澳洲網路安全中心 (ACSC) 領導澳洲政府改善網路安全的努力。 ACSC 建議所有澳洲組織實施 ACSC 緩解網路安全事件策略中的八項基本緩解策略作為基準。 基線被稱為「基本八項」,是基本的網路安全措施,使對手更難破壞系統。
基本八個成熟度等級使組織能夠評估其網路安全措施針對當今互聯的 ICT 環境中常見威脅的適當性。
備份是確保重要資料免遭遺失的重要策略,無論是由於硬體故障、盜竊、意外損壞或自然災害等實體手段,還是意外刪除、損壞以及病毒或惡意軟體感染等邏輯手段。 作為 Essential Eight 緩解措施,備份也可能是最難為實施提供規範性指導的方法之一,根據每個組織的獨特需求而有很大差異。 定期備份的重要性可以從 ACSC 減輕 網路安全事件策略中的八項基本策略之一中看出。
傳統的備份方法是定期取得資料的完整、差異或增量副本,並將備份媒體離線儲存,最好是在單獨的設施中,以便及時還原資料的乾淨副本。 雖然在網路世界中效仿這種方法可能很誘人,但雲端服務的規模可能會使此類措施變得不切實際且成本高昂。
這是否意味著您不需要使用 Microsoft 365 等服務備份數據? 不! 您絕對需要確保您的信息受到保護。 不過,您使用 Microsoft 365 等服務的方式自然會與您目前保護內部部署檔案共用的方式不同。 組織應該專注於配置內建保留設定,以確保資料在服務內視需要受到保護,以滿足業務需求。 組織還應該投資於資料分類方案,以識別真正關鍵的資訊,以透過其他控制措施進行保護。 Microsoft 365 提供服務,讓使用者和系統管理員在意外刪除或損毀時還原檔案和電子郵件。 對於儲存在內部部署工作負載或 Azure 服務中的資料,Azure 備份提供簡單、安全且符合成本效益的解決方案來備份資料,並從 Microsoft Azure 雲端復原資料。
最後,在災難恢復場景中,將環境恢復到運行狀態所需的配置可能與數據本身一樣重要。 伺服器和網域資訊可以透過使用 Microsoft Azure 復原服務 (MARS) 代理程式備份系統狀態來擷取,並儲存在 Azure 備份 服務中。 針對 Microsoft 365 和 Azure 等雲端服務的設定,基礎結構即程式碼解決方案提供直接在系統管理入口網站內手動變更的替代方案,腳本或部署範本能夠將環境重設為所需的設定,或佈建具有相同設定的第二個租用戶。
由於基本八項概述了一套最低限度的預防措施,組織需要在其環境需要的情況下實施額外的措施。 此外,雖然 Essential Eight 可以幫助減輕大多數網絡威脅,但它並不能減輕所有網絡威脅。 因此,需要考慮其他緩解策略和安全控制,包括緩解 網路安全事件的策略 | Cyber.gov.au 和 ISM) | Cyber.gov.au (資訊安全手冊中的策略。
下表概述了 Essential Eight Controls 的 Regular Backups 元件的成熟度層級 1、2 和 3 與 ISM 之間的對應:
| ISM 控制 2025 年 3 月 | 成熟度 | 風險降低 |
|---|---|---|
| 1511 | 1, 2, 3 | 資料、應用程式和設定的備份會根據業務重要性和業務持續性需求來執行和保留。 |
| 1515 | 1, 2, 3 | 將資料、應用程式和設定從備份還原到共同時間點是災難復原練習的一部分進行測試。 |
| 1810 | 1, 2, 3 | 資料、應用程式和設定的備份會同步處理,以便還原至共同的時間點。 |
| 1811 | 1, 2, 3 | 資料、應用程式和設定的備份會以安全且有彈性的方式保留。 |
| 1812 | 1, 2, 3 | 非特殊許可權的使用者帳戶無法存取屬於其他帳戶的備份。 |
| 1814 | 1, 2, 3 | 禁止非特殊許可權使用者帳戶修改和刪除備份。 |
| 1705 | 2, 3 | 特殊許可權使用者帳戶 (排除備份系統管理員帳戶) 無法存取屬於其他帳戶的備份 |
| 1707 | 2, 3 | 特殊許可權使用者帳戶 (排除備份管理員帳戶) 無法修改和刪除備份。 |
| 1813 | 2, 3 | 非特殊許可權的使用者帳戶無法存取屬於其他帳戶的備份,也無法存取屬於自己帳戶的備份。 |
| 1706 | 3 | 特殊許可權使用者帳戶 (排除備份系統管理員帳戶) 無法存取自己的備份。 |
| 1708 | 3 | 備份管理員帳戶無法在其保留期間修改和刪除備份。 |
方法
Microsoft 365 中的 In-Place 留存率
在 共同責任模式下,客戶始終保留對資訊和資料的責任。 傳統的備份實作通常著重於保護儲存容器及其內的所有內容。 這種包羅萬象的策略對於防範本地面臨的各種威脅可能是必要的,但隨著雲服務的採用,物理環境的責任將轉移到雲提供商,並且可以採用替代控制來減輕設備丟失或故障造成的威脅,以及因此可能發生的數據物理或邏輯損壞。 在這種情況下,從備份中恢復基礎設施的需求可以通過彈性的發展來消除。
Microsoft 雲端服務的復原能力和持續性的完整明細超出了本檔的範圍。 組織應該熟悉 Microsoft 雲端風險評量指南 中所呈現的概念,並檢閱 透過服務信任入口網站提供的適當外部稽核報告。
資訊保護的標準原則之一是資料和備份應該分開保存,因此在服務中使用保留的想法一開始對客戶來說通常似乎違反直覺。 在雲端服務中保留資訊有很多優點。 請考慮具有 Microsoft 365 E3 授權的一般組織可用的儲存體:
- 商務用 OneDrive 使用者將自己的檔案儲存在檔案共用上,類似於主目錄,為每位使用者提供 1 TB 的儲存空間,並可選擇預設將儲存空間擴充至 5 TB,並可根據 Microsoft 支援服務的要求提供更多儲存空間。
- Exchange Online 允許 100 GB 的主要信箱和個人封存中的無限儲存空間。
- SharePoint Online 為協作網站和 Microsoft Teams 提供後端存儲,為每位客戶提供初始 1 TB 的集區存儲,並為每個許可用戶提供另外 10 GB 的集區存儲。
因此,對於典型的 1,000 個使用者組織,Microsoft 365 提供超過 5,111 TB 或 5.11 PB 的儲存空間,甚至在您考慮信箱封存以及已離職使用者的信箱和個人檔案的無限儲存空間之前。
在外部服務中複製所有這些資訊將需要大量時間來傳輸以進行備份和還原作業,並且隨著時間的推移,可能會對企業造成巨大的財務成本。 更重要的是,將資料移至服務外部時,還需要考慮其他風險,例如有意或無意將資料傳輸到地理區域之外的法規合規性影響,或資料透過第三方服務遭到入侵的潛在暴露風險。 但最終,最大的考慮因素之一是用戶便利性 - 如果文件被刪除,甚至勒索軟件感染會清除用戶的整個目錄,商務用 OneDrive 使用戶可以輕鬆地恢復文件的良好版本,或將整個庫恢復到特定時間點,所有這些都無需管理員幫助。
保留原則和保留標籤
保留原則和標籤 提供控制資料在 Microsoft 365 中保留方式的方法。 保留原則可以套用至位置,例如 Exchange Online 信箱和公用資料夾、SharePoint Online 網站、商務用 OneDrive 帳戶、Microsoft 365 群組、Teams 訊息和 Viva Engage (Yammer) 內容。 單一原則可以套用至多個位置,或套用至個別網站或使用者,而專案會繼承指派給容器的保留設定。 套用保留設定後,人們會以通常的方式處理檔案或電子郵件,但每當修改或刪除檔案或訊息時,系統都會透明地將資料副本儲存在對使用者隱藏的安全位置。
如需保留設定如何適用於不同工作負載的詳細資訊,請參閱下列文章:
保留原則應該用來為網站或信箱層級的內容指派相同的保留設定,不過對於更細微的應用程式保留標籤,可用來指派資料夾、檔或電子郵件) (專案層級的設定。 不同於保留原則,如果內容已移至 Microsoft 365 租使用者中的另一個位置,則保留標籤會隨內容一起移動。 保留標籤也提供保留原則所沒有的功能,例如在保留期間結束時觸發處置方式檢閱,或將內容標示為記錄。
保留標籤可以根據關鍵字、模式、敏感性資訊類型或可訓練的分類器手動或自動套用。 敏感性資訊類型 可用來辨識代表檔案和電子郵件中機密資訊的模式,例如個人資料、財務帳號和醫療資料。 可訓練分類器透過 使用機器學習來根據專案的內容來理解和分類專案,並在訓練期後立即識別履歷和原始程式碼或組織特定資訊,例如合約和工單,從而擴展了此方法。
保留策略和標籤是資料生命週期管理計劃的重要組成部分,應根據備份替代及其更廣泛的資料治理影響進行評估。
In-Place 保留的例外情況
對於某些類型的真正關鍵信息,在線上服務之外保留一份副本可能是可行的。 例如,如果電源或通訊故障意味著您無法存取網際網路,則儲存在 SharePoint 網站中的災害復原計劃和員工連絡人登記冊將毫無價值。 組織應採用標準的風險管理實踐,以確保他們根據概率和影響為重大事件做好適當的規劃。 識別和分類資料有助於確保最重要的資訊可以儲存在備用位置,而無需複製不必要的資料。
雖然不打算作為備份或復原解決方案,但商務用商務用 OneDrive 和 Outlook 作為 Microsoft Office Apps 企業版的一部分,都會將與雲端服務同步處理的資料複本儲存在使用者的本機電腦上,如果無法存取原始資料來源,則可以存取甚至複製這些複本。 OneDrive 用戶端應用程式也可用來將重要檔同步處理至異地電腦。
第三方移轉工具可用來鏡像線上服務與私有雲端解決方案中 Microsoft SharePoint Server 或 Microsoft Exchange Server 的待命執行個體之間的內容。 對於大多數組織或使用者來說,這種複雜且昂貴的解決方案是不值得的,但如果透過定量風險分析確定有必要,則可以針對關鍵業務資料和帳戶實施。
使用 Azure 備份備份內部部署和雲端式服務
Azure 備份服務提供簡單、安全且符合成本效益的解決方案,可從 Microsoft Azure 內備份和復原內部部署和雲端式資料。 Azure 中的原生控制項可啟用 Windows/Linux VM、Azure 受控磁碟、Azure 檔案儲存體共用、SQL 資料庫、SAP HANA 資料庫和 Azure Blob 的備份。 Microsoft Azure 復原服務 (MARS) 代理程式可讓您從內部部署或虛擬機器備份檔案、資料夾和系統狀態,並與內部部署 Azure 備份 Server (MABS) 或 System Center Data Protection Manager (DPM) 伺服器整合,以備份工作負載,例如 Hyper-V VM、Microsoft SQL Server、SharePoint Server、Microsoft Exchange,甚至 VMware VM。
Azure 備份包含廣泛的安全性功能,可保護傳輸中和靜態的資料,包括精細的角色型存取控制、資料加密、防止意外刪除,以及監視和警示可疑活動。
身分識別和使用者存取的管理和控制
復原服務保存庫所使用的儲存體帳戶是隔離的,使用者無法出於任何惡意目的存取。 只能透過 Azure 備份管理作業 (例如還原) 來存取。 Azure 備份可讓您使用 Azure 角色型存取控制 (Azure RBAC) ,透過精細存取來控制受控作業。 Azure RBAC 可讓您在小組內隔離職責,並只授與使用者執行其工作所需的存取權數量。
Azure 備份提供三個內建角色來控制備份管理作業:
- 備份參與者:建立和管理備份,但刪除復原服務保存庫和授與其他人存取權除外
- 備份操作員:參與者執行的所有動作,但移除備份和管理備份原則除外
- 備份讀取者:查看所有備份管理操作的權限
下列頁面也有一些指派給這三個內建角色的特定功能的進一步詳細數據: 使用 Azure 角色型存取控制管理備份。 特別考慮也應該著重於 Azure 資源的擁有者 (例如,Azure 資源群組擁有者) ,因為他們繼承其資產的許可權,包括Azure 備份許可權。
為了為復原服務保存庫上的重要作業提供額外的保護層,Azure 備份支援透過 Resource Guard 進行多使用者授權。 雖然Microsoft Entra Privileged Identity Management可用於確保備份管理員必須獲得批准才能訪問提高的權限,但用戶可以訪問該角色提供的所有功能,包括修改備份策略以減少保留或禁用虛刪除功能,以確保已刪除的備份可用於另外 14 個日。 Resource Guard 會要求備份系統管理員同時具有個別訂用帳戶或租用戶中復原服務保存庫和 Resource Guard 執行個體的許可權,以解決授權問題。
若要讓備份系統管理員執行重要作業,例如修改原則或停用虛刪除,他們必須先取得裝載 Azure 備份的訂用帳戶中的 [備份參與者] 角色,然後取得 Resource Guard 上的參與者角色,否則動作將會失敗。 使用 PIM 時,會記錄這兩個提高許可權,包括擷取理由,說明為什麼需要這樣做、指派一小段時間並自動撤銷,甚至可能需要不同系統管理員的核准。
管理用戶端裝置的設定和程式
現代管理方法不是備份用戶端裝置來保留設定和應用程式,而是確保用戶端裝置輕鬆更換,同時將對使用者的影響降至最低。 資料儲存位置可以自動重新導向到雲端服務並與雲端服務同步,這意味著裝置上的任何副本都僅用於方便離線存取。 應用程式可以根據管理解決方案中的使用者或裝置原則 ( 例如 Microsoft Intune) 自動佈建,以及儲存在雲端式使用者配置檔中的應用程式設定。
Windows Autopilot 使用戶可以輕鬆設置自己的計算機,無論它是由組織預先配置還是從零售商處購買的新計算機,也可用於重置、重新利用或恢復設備。
勒索軟體復原和惡意行為的注意事項
先前的各節已強調如何在 Microsoft 服務中保留數據,作為備份和還原案例傳統程式的替代方案,但考慮到 Essential 8 控件的意圖,值得特別注意勒索軟體事件的影響,以及惡意系統管理員或遭入侵的特殊許可權帳戶的故意動作。
在新式管理和零信任方法下,端點本身的後果應該可以忽略不計,因為受勒索軟體入侵的用戶端電腦可以透過 Windows Autopilot 等技術從遠端抹除和重新佈建,而不會遺失資料。 您可以從 Azure 備份中的虛擬機器備份或系統狀態還原或重新建立伺服器,這包括還原位於網路共用上的使用者檔案。 若要復原儲存在 SharePoint Online 或商務商務用 OneDrive 中的使用者檔案,您可以將整個網站還原至過去 30 天內的先前時間點,如本文稍後的將 SharePoint 和 OneDrive 還原為已知良好狀態一節所述。 在極少數情況下,勒索軟體刪除的電子郵件可能會從已刪除郵件中恢復這些郵件。
Microsoft 發佈了從勒索軟體攻擊中復原的特定指引,並在該復原電子郵件指南的步驟 6 中呼叫選項 - 具體來說,系統管理員如何利用 Exchange Online 復原使用者信箱中已刪除的郵件,以及使用者如何在 Windows 版 Outlook 中復原已刪除的郵件,包括存取隱藏的 [可復原的專案] 資料夾。
正如服務可以配置為保留或備份數據一樣,它們也可以配置為由惡意意圖的人清除數據,無論是心懷不滿的員工還是有權訪問受損特權帳戶的外部參與者。 在兩個真實世界的例子中,管理員被迫停用高階主管帳戶的保留策略,允許高階主管清除其檔案和電子郵件以銷毀證據,而有權存取管理員帳戶的外部威脅行為者能夠在對組織發動擦除器攻擊之前刪除備份。 這些場景凸顯了對縱深防禦方法的必要性,包括補償控制來管理管理權限。
Microsoft 365 包含 保留鎖定 功能,可防止系統管理員停用或刪除保留原則和標籤,或降低其限制。 雖然這是確保數據安全並證明法規合規性的重要功能,但應謹慎使用,因為任何人 - 包括全域系統管理員,甚至 Microsoft 支援服務 - 都無法將其關閉。
保護原則的其他選項包括透過 Just-In-Time 提高許可權和核准來嚴格控制角色型存取,讓任何使用者都無法自行取得必要的許可權。 這些功能在 限制管理權限指南中進行了更詳細的說明。
針對 Azure 備份,Resource Guard 會要求個別訂用帳戶的許可權,才能執行受保護的作業,例如刪除或修改原則,或停用虛刪除,以提供 Privileged Identity Management 以外的額外安全性層。 如果做得好,這可以確保由一個單獨的團隊批准和監督,這意味著對受保護職能的任何更改都需要至少兩到三個人的參與。
快速入門
設定預設保留原則
若要保護 Microsoft 365 中的資料,您必須建立保留原則,並將它套用至適當的位置。 與保留標籤不同,您可以將多個保留原則套用至相同的內容,這表示您可以建立標準的全組織預設值,並在容器層級 (保留原則) 或專案層級 (保留標籤) 必要時套用較長的保留時間。
例如,在 Microsoft Purview 入口網站中的 [數據生命週期管理解決方案] 中建立適用於所有 Exchange 電子郵件收件者、所有 SharePoint 網站、所有 OneDrive 帳戶和所有 Microsoft 365 群組的保留原則,並設定原則以將專案保留 1 年,最後沒有任何動作。 原則會套用至所有現有位置,之後建立的新位置會繼承這些設定。 如果刪除專案,則會在 Exchange 的 [可復原專案] 資料夾 (適當位置、SharePoint 的保留庫和 OneDrive) 保留 1 年,然後才允許執行清除程式。 當 1 年保留到期時,未刪除的項目將保留在其位置中,並且可以無限期地保留在那裡,但是,如果之後刪除,它們會立即移至清理階段,以便在適當的服務中永久刪除。
您可以視需要透過套用至特定使用者或網站的更多保留原則,或在包含敏感性資訊的專案上使用保留標籤來強制執行較長的保留設定。 保留原則 可以具有調適型或靜態範圍,原則中可用的選項可能會根據此選取範圍而有所不同。 可能需要建立多個原則,才能涵蓋租使用者中的所有位置,因為 Teams 和 Yammer) 設定無法在包含其他服務的靜態原則中定義,Viva Engage (無法定義。
保留離職使用者的內容
保留已離開公司的使用者所擁有內容的傳統方法可能是將信箱匯出至 PST,並將其與個人檔案一起儲存在檔案伺服器或離線儲存媒體上,不過組織通常希望此數據在線,因此不僅可以由經理或繼任者手動檢閱,還可以透過電子檔探索解決方案提供該數據的可見度。 Microsoft 365 預設會在移除授權或刪除帳戶之後,將使用者的資料保留 30 天,在此期間,如果使用者返回組織,則可以存取或重新啟用資料。 若要在此期間到期之後保留數據,只要仍有要保護的內容,Microsoft 365 保留原則和保留標籤就可以防止刪除清除程式啟動。 這表示如果內容受到上一節所定義的 1 年保留保護,則離開組織的使用者將至少在刪除帳戶並重新指派授權之後,Microsoft 365 會保留其電子郵件和檔案。
雖然 Exchange Online 仍支援舊版訴訟保留功能,可保護整個信箱和封存,直到移除保留為止,但 Microsoft 建議改為使用 Microsoft 365 保留,根據內容套用不同的設定,並管理保留期間到期時數據應該發生的情況。
如需在 Microsoft 365 中管理前員工的詳細資訊,請參閱 管理前員工。
| ISM 控制 2025 年 3 月 | 到期 | Control | 測量 |
|---|---|---|---|
| 1511 | 1, 2, 3 | 資料、應用程式和設定的備份會根據業務重要性和業務持續性需求來執行和保留。 | Microsoft 365 保留可確保在高度復原的環境中擷取並保留儲存在服務內的資料。 保留標籤和/或原則必須如先前所述進行設定,但不需要排程或執行特定的複製程式,因為檔案會透過一般寫入或刪除作業來保留。 |
| 1515 | 1, 2, 3 | 將資料、應用程式和設定從備份還原到共同時間點是災難復原練習的一部分進行測試。 | 應驗證保留標籤和/或原則,讓資料保留如預期般執行。 |
| 1705 | 2, 3 | 特殊許可權使用者帳戶 (排除備份系統管理員帳戶) 無法存取屬於其他帳戶的備份。 | 應驗證保留標籤和/或原則所涵蓋之資料的存取權,以便充分瞭解存取權。 除了驗證之外,還應特別注意確保特殊許可權帳戶無法存取其他帳戶或自己帳戶的備份。 |
| 1707 | 2, 3 | 特殊許可權使用者帳戶 (排除備份管理員帳戶) 無法修改和刪除備份。 | 應驗證保留標籤和/或原則所涵蓋之資料的存取權,以便充分瞭解存取權。 除了驗證之外,還應特別注意確保特殊許可權帳戶無法存取其他帳戶或自己帳戶的備份。 |
| 1810 | 1, 2, 3 | 資料、應用程式和設定的備份會同步處理,以便還原至共同的時間點。 | 保留原則會儲存為 Microsoft 365 服務的一部分,而且應該適當地管理這些原則的管理和治理。 |
| 1811 | 1, 2, 3 | 資料、應用程式和設定的備份會以安全且有彈性的方式保留。 | 保留原則會儲存為 Microsoft 365 服務的一部分,而且應該適當地管理這些原則的管理和治理。 |
以使用者身分還原已刪除的信箱項目
當使用者刪除信箱中的項目時,它會移至 [刪除的郵件 ] 資料夾,並藉由開啟資料夾並將項目拖曳回所需的位置來復原。 如果使用者從 [刪除的郵件] 刪除項目、清空 [刪除的郵件] 資料夾,或選取 [Shift+Delete ] 從另一個資料夾永久刪除項目,則該項目會儲存在 [可復原的郵件 ] 資料夾中。
若要從「可復原的郵件」資料夾還原項目,使用者可以從 Outlook 桌面應用程式的工具列中選取「復原已刪除的郵件」選項,或以滑鼠右鍵按一下 Outlook 網頁版中的「已刪除郵件」資料夾。 然後可以選擇並恢復適當的項目,這會將項目返回到“刪除郵件”文件夾,然後可以將其移動到更永久的位置。 使用者也可以從「復原已刪除郵件」介面中清除項目,此時它們只能由管理員復原。
如需復原已刪除項目的詳細資訊,請參閱在 Windows 版 Outlook 中復原已刪除的郵件和在 Outlook Web App 中復原已刪除的郵件或電子郵件。
以管理員身分還原已刪除的信箱項目
系統管理員可以透過數種方式代表使用者復原已刪除的項目。
若要復原單一使用者的已刪除郵件,系統管理員可以在新 Exchange 管理員中心收件者的信箱設定中選取 [復原已刪除的郵件] 選項。
系統管理員也可以使用 Exchange Online PowerShell 使用 Get-RecoverableItems 和 Restore-RecoverableItems 命令來復原已刪除的專案。 使用 Exchange 管理員中心和 PowerShell 方法,專案會還原至其原始位置。
若要搜尋多個使用者的訊息,系統管理員可以使用 Microsoft Purview 入口網站中的內容搜尋功能。
搜尋完成後,即可獲得結果的詳細報告,管理員可以進一步優化查詢或將結果匯出至 PST 檔案。
內容搜尋方法也可用來復原儲存在 SharePoint Online 中的檔案,而且與 Standard 電子檔探索案例中使用的尋找和匯出內容機制相同。
| ISM 控制 2025 年 3 月 | 到期 | Control | 測量 |
|---|---|---|---|
| 1515 | 1, 2, 3 | 將資料、應用程式和設定從備份還原到共同時間點是災難復原練習的一部分進行測試。 | 使用者和系統管理員還原信箱專案時,都應記錄、測試和驗證,以確保定義和瞭解程式。 |
在 SharePoint 和 OneDrive 中還原舊版檔案
根據預設,系統會在 SharePoint Online 和商務商務用 OneDrive 中的所有清單和文件庫上啟用版本設定,並自動保留文件的最後 500 個版本。 SharePoint 只會儲存檔案之間的變更,以最佳化儲存需求,不過版本設定確實會影響網站配額,而且可以視需要在個別清單和文件庫上進行調整。
若要透過瀏覽器還原 SharePoint 或 OneDrive 中檔案的舊版,請開啟文件庫,選取要還原的檔案,選取省略符號,然後選取 [版本歷程記錄]。 可以查看和恢復各個版本,必要時甚至可以刪除以節省空間。
您也可以在檔案總管中以滑鼠右鍵選取檔案,或透過 [檔案>資訊] 在 Microsoft 365 Apps 企業版中存取版本歷程記錄:
| ISM 控制 2025 年 3 月 | 到期 | Control | 測量 |
|---|---|---|---|
| 1515 | 1, 2, 3 | 將資料、應用程式和設定從備份還原到共同時間點是災難復原練習的一部分進行測試。 | 雖然保留在 Microsoft 365 服務中的資料可能不需要還原測試,以確保成功完成備份,但您應該確定您瞭解在平臺內復原檔案、網站或電子郵件訊息的各種選項,以及適用於指定案例的選項。 Microsoft 365 會以自助方式直接提供還原功能給終端使用者,因此任何有問題的人都應該可以使用適當的檔和技術支援服務。 |
將 SharePoint 和 OneDrive 還原為已知的良好狀態
如果 OneDrive 或 SharePoint 文件庫中的許多檔案被刪除、覆寫、損毀或感染惡意代碼,您可以將整個文件庫還原到過去 30 天內的先前時間點。 從右上方的 [ 設定 ] 圖示中,選取 [還原您的 OneDrive] 或 [還原此文件庫]:
從下拉框中選擇昨天、一周前、三週前或自定義日期和時間,滑塊將相應地調整為選擇的適當文件。 滿意後,選擇 恢復, 突出顯示的更改將被撤消:
如需復原遺失、已刪除或損毀專案的詳細資訊,請參閱 如何在 SharePoint 和 OneDrive 中復原遺失、已刪除或損毀的專案。
| ISM 控制 2025 年 3 月 | 到期 | Control | 測量 |
|---|---|---|---|
| 1511 | 1, 2, 3 | 資料、應用程式和設定的備份會根據業務重要性和業務持續性需求來執行和保留。 | 檔案可以儲存在 SharePoint Online/商務商務用 OneDrive 或檔案共用上,並透過 Microsoft 365 保留或 Azure 備份以任何一種方式備份。 |
| 1515 | 1, 2, 3 | 將資料、應用程式和設定從備份還原到共同時間點是災難復原練習的一部分進行測試。 | 雖然保留在 Microsoft 365 服務中的資料可能不需要還原測試,以確保成功完成備份,但您應該確定您瞭解在平臺內復原檔案、網站或電子郵件訊息的各種選項,以及適用於指定案例的選項。 確保定期加強對恢復文件、網站和電子郵件選項的理解,以確保管理員和/或 IT 人員及時了解最新流程非常重要。 |
設定 Azure 備份
設定 Azure 備份的程式取決於您想要保護的服務,但第一個步驟一律是建立要儲存備份的保存庫。 Azure 提供兩種類型的保存庫: 復原服務保存庫 和 備份保存庫,而您需要建立的類型取決於您要使用的資料來源。
復原服務保存庫通常會存放 Azure 虛擬機器、Azure 檔案儲存體和 Azure SQL 資料庫等服務的資料或組態資訊複本,並支援與 System Center Data Protection Manager、Windows Server 和 Azure 備份伺服器整合。 復原服務保存庫支援虛刪除功能,可將已刪除備份的複本保留 14 天,而不會產生其他成本影響。
備份保存庫包含較新 Azure 工作負載的備份資料,例如適用於 PostgreSQL 的 Azure 資料庫、Azure Blob、Azure 磁碟、Kubernetes 服務和 AVS 虛擬機器。
保存庫和備份可以透過 Azure 備份中心建立,提供單一統一的管理體驗,以大規模控管、監視、操作和分析備份。
Microsoft Docs 提供設定各種備份作業的詳細指引,例如:Azure VM、Azure VM 上的 SQL、Azure 磁碟、Azure Blob 和 Azure 檔案儲存體。
Microsoft Azure 復原服務 (MARS) 代理程式可用來備份內部部署電腦的檔案、資料夾和磁碟區或系統狀態,甚至備份 Azure 虛擬機器的個別檔案和資料夾。 MARS 代理程式可以下載並安裝在個別伺服器上,以直接備份至 Azure,或 (MABS) 或 System Center Data Protection Manager (DPM) 伺服器的 Microsoft Azure 備份 伺服器上;在此案例中,機器和工作負載會備份至 MABS/DPM,然後使用 MARS 代理程式備份至 Azure 保存庫。
若要保護內部部署工作負載,例如 Hyper-V 虛擬機器、Microsoft SQL Server、SharePoint Server 和 Microsoft Exchange,請在已加入網域的伺服器上安裝 Microsoft Azure 備份伺服器。 MABS 現在也可用於保護 VMware VM。
| ISM 控制 2025 年 3 月 | 到期 | Control | 測量 |
|---|---|---|---|
| 1511 | 1, 2, 3 | 資料、應用程式和設定的備份會根據業務重要性和業務持續性需求來執行和保留。 | Azure 備份提供將資源備份至雲端的簡單解決方案,並提供本機和地理備援儲存體選項。 備份可以隨選或排程執行,而且可能會透過 Windows Server 系統狀態包含軟體和伺服器組態資訊。 |
| 1515 | 1, 2, 3 | 將資料、應用程式和設定從備份還原到共同時間點是災難復原練習的一部分進行測試。 | Azure 備份提供跨內部部署和雲端工作負載的廣泛傳統備份服務。 還原選項因工作負載而異,但一般而言,您可以選取要還原的時間點,以及是否要還原至原始位置或替代位置。 測試計劃應該包含所有選項。 |
Microsoft 365 備份
Microsoft 365 備份服務是 Microsoft 原生的雲端備份解決方案,用於備份位於內部部署和 Azure 中的資料。 它用可靠、安全且具有成本競爭力的雲端備份解決方案取代您現有的內部部署或異地備份解決方案。 它還提供了保護在雲端中運行的資產的靈活性。
關鍵架構要點:
- 資料永遠不會離開 Microsoft 365 資料信任界限或目前資料落地的地理位置。
- 除非備份工具系統管理員透過產品離線明確刪除,否則備份是不可變的。
- OneDrive、SharePoint 和 Exchange 有多個資料的實體備援複本,以防範實體災害。
使用 Microsoft 365 Desired State Configuration (DSC) 工具管理租戶組態
Microsoft 365 DSC 是一項由Microsoft工程師領導並由社群維護的 Open-Source 計劃,可讓您撰寫 Microsoft 365 租戶應如何設定的定義、自動部署該組態並確保監控已定義的組態、通知偵測到的組態偏差並採取行動。 它還允許您從任何現有的 Microsoft 365 租用戶中提取完全擬真配置,包括主要工作負載,例如 Exchange Online、Teams、SharePoint、OneDrive、安全性和合規性、Power Platforms、Intune 和 Planner。
Microsoft 365 DSC 使用者指南已推出,可協助您開始使用。 根據組織的喜好設定,工具可以以多種方式使用:以最簡單的形式,此工具可用來從 Microsoft 365 租用戶擷取設定,並將其儲存為一系列檔案,以防將來需要復原或還原。 另一個選項是維護預備租用戶,並透過工具將所有變更部署至生產環境。
| ISM 控制 2025 年 3 月 | 到期 | Control | 測量 |
|---|---|---|---|
| 1511 | 1, 2, 3 | 資料、應用程式和設定的備份會根據業務重要性和業務持續性需求來執行和保留。 | 您可以使用 Microsoft 365DSC 工具擷取 Microsoft 365 環境的組態設定,做為使用者易記的 Excel 或 HTML 報告,或做為可用來重設租用戶組態的匯出套件。 |
| 1515 | 1, 2, 3 | 將資料、應用程式和設定從備份還原到共同時間點是災難復原練習的一部分進行測試。 | Microsoft 365DSC 工具可用來匯入先前擷取的組態資料以進行還原。 |
1 級要求
資料、應用程式和設定的備份會根據業務重要性和業務持續性需求來執行和保留
Microsoft 365 保留可確保在高度復原的環境中擷取並保留儲存在服務內的資料。 保留標籤和/或原則必須如先前所述進行設定,但不需要排程或執行特定的複製程式,因為檔案會透過一般寫入或刪除作業來保留。
Azure 備份提供將資源備份至雲端的簡單解決方案,並提供本機和地理備援儲存體選項。 備份可以隨選或排程執行,而且可能會透過 Windows Server 系統狀態包含軟體和伺服器組態資訊。
您可以使用 Microsoft 365DSC 工具擷取 Microsoft 365 環境的組態設定,做為使用者易記的 Excel 或 HTML 報告,或做為可用來重設租用戶組態的匯出套件。 檔案可以儲存在 SharePoint Online/商務商務用 OneDrive 或檔案共用上,並透過 Microsoft 365 保留或 Azure 備份以任何一種方式備份。
將資料、應用程式和設定從備份還原到共同時間點,會作為災難復原練習的一部分進行測試
雖然保留在 Microsoft 365 服務中的資料可能不需要還原測試,以確保成功完成備份,但您應該確定您瞭解在平臺內復原檔案、網站或電子郵件訊息的各種選項,以及適用於指定案例的選項。 Microsoft 365 會以自助方式直接提供還原功能給終端使用者,因此任何有問題的人都應該可以使用適當的檔和技術支援服務。 應透過災害復原練習定期加強對復原檔案、網站和電子郵件訊息選項的瞭解。
Azure 備份提供跨內部部署和雲端工作負載的廣泛傳統備份服務。 還原選項因工作負載而異,但一般而言,您可以選取要還原的時間點,以及是否要還原至原始位置或替代位置。 測試計劃應該包含所有選項。
非特殊許可權的使用者帳戶無法存取屬於其他帳戶的備份
使用 Microsoft 365 就地保留時,沒有個別的數據複本,而且存取權是根據資訊的位置而定。 例如,所有具有讀取權限的使用者都可以檢視 SharePoint Online 中檔案的版本歷程記錄,但只有具有參與權限的使用者實際上可以還原先前的版本。 關於控制項,這表示非特殊許可權帳戶無法存取比他們已有存取權更多的資訊。
必須授與備份參與者、備份操作員或備份讀取者角色,才能存取 Azure 備份,因此根據定義,非特殊許可權帳戶不會有任何資料存取權。
禁止非特殊許可權使用者帳戶修改或刪除備份
任何使用者,無論是特殊許可權或其他使用者,都無法修改或刪除 Microsoft 365 中保留的資料複本。
非特殊許可權帳戶完全無法存取 Azure 備份,更不用說修改或刪除備份的許可權了。
2 級要求
非特殊許可權的使用者帳戶無法存取屬於其他帳戶的備份
Microsoft 365 中沒有單獨的備份供非特權帳戶訪問,他們只能看到他們已經有權訪問的文件版本。 一般而言,如果控制項的目的是確保使用者無法透過備份存放庫存取資訊,否則他們無法看到,則 Microsoft 365 會符合需求,因為就地保留期間沒有重複的內容 - 非特殊許可權帳戶只能存取其授權的數據, 甚至特權帳戶也必須被授予特定的存取權限。
非特殊許可權使用者帳戶,以及 (排除備份管理員) 的特殊許可權使用者帳戶,無法修改或刪除備份
任何使用者,無論是特殊許可權或其他使用者,都無法修改或刪除 Microsoft 365 中保留的資料複本。 不過,特殊許可權使用者可以修改或刪除保留原則,以便不再保留資訊。 保留鎖定 可用來確保任何人 (包括全域系統管理員) 無法關閉原則、刪除原則,或降低限制。 雖然這有助於防範惡意系統管理員,但在決定是否使用此控制項之前,請務必先瞭解對組織的影響。
在 Azure 備份的 RBAC 模型下,只有備份參與者有權修改或刪除備份。 Azure 備份也提供預設啟用的虛刪除功能,如果意外或惡意刪除,則會將已刪除的備份額外保留 14 天。
3 級要求
非特殊許可權使用者帳戶,以及特殊許可權使用者帳戶 (不包括備份系統管理員) ,無法存取備份
Microsoft 365 中沒有單獨的備份供特殊許可權或非特殊許可權帳戶存取。 雖然使用者可以存取保留的檔案及其版本,但存取此資料作為主要副本與備份之間沒有區別。
非特殊許可權帳戶或未授與適當許可權的特殊許可權帳戶無法存取 Azure 備份,因此無法存取備份。
非特殊許可權使用者帳戶,以及特殊許可權使用者帳戶 (排除備份中斷玻璃帳戶) ,無法修改或刪除備份
如同成熟度層級 2 需求,任何使用者 (特殊許可權或其他) 都無法修改或刪除 Microsoft 365 中保留的資料複本。
只有備份參與者有權修改或刪除 Azure 備份中的備份。 若要確保只有備份休息玻璃帳戶具有這些權限,請僅將此角色授予此類帳戶。
使用 Microsoft Platform 管理成熟度層級
下列資訊提供實作動作的指引,以達到定期備份所需的成熟度層級。 Microsoft 安全性與合規性平臺可用來實現實作並追蹤合規性。 Microsoft Purview 合規性管理員 提供範本來評估、管理和追蹤 Essential Eight 控件的實作。
組織可以選擇 Essential Eight 範本,並根據其目標成熟度等級建立評量。 評量範本提供可操作的指引,以實作改善動作,以達到所需的成熟度層級。 有關更多詳細信息,請參閱 ACSC 的基本八成熟度模型 。
參考 - 文章
- 復原和連續性概觀
- 什麼是 Azure 備份服務?
- 簡介 - Microsoft365DSC - 您的雲端設定
- 瞭解保留原則和保留標籤
- 建立和管理非使用中信箱
- Microsoft 365 中的惡意代碼和勒索軟體防護
- 為您的 Microsoft 365 租用戶部署勒索軟體防護
- ISM 映射的基本八成熟度模型
參考 - 成熟度等級
| ISM 控制 2025 年 3 月 | 第 1 級 | 第 2 級 | 3級 |
|---|---|---|---|
| 1511 資料、應用程式和設定的備份是根據業務關鍵性和業務連續性要求執行和保留的。 | Y | Y | Y |
| 1810 同步處理資料、應用程式和設定的備份,以便還原到共同的時間點。 | Y | Y | Y |
| 1811 資料、應用程式和設定的備份會以安全且有彈性的方式保留。 | Y | Y | Y |
| 1515 將資料、應用程式和設定從備份還原到共同時間點作為災難復原練習的一部分進行測試。 | Y | Y | Y |
| 1812 非特殊許可權使用者帳戶無法存取屬於其他帳戶的備份。 | Y | Y | Y |
| 1814 禁止非特殊許可權使用者帳戶修改和刪除備份。 | Y | Y | Y |
| 1813 非特殊許可權使用者帳戶無法存取屬於其他帳戶的備份,也無法存取自己的帳戶。 | N | Y | Y |
| 1705 特殊許可權使用者帳戶 (排除備份系統管理員帳戶) 無法存取屬於其他帳戶的備份 | N | Y | Y |
| 1707 特殊許可權使用者帳戶 (不包括備份管理員帳戶) 無法修改和刪除備份。 | N | Y | Y |
| 1706 特權使用者帳戶 (排除備份管理員帳戶) 無法存取自己的備份。 | N | N | Y |
| 1708 備份管理員帳戶在保留期間無法修改和刪除備份。 | N | N | Y |