於多數依賴雲端辦公的企業,我們優先關注防護 Exchange 與 Teams 等日常環境的 Defender for Office 365 。
聚焦日常協作的防護核心
Defender for Office 365 主要用來阻擋進階郵件與協作攻擊,例如釣魚信、惡意連結、惡意附件與商務郵件詐騙。微軟官方也將其定位為保護相關雲端工具的進階威脅防護方案。
高風險部門的基礎防線
對財務、人資、採購與高階主管等掌握機密資料的人員來說,這不只是加購功能,而是降低帳號被冒名與誘騙的防線。可以這樣理解,針對高風險單位,這是很重要的安全機制。
Defender for Office 365 設定重點有哪些?
Defender for Office 365 設定不建議只求全部打開,而要依企業風險設計政策。
重點 1 :防釣魚
包含網域冒名、使用者冒名、高風險寄件者與疑似商務郵件詐騙偵測。財
務、採購與主管帳號,應優先套用較嚴格政策。
重點 2:安全連結與安全附件
Safe Links 可針對電子郵件、Teams 與支援的 Office 應用中的連結進行檢查,降低使用者點擊惡意 URL 的風險;Safe Attachments 則會使用虛擬環境檢查附件是否包含惡意內容,再決定是否放行。
重點 3:隔離與警示流程
不是所有可疑信都要直接刪除,企業應設定隔離通知、IT 審核、誤判回報與高風險事件追蹤,避免資安政策影響正常工作。
Microsoft Purview 是什麼?和 DLP 有什麼關係?
Microsoft Purview 的核心不是防毒,而是資料治理、合規、資料分類與資料外洩防護。它協助企業回答幾個問題:哪些資料是敏感資料?誰可以讀取?資料有沒有被寄出、下載、分享到外部?
DLP 是 Data Loss Prevention,意思是資料外洩防護,不是資料外洩本身。Microsoft Purview 透過 DLP 政策,協助企業識別、監控並保護敏感資料,涵蓋企業應用程式、裝置與資料傳輸情境;DLP 也會根據內容分析,不只是單純文字掃描。
| 資料類型 | 常見風險 | 防護方向 |
| 個資 | 誤寄外部 | 偵測阻擋 |
| 合約 | 分享至外部 | 權限控管 |
| 報價單 | 競品外流 | 警示審核 |
| 財務資料 | 未授權傳送 | 限制分享 |
Purview DLP 政策教學:企業該怎麼規劃?
Purview DLP 政策不是越嚴越好。若一開始就全面封鎖,員工可能正常寄信、分享檔案都受阻,最後逼得大家改用私人信箱或 LINE 傳檔,反而更危險。
比較好的做法是分階段導入。初期先從記錄與觀察開始,確認哪些資料最常被分享到外部;中期加入警示提醒(Policy Tips),讓員工知道自己正在傳送敏感內容;進階與後期階段,則依據資料機敏度採取限制分享或直接封鎖。。
| 階段 | 政策動作 | 適合情境 |
| 初期 | 只記錄 | 先看流向 |
| 中期 | 警示提醒 | 降低誤傳 |
| 進階 | 限制分享 | 保護機密 |
| 後期 | 直接封鎖 | 防止外流 |
Microsoft Purview DLP 的條件會定義哪些敏感項目適用政策,動作則決定符合條件時要採取什麼處置,例如警示、限制或封鎖。
DLP 資料外洩防護常見情境
DLP 最適合處理「不是故意,但後果嚴重」的外洩情境。例如員工把客戶名單寄到私人信箱、業務把報價單分享給錯誤對象、財務檔案被大量下載、Teams 對話中出現個資或機密內容。
這些事件單看可能只是操作失誤,但對企業來說可能牽涉客戶信任、合約責任、個資法風險與商業機密流失。DLP 的價值在於資料離開公司控管範圍前,先用提醒、警示、審核或封鎖降低風險。
你有沒有想過,企業真正危險的地方,不一定是沒有工具,而是沒有人知道資料正往哪裡流?這也是 Purview DLP 比單純防毒更重要的原因。
M365 資安最佳實務:Defender、Purview、DLP 怎麼搭配?
Defender、Purview、DLP 要一起看,才會形成完整防護。Defender 處理外部威脅,像是釣魚郵件、惡意連結與附件;Purview 處理資料治理,包含敏感資訊分類、資料流向與合規管理;DLP 則在資料被寄送、下載或分享前,建立警示與控管。
建議導入順序不要反過來。企業可先處理郵件防護,降低最常見的外部攻擊;再盤點敏感資料,確認個資、合約、報價與財務文件在哪裡;接著建立 DLP 政策;最後定期檢查警示與誤判,逐步調整政策。
| 順序 | 工作項目 | 目的 |
| 先做 | 郵件防護 | 擋攻擊 |
| 再做 | 資料盤點 | 找風險 |
| 接著 | DLP 政策 | 防外洩 |
| 最後 | 監控調整 | 降誤判 |
哪些情況建議找 M365 資安顧問協助?
如果公司沒有專職資安人員,建議不要只靠 IT 自行摸索。Defender 與 Purview,除了開啟功能,後續還要看警示、調整政策、處理誤判與教育員工。
若企業已經發生過釣魚信、信箱遭盜、合約誤寄或客戶資料外流,更應優先做 M365 資安健檢。此時問題通常不是單一設定,而是帳號、郵件、防護、外部分享、權限與 DLP 政策沒有形成制度。
DLP 政策尤其適合由顧問協助規劃。設太鬆,沒有防護效果;設太嚴,員工工作被卡住。分階段導入、例外流程、白名單、主管核准與警示門檻,都需要依企業流程設計。
宏庭科技如何協助企業規劃 M365 資安?
宏庭科技可協助企業滿足以下資安需求 :
- 資安現況盤點:檢查帳號權限、郵件防護、外部分享、敏感資料流向與 DLP 缺口。
- Defender for Office 365 設定:規劃防釣魚、安全連結、安全附件、隔離流程與高風險帳號保護。
- Purview DLP 政策:企業定義敏感資料、規劃警示與封鎖邏輯,並建立例外與審核流程。
導入後,資安設定仍需要持續調整。宏庭科技也可協助企業定期檢查警示、優化政策、降低誤判,讓 Microsoft 365 的資安成為能長期營運的管理制度。
常見問題 FAQ
Q1:Microsoft Defender 和 Defender for Office 365 一樣嗎?
A:不完全一樣。Microsoft Defender 是一系列資安產品名稱,Defender for Office 365 主要聚焦在 Microsoft 365 郵件與協作環境的威脅防護。
Q2:Microsoft Purview DLP 可以防止資料外洩嗎?
A:可以協助降低外洩風險。Purview DLP 可偵測敏感資訊,並依政策提醒、警示、限制或封鎖寄送與分享行為。
Q3:Purview DLP 政策會不會影響員工工作?
A:有可能。若政策太嚴,正常寄信或分享檔案可能被阻擋。建議先從監控與提醒開始,再逐步進入限制或封鎖。
Q4:Defender for Office 365 需要怎麼設定?
A:建議優先檢查防釣魚、安全連結、安全附件、隔離通知與高風險帳號保護。財務、採購、主管與 IT 管理員應優先套用較嚴格政策。
Q5:中小企業需要做 M365 資安健檢嗎?
A:需要。中小企業常見問題不是沒有工具,而是功能沒有完整設定。資安健檢能協助檢查帳號、郵件、外部分享與 DLP 政策漏洞。
讓 M365 資安從設定變成制度
Microsoft Defender、Microsoft Purview 與 DLP 資料外洩防護,不該只是 IT 後台裡的幾個功能,而是企業日常資安制度的一部分。Defender 降低外部攻擊風險,Purview 協助管理敏感資料,DLP 則在資料外流前建立提醒與攔截。
若企業已經使用 Microsoft 365,卻還沒有檢查 Defender for Office 365 設定、Purview DLP 政策與外部分享規則,建議先進行 M365 資安健檢。宏庭科技可協助企業盤點資安現況、規劃 DLP 政策與 Defender 設定,讓 Microsoft 365 不只是辦公工具,而是更完整的企業防護基礎。
馬上聯絡專屬顧問,宏庭科技為你搞定 Azure 雲端大小事