We’re updating Microsoft Secure Score improvement actions to ensure a more accurate representation of security posture.

We will continue to add suggested security improvement actions on an ongoing basis.

[When this will happen:]

This will begin rollout in mid-May and is expected to be complete by late May.

[How this will affect your organization:]

The following new Exchange Online recommendation will be added as Microsoft Secure Score improvement actions:

• Ensure mail transport rules do not whitelist specific domains.

The following SharePoint new recommendations will be added as Microsoft Secure Score improvement actions:

• Ensure modern authentication for SharePoint applications is required.
• Ensure that external users cannot share files, folders, and sites they do not own.

The following recommendations were added last month for customers with active Microsoft Defender for Cloud Apps license:

• Ensure that only organizationally managed/approved public groups exist.
• Ensure Sign-in frequency is enabled, and browser sessions are not persistent for Administrative users.
• Ensure Administrative accounts are separate, unassigned, and cloud-only.
• Ensure third party integrated applications are not allowed.
• Ensure the admin consent workflow is enabled.
• Ensure DLP policies are enabled for Microsoft Teams.
• Ensure that SPF records are published for all Exchange Domains.
• Ensure Microsoft Defender for Cloud Apps is Enabled.
• Ensure mobile device management policies are set to require advanced security configurations to protect from basic internet attacks.
• Ensure that mobile device password reuse is prohibited.
• Ensure that mobile devices are set to never expire passwords.
• Ensure that users cannot connect from devices that are jail broken or rooted.
• Ensure mobile devices are set to wipe on multiple sign-in failures to prevent brute force compromise.
• Ensure that mobile devices require a minimum password length to prevent brute force attacks.
• Ensure devices lock after a period of inactivity to prevent unauthorized access.
• Ensure that mobile device encryption is enabled to prevent unauthorized access to mobile data.
• Ensure that mobile devices require complex passwords (Type = Alphanumeric).
• Ensure that mobile devices require complex passwords (Simple Passwords = Blocked).
• Ensure that devices connecting have AV and a local firewall enabled.
• Ensure mobile device management policies are required for email profiles.
• Ensure mobile devices require the use of a password.

In order to view those new controls, O365 connector in Microsoft defender for cloud apps must be toggled via the App connectors settings page.

[What you need to do to prepare:]

There is no action required to prepare for this change, your score will be updated accordingly. Microsoft recommends reviewing the improvement actions listed in Microsoft Secure Score.  

Microsoft セキュア スコアの改善アクションを更新して、セキュリティ体制をより正確に表現しています。

推奨されるセキュリティ改善アクションを継続的に追加していきます。

[これが起こるとき:]

これは5月中旬に展開を開始し、5月下旬までに完了する予定です。

[これが組織に与える影響:]

次の新しい Exchange Online 推奨事項は、マイクロソフトのセキュリティ スコア向上アクションとして追加されます。

• メール転送ルールが特定のドメインをホワイトリストに登録していないことを確認します。

次の SharePoint の新しい推奨事項は、マイクロソフトのセキュリティで保護されたスコアの改善アクションとして追加されます。

• SharePoint アプリケーションの先進認証が必要であることを確認します。
• 外部ユーザーが所有していないファイル、フォルダー、およびサイトを共有できないようにします。

次の推奨事項は、アクティブな Microsoft Defender for Cloud Apps ライセンスを持つお客様向けに先月追加されました。

• 組織で管理/承認されたパブリック グループのみが存在することを確認します。
• サインイン頻度が有効になっていて、ブラウザー セッションが管理ユーザーに対して永続的でないことを確認します。
• 管理者アカウントが個別で、割り当てられておらず、クラウド専用であることを確認します。
• サードパーティの統合アプリケーションが許可されていないことを確認します。
• 管理者の同意ワークフローが有効になっていることを確認します。
• DLP ポリシーがMicrosoft Teamsに対して有効になっていることを確認します。
• SPF レコードがすべての Exchange ドメインに対して公開されていることを確認します。
• Microsoft Defender for Cloud Apps が有効になっていることを確認します。
• モバイル デバイス管理ポリシーが、基本的なインターネット攻撃から保護するために高度なセキュリティ構成を要求するように設定されていることを確認します。
• モバイル デバイスのパスワードの再利用が禁止されていることを確認します。
• モバイル デバイスがパスワードを無期限に設定されていることを確認します。
• ジェイルブレイクまたはルート化されたデバイスからユーザーが接続できないことを確認します。
• モバイル デバイスが複数のサインイン失敗をワイプするように設定して、ブルート フォース侵害を防止します。
• ブルートフォース攻撃を防ぐために、モバイルデバイスでパスワードの最小長が必要であることを確認してください。
• 不正アクセスを防ぐために、非アクティブな状態が一定期間続いた後にデバイスがロックされるようにします。
• モバイル データへの不正アクセスを防ぐために、モバイル デバイスの暗号化が有効になっていることを確認します。
• モバイル デバイスに複雑なパスワード (種類 = 英数字) が必要であることを確認します。
• モバイル デバイスに複雑なパスワード (簡易パスワード = ブロック) が必要であることを確認します。
• 接続しているデバイスで AV とローカル ファイアウォールが有効になっていることを確認します。
• 電子メール プロファイルにモバイル デバイス管理ポリシーが必要であることを確認します。
• モバイルデバイスでパスワードを使用する必要があることを確認します。

これらの新しいコントロールを表示するには、クラウド アプリ用 Microsoft Defender の O365 コネクタを [アプリ コネクタの設定] ページで切り替える必要があります。

[準備するために必要なこと:]

この変更に備えるために必要なアクションはなく、それに応じてスコアが更新されます。マイクロソフトは、マイクロソフトのセキュアスコアに記載されている改善アクションを確認することをお勧めします。