交付内容
固定范围。书面交付。
下面每一行都写在工作说明书(SOW)里。我们不会项目中扩张范围,也不会缩小。如果需要变更,我们书面达成一致。
- 审计 Microsoft 365 租户内所有全局管理员 / 特权角色账户
- 所有特权账户强制 MFA
- 配置应急备用(break-glass)账户 + 使用规范
- 管理员专用 Conditional Access 策略栈(管理员不能从未托管设备登录)
- 对齐 Essential 8 ML2「限制管理员权限」控制项
常见问题
关于这个项目。
为什么多数中小企业有 4-8 个 Global Admin 账户?
三个原因:(1)当年帮你做 IT 的顾问把自己设成了 Global Admin,后来一直没拿走;(2)Microsoft 365 入门教程让你「用 Global Admin 账户」做初始配置,那个账户后来一直没降级;(3)每次「就这一个任务用一下」的临时管理员授权变成了永久的。审计能抓到这三种情况。
什么是「应急(break-glass)」账户?为什么需要?
应急账户是一个高度安全的单一管理员账户,凭据存在密封信封里(字面意义),用于在你所有其他管理员账户被锁定时救急 — 比如你的主管理员同时丢了手机和 MFA。可能 3 年用一次,但需要的时候真的需要。微软建议每个租户配置一个,我们在这个项目里给你配置好。
满足 Essential 8「限制管理员权限」控制吗?
该控制的 ML2 完全合规。我们按 ACSC Essential 8 实施指南来。如果你在做完整 8 个控制的 ML2 升级,这是其中一个项目 — 详见 /zh/cyber/essential-8-melbourne 的整体升级方案。