Microsoft 365 ถูกใช้ในองค์กรไทยกว่า 80% ที่ทีมเราเคย audit แต่น้อยกว่าครึ่งที่ตั้งค่า security ได้ถูกต้อง Microsoft ออกแบบ default settings เพื่อความสะดวกในการใช้งาน — ไม่ใช่เพื่อ security สูงสุด ทำให้หลาย setting สำคัญปิดอยู่โดย default
จากการ audit M365 tenant ขององค์กรไทย 150 แห่งในปี 2568 พบว่า 67% ไม่ได้เปิด MFA สำหรับทุก account, 81% ไม่ได้ตั้งค่า DMARC policy เป็น reject และ 91% ไม่ได้เปิด audit logging ครบถ้วน
Priority 1: Critical — ทำทันที
เปิด MFA สำหรับทุก Account
นี่คือ setting ที่สำคัญที่สุดและไม่มีข้อแม้ — บังคับ MFA ทุก user ทุก admin ทุก service account ลด account takeover ได้ 99.9%
Microsoft Entra Admin Center → Security → MFA → Per-user MFA หรือ Conditional Accessเปิด Security Defaults หรือ Conditional Access
ถ้ายังไม่มี Entra ID P1/P2 — เปิด Security Defaults ก่อน มันจะ enforce MFA, บล็อก legacy authentication, และป้องกัน privileged operations โดยอัตโนมัติ ถ้ามี license แล้วใช้ Conditional Access แทนเพื่อ fine-tune
Microsoft Entra Admin Center → Properties → Manage Security defaultsBlock Legacy Authentication Protocols
POP3, IMAP, SMTP AUTH แบบเดิมไม่รองรับ MFA — attacker ใช้ช่องนี้ bypass MFA ได้ทันที Block ทุก legacy protocol เว้นแต่จะมี use case เฉพาะที่จำเป็นจริงๆ
Entra Admin Center → Security → Conditional Access → Block Legacy Authentication policyเปิด Unified Audit Log
โดย default audit log อาจปิดอยู่ใน tenant เก่า เปิดให้ครบ — ถ้าเกิด incident และ audit log ไม่มี การสืบสวนเป็นไปแทบไม่ได้เลย เก็บ log ไว้อย่างน้อย 90 วัน (หรือ 1 ปีถ้า compliance ต้องการ)
Microsoft Purview → Audit → Start recording user and admin activityPriority 2: High — ทำภายในสัปดาห์นี้
ตั้งค่า DMARC / DKIM / SPF ให้ครบ
ป้องกันไม่ให้คนปลอม email domain ขององค์กรได้ ตั้ง DMARC policy เป็น p=reject ซึ่งจะ reject อีเมลที่ไม่ผ่าน authentication ทันที (อย่าลืมตั้ง DKIM signing ใน Exchange Online ก่อน)
เปิด Safe Links และ Safe Attachments (Defender for Office 365)
Safe Links จะ scan URL ทุก link ใน email แบบ real-time ก่อนที่ user จะถึง destination, Safe Attachments จะ detonate ไฟล์แนบใน sandbox ก่อน deliver ให้ user ถ้ามี Plan 1 ขึ้นไป เปิดทันที
Microsoft Defender portal → Email & collaboration → Policies & rules → Threat policiesปิด Auto-Forwarding ไปยัง External Address
เมื่อ attacker เข้าถึง mailbox ได้ มักตั้ง auto-forward ไปยัง email ภายนอกเพื่อดักอ่านข้อมูลอย่างเงียบๆ ปิดความสามารถนี้ด้วย outbound spam filter policy
Exchange Admin Center → Mail flow → Remote domains → Default → Uncheck "Allow automatic forwarding"จำกัด Global Admin Accounts
Global Admin ควรมีไม่เกิน 2–4 account และต้องไม่ใช้สำหรับงานประจำวัน ใช้ role เฉพาะ เช่น Exchange Admin, User Admin แทน และ Global Admin ควรเปิดใช้เฉพาะตอนจำเป็น (Privileged Identity Management)
Microsoft Entra Admin Center → Roles and administrators → Global administratorPriority 3: Medium — ทำภายในเดือนนี้
เปิด Microsoft Secure Score และ Follow Recommendations
Microsoft Secure Score คือ dashboard ที่บอกว่า tenant ของคุณ secure แค่ไหนและควรทำอะไรต่อ เปิดดูและ implement recommendation ที่มี impact สูงแต่ effort ต่ำก่อน
Microsoft Defender portal → Secure Scoreตั้งค่า Password Protection และ Banned Passwords
Microsoft Entra Password Protection ป้องกัน user จากการใช้ password ที่อ่อนแอหรือ password ที่เกี่ยวข้องกับองค์กร เช่น ชื่อบริษัท + ปี สามารถเพิ่ม custom banned password list ได้
Microsoft Entra Admin Center → Security → Authentication methods → Password protectionเปิด Alert Policies สำหรับ Suspicious Activity
ตั้ง alert เมื่อ: มี login จาก impossible travel, mass file download จาก SharePoint, account ถูก lock out บ่อยผิดปกติ, admin role เปลี่ยนแปลง — ทั้งหมดนี้มีใน Microsoft Purview compliance portal
Microsoft Purview → Alerts → Alert policies → Review defaults + เพิ่ม customตั้งค่า Data Loss Prevention (DLP) Policy
ป้องกันข้อมูล sensitive เช่น เลขบัตรประชาชน, เลขบัตรเครดิต ถูกส่งออกไปทาง email หรือ Teams โดยไม่ตั้งใจ Microsoft มี template สำหรับ Thailand Personal Data (PDPA) ให้ใช้ได้เลย
Microsoft Purview → Data loss prevention → Policies → Create policy → Thailandไม่แน่ใจว่า M365 tenant ของคุณ secure พอไหม? ทีมเราสามารถทำ M365 Security Assessment ให้ฟรี — ได้รายงานที่บอกทุก misconfiguration และ priority ในการแก้ไข
ให้ทีมเรา Audit M365 ให้องค์กรคุณ
CyberAlpha ให้บริการ Microsoft 365 Security Assessment — ตรวจสอบ configuration ทั้งหมด พร้อมรายงานและ action plan ที่ชัดเจน ทำได้ภายใน 1 วันทำการ