資安防護體系隨Microsoft 365 上市後，在某個程度上，解決人才短缺與降低資安管理複雜度這雙重壓力，雖然Microsoft 強調了SIEM、XDR、Sentinel與SOC等等重要性，使企業誤以為微軟資安是為大型企業服務的大型資安架構，在這裡介紹我們成功架構多家中小型企業僅採用M365 BP(Business Premium)授權就可達成使用者身分識別、裝置納管與端點弱點威脅零信任可視化的軌跡管理，資安工程師相較過去更能簡化佈署，半自動化更新與維護管理作業 !

Microsoft 365 的資安解決方案

資安三大基石之一：掌握使用者身分、登入，管理一把抓 !

Microsoft Azure 提供企業登入方式中，以下面這兩種適合中型企業使用:
1. HAADJ ( Hybrid Azure AD Join ) :
    HAADJ是一種混合身份登入方法，允許組織將裝置同時加入本地Active Directory 和 Azure AD。透過HAADJ，使用者可以在本地環境和AzureAD 中使用相同的身分登入，從而提供了無縫的單一登入體驗。當使用者登入本地裝置時，本地Active Directory會驗證其身份,並將驗證結果傳送到AzureAD，從而允許使用者在AzureAD資源上進行單一登入。
2. AADJ ( AzureADJoin ) :
    AADJ是一種僅將裝置加入AzureAD的身分登入方法。使用者只需使用Azure AD 的帳戶來登入裝置,不需要本地ActiveDirectory的參與。這使得 AADJ 特別適用於僅使用 Azure AD 的純雲端環境。使用者可以在任何裝置上使用其 Azure AD 帳戶登入,享受彈性且安全的工作體驗。
   
HAADJ 和 AADJ 是連接裝置到 AzureAD 的管理架構。企業加強安全性下適當選擇多因素驗證，CA條件式存取的啟用，豐富效率與管理雙重性，BitLock硬體是可保護您硬碟中的資料安全。 對於中小企業而言，在基本法規要求或實質作業安全要求來說，皆已相當足夠，未來視需要，可多面向提升風險性、WEB存取、APP限制管理與檔案保護方面的進階佈署中段部分。

資安三大基石之二：Intune 註冊讓您把端點裝置管好 !

 Intune 是 Microsoft 一個強大的設備管理平台，為企業提供了全面且安全的端點裝置管理解決方案。透過Intune註冊，您可以輕鬆地將所有裝置納入統一管理，實現高效的遠端管理，保障組織的數據和資源安全。
 
   將企業裝置註冊到 Intune後，可搭配CA條件式管理與企業入口程式的安裝管理，簡單又透明的來管理過去最難管的使用者裝置上的問題，合規性統一化、差異化應用程式的安裝限制與管理。所以使用者有帳密，也沒辦法任意用公司不同意的電腦來登入，這是裝置納管，避開使用者用不合格有風險的裝置來登入，降低被入侵的風險。

資安三大基石之三：Defender for Business 端點偵測防護、威脅與弱點管理。

因應勒索軟體攻擊次數逐年成長，這兩年超過半數是鎖定中小型企業，微軟將大型企業等級的端點安全 (Defender for Endpoint)，以近乎加值不加價的方式，附掛在Business Premium產品上，讓300U以下的企業客戶直接受惠，該項名稱改成也從Defender for Endpoint，調整名稱為Defender for Business。將端點安全由傳統防毒軟體，擴大為端點偵測防護、威脅與弱點管理等更多防護服務，可保護 Windows、macOS、iOS及Android裝置。
Defender for Business 是一款專為中小型企業設計的設備安全解決方案，減少攻擊面（attack surface）與端點防護及回應功能（endpoint detection and response，EDR）主要功能：
•    提供下一代保護，防止勒索軟體、惡意軟體、網路釣魚和其他威脅。
•    提供端點檢測和回應，快速發現並隔離攻擊，減少影響。
•    提供威脅和漏洞管理，識別和修復設備上的軟體漏洞和配置錯誤。
•    提供自動化調查和回應，利用人工智慧和機器學習簡化安全操作。