We’re updating Microsoft Secure Score improvement actions to ensure a more accurate representation of security posture. The improvement actions listed below will be added to Microsoft Secure Score. Your score will be updated accordingly.

[When this will happen:]

This will begin rollout in mid-August 2023 and is expected to be complete by late August 2023.

[How this will affect your organization:]

The following new Microsoft Information Protection recommendation will be added as Microsoft Secure Score improvement action:

• Ensure Microsoft 365 audit log search is enabled

The following new Exchange Online recommendation will be added as Microsoft Secure Score improvement actions:

• Ensure modern authentication for Exchange Online is enabled
• Ensure Exchange Online Spam Policies are set to notify administrators
• Ensure all forms of mail forwarding are blocked and/or disabled
• Ensure MailTips are enabled for end users
• Ensure mailbox auditing for all users is enabled
• Ensure additional storage providers are restricted in Outlook on the web

The following new Azure Active Directory recommendations will be added as Microsoft Secure Score improvement actions:

• Ensure password protection is enabled for on-prem Active Directory
• Ensure ‘LinkedIn account connections‘ is disabled
• In order to view those new controls, Office 365 connector in Microsoft Defender for cloud apps must be toggled on via the App connectors settings page.

The following SharePoint new recommendations will be added as Microsoft Secure Score improvement actions:

• Ensure SharePoint external sharing is managed through domain whitelist/blacklists
• Block OneDrive for Business sync from unmanaged devices
• In order to view those new controls, Office 365 connector in Microsoft Defender for cloud apps must be toggled on via the App connectors settings page.

The following SharePoint new recommendations will be added as Microsoft Secure Score improvement actions:

• Ensure Safe Links for Office Applications is enabled
• Ensure Safe Attachments policy is enabled
• Ensure that an anti-phishing policy has been created

We have disabled the Secure Score improvement action for the following Microsoft Defender for Identity recommendation:

• “Stop legacy protocols communication” (For accuracy reasons)

We have updated the names for Secure Score recommendations for the following CIS Benchmark Microsoft Defender for Office 365 recommendation, here are the new names:

• Ensure Exchange Online Spam Policies are set to notify administrators
• Ensure all forms of mail forwarding are blocked and/or disabled
• Ensure Safe Links for Office Applications is enabled
• Ensure Safe Attachments policy is enabled
• Ensure that an anti-phishing policy has been created
• Ensure the Common Attachment Types Filter is enabled
• Ensure SharePoint Online Information Protection policies are set up and used

We have updated the names for Secure Score recommendations for the following CIS Benchmark Microsoft Information Protection recommendation, here are the new names:

• Ensure Microsoft 365 audit log search is enabled
• Ensure DLP policies are enabled for Microsoft Teams

We have updated the names for Secure Score recommendations for the following CIS Benchmark Microsoft Admin Center recommendation, here are the new names:

• Ensure the customer lockbox feature is enabled

We have updated the names for Secure Score recommendations for the following CIS Benchmark Microsoft Defender for Cloud Apps recommendation, here is the new name:

• Ensure Microsoft Defender for Cloud Apps is enabled and configured

We have updated the names for Secure Score recommendations for the following CIS Benchmark Microsoft Share Point Online recommendation, here is the new name:

• Ensure SharePoint external sharing is managed through domain whitelist/blacklists
• Block OneDrive for Business sync from unmanaged devices

We have updated the names for Secure Score recommendations for the following CIS Benchmark Microsoft Entra ID (Azure Active Directory), here are the new names:

• Ensure Security Defaults is disabled on Azure Active Directory
• Ensure password protection is enabled for on-prem Active Directory
• Ensure ‘LinkedIn account connections‘ is disabled
• Ensure Sign-in frequency is enabled and browser sessions are not persistent for Administrative users
• Ensure multifactor authentication is enabled for all users in administrative roles
• Ensure multifactor authentication is enabled for all users
• Ensure ‘Privileged Identity Management‘ is used to manage roles
• Ensure that only organizationally managed/approved public groups exist
• Ensure Administrative accounts are separate and cloud-only
• Ensure the admin consent workflow is enabled
• Ensure third party integrated applications are not allowed
• Ensure that between two and four global admins are designated
• Ensure ‘Self service password reset enabled‘ is set to ‘All‘
• Enable Conditional Access policies to block legacy authentication
• Ensure that password hash sync is enabled for hybrid deployments
• Enable Azure AD Identity Protection sign-in risk policies
• Enable Azure AD Identity Protection user risk policies
• Ensure the ‘Password expiration policy’ is set to ‘Set passwords to never expire
• Ensure user consent to apps accessing company data on their behalf is not allowed

We have updated the names for Secure Score recommendations for the following CIS Benchmark Microsoft Exchange Online recommendation, here are the new names:

• Ensure modern authentication for Exchange Online is enabled
• Ensure MailTips are enabled for end users
• Ensure mailbox auditing for all users is Enabled
• Ensure additional storage providers are restricted in Outlook on the web
• Ensure ‘External sharing’ of calendars is not available
• Ensure mail transport rules do not whitelist specific domains
• Ensure that SPF records are published for all Exchange Domains

We have updated the names for Secure Score recommendations for the following CIS Benchmark Microsoft Purview recommendation, here are the new names:

• Ensure DLP policies are enabled

[What you need to do to prepare:]

There’s no action needed to prepare for this change, your score will be updated accordingly. Microsoft recommends reviewing the improvement actions listed in Microsoft Secure Score. We will continue to add suggested security improvement actions on an ongoing basis.

セキュリティ体制をより正確に表現するために、Microsoft セキュリティ スコアの改善アクションを更新しています。以下に示す改善アクションは、Microsoft セキュリティ スコアに追加されます。スコアはそれに応じて更新されます。

[これが起こるとき:]

これは2023年8月中旬にロールアウトを開始し、2023年8月下旬までに完了する予定です。

[これが組織に与える影響:]

次の新しい Microsoft 情報保護の推奨事項は、Microsoft セキュリティ スコアの改善アクションとして追加されます。

• Microsoft 365 監査ログ検索が有効になっていることを確認する

次の新しい Exchange Online の推奨事項は、マイクロソフトのセキュリティ スコアの向上アクションとして追加されます。

• Exchange Online の先進認証が有効になっていることを確認する
• Exchange Online スパム ポリシーが管理者に通知するように設定されていることを確認する
• すべての形式のメール転送がブロックまたは無効になっていることを確認する
• メール ヒントがエンド ユーザーに対して有効になっていることを確認する
• すべてのユーザーのメールボックス監査が有効になっていることを確認する
• 追加のストレージ プロバイダーが Outlook on web で制限されていることを確認する

次の新しい Azure Active Directory の推奨事項が、マイクロソフトのセキュア スコアの改善アクションとして追加されます。

• オンプレミスのアクティブディレクトリに対してパスワード保護が有効になっていることを確認する
• 「LinkedInアカウント接続」が無効になっていることを確認します
• これらの新しいコントロールを表示するには、クラウド アプリ用 Microsoft Defender の Office 365 コネクタを [アプリ コネクタ] 設定ページでオンに切り替える必要があります。

次の SharePoint の新しい推奨事項は、マイクロソフトのセキュリティで保護されたスコアの向上アクションとして追加されます。

• SharePoint の外部共有がドメインのホワイトリスト/ブラックリストによって管理されていることを確認する
• OneDrive for Business をアンマネージド デバイスからブロックする
• これらの新しいコントロールを表示するには、クラウド アプリ用 Microsoft Defender の Office 365 コネクタを [アプリ コネクタ] 設定ページでオンに切り替える必要があります。

次の SharePoint の新しい推奨事項は、マイクロソフトのセキュリティで保護されたスコアの向上アクションとして追加されます。

• Office アプリケーションの安全なリンクが有効になっていることを確認する
• 安全な添付ファイル ポリシーが有効になっていることを確認する
• フィッシング対策ポリシーが作成されていることを確認する

次の Microsoft Defender for ID の推奨事項のセキュリティ スコア向上アクションを無効にしました。

• 「レガシープロトコル通信を停止する」(精度上の理由から)

次の CIS ベンチマーク Microsoft Defender for Office 365 の推奨事項のセキュリティ スコアの推奨事項の名前を更新しました。新しい名前は次のとおりです。

• Exchange Online スパム ポリシーが管理者に通知するように設定されていることを確認する
• すべての形式のメール転送がブロックまたは無効になっていることを確認する
• Office アプリケーションの安全なリンクが有効になっていることを確認する
• 安全な添付ファイル ポリシーが有効になっていることを確認する
• フィッシング対策ポリシーが作成されていることを確認する
• 一般的な添付ファイルの種類フィルターが有効になっていることを確認します
• SharePoint Online 情報保護ポリシーが設定され、使用されていることを確認する

次の CIS ベンチマーク Microsoft 情報保護の推奨事項のセキュリティ スコアの推奨事項の名前を更新しました。新しい名前は次のとおりです。

• Microsoft 365 監査ログ検索が有効になっていることを確認する
• DLP ポリシーがMicrosoft Teamsに対して有効になっていることを確認する

次の CIS ベンチマーク Microsoft 管理センターの推奨事項のセキュリティ スコアの推奨事項の名前を更新しました。新しい名前は次のとおりです。

• カスタマー ロックボックス機能が有効になっていることを確認する

次の CIS ベンチマーク Microsoft Defender for Cloud Apps の推奨事項のセキュリティ スコアの推奨事項の名前を更新しました。新しい名前を次に示します。

• Microsoft Defender for Cloud Apps が有効になっていて構成されていることを確認する

次の CIS ベンチマーク Microsoft Share Point Online の推奨事項のセキュリティ スコアの推奨事項の名前を更新しました。新しい名前は次のとおりです。

• SharePoint の外部共有がドメインのホワイトリスト/ブラックリストによって管理されていることを確認する
• OneDrive for Business をアンマネージド デバイスからブロックする

次の CIS ベンチマーク Microsoft Entra ID (Azure Active Directory) のセキュリティ スコアの推奨事項の名前を更新しました。新しい名前は次のとおりです。

• セキュリティの既定値群が Azure Active Directory で無効になっていることを確認する
• オンプレミスのアクティブディレクトリに対してパスワード保護が有効になっていることを確認する
• 「LinkedInアカウント接続」が無効になっていることを確認します
• サインイン頻度が有効になっていて、ブラウザー セッションが管理ユーザーに対して永続的でないことを確認します
• 管理者の役割を持つすべてのユーザーに対して多要素認証が有効になっていることを確認する
• すべてのユーザーに対して多要素認証が有効になっていることを確認する
• 「特権ID管理」を使用して役割を管理していることを確認します
• 組織が管理/承認したパブリック グループのみが存在することを確認する
• 管理者アカウントが分離され、クラウド専用であることを確認する
• 管理者の同意ワークフローが有効になっていることを確認する
• サードパーティの統合アプリケーションが許可されていないことを確認する
• 2 人から 4 人のグローバル管理者が指定されていることを確認します
• 「セルフサービスパスワードリセットが有効」が「すべて」に設定されていることを確認します
• 条件付きアクセス ポリシーを有効にしてレガシ認証をブロックする
• パスワード ハッシュ同期がハイブリッド展開に対して有効になっていることを確認する
• Azure AD ID 保護のサインイン リスク ポリシーを有効にする
• Azure AD ID 保護のユーザー リスク ポリシーを有効にする
• [パスワードの有効期限ポリシー] が [パスワードを無期限に設定する] に設定されていることを確認します
• アプリが自分の代わりに会社のデータにアクセスすることに対するユーザーの同意が許可されていないことを確認する

次の CIS ベンチマーク Microsoft Exchange Online の推奨事項のセキュリティ スコアの推奨事項の名前を更新しました。新しい名前は次のとおりです。

• Exchange Online の先進認証が有効になっていることを確認する
• メール ヒントがエンド ユーザーに対して有効になっていることを確認する
• すべてのユーザーのメールボックス監査が有効になっていることを確認する
• 追加のストレージ プロバイダーが Outlook on web で制限されていることを確認する
• カレンダーの「外部共有」が利用できないことを確認する
• メール トランスポート ルールで特定のドメインをホワイトリストに登録しないようにする
• SPF レコードがすべての Exchange ドメインに対して公開されていることを確認する

次の CIS ベンチマーク Microsoft Purview 推奨事項のセキュリティ スコアの推奨事項の名前を更新しました。新しい名前は次のとおりです。

• DLP ポリシーが有効になっていることを確認する

[準備するために必要なこと:]

この変更に備えるために必要なアクションはなく、それに応じてスコアが更新されます。マイクロソフトでは、マイクロソフトのセキュリティ スコアに記載されている改善のための処置を確認することをお勧めします。推奨されるセキュリティ改善アクションを継続的に追加していきます。