บทนำ
Microsoft 365 มีความปลอดภัยที่แข็งแกร่ง เมื่อคุณเปิดใช้ฟีเจอร์ SME ในไทยและสิงคโปร์มักซื้อ Standard แต่ข้าม MFA และ legacy auth — ช่องว่างที่พบบ่อยที่สุดหลังย้ายระบบ เช็กลิสต์นี้ครอบคลุมการควบคุมที่มีผลสูงโดยไม่ต้องมี enterprise SOC
ระดับ 1 — ทุก tenant (ฟรีหรือรวมอยู่แล้ว)
Multi-factor authentication (MFA)
บังคับ MFA สำหรับผู้ดูแลและผู้ใช้ทุกคนผ่าน Microsoft Entra ID → Security → MFA แนะนำ Authenticator app มากกว่า SMS เมื่อเป็นไปได้
เหตุผล: หยุด password-spray และการยึดบัญชีจากฟิชชิ่ง — สาเหตุอันดับ 1 ของ business email compromise
ปิด legacy authentication
บล็อก POP/IMAP และไคลเอนต์เก่าที่ข้าม MFA: Entra ID → Security → Conditional Access (Premium) หรือนโยบายบล็อก legacy auth
รักษาบัญชีผู้ดูแล
- Global Admins ไม่เกิน 2–3 คน ใช้บัญชีไม่ใช่ admin ในชีวิตประจำวัน
- แยก admin UPN (เช่น
[your domain]) พร้อม MFA - ไม่แชร์รหัสผ่านในสเปรดชีต
ระดับ 2 — Business Standard ขึ้นไป
Safe Links และ Safe Attachments
เปิดใน Microsoft Defender portal → Email & collaboration → Policies Standard รวม Defender for Office 365 พื้นฐาน ปรับนโยบายสำหรับกล่องจดหมายการเงินและ HR ก่อน
Audit logging
ตรวจ audit log ใน Purview หาการส่งต่อผิดปกติและ inbox rules ใหม่ — พบบ่อยหลังถูกบุกรุก
ระดับ 3 — Business Premium หรือ Enterprise
Intune device compliance
บังคับอุปกรณ์ที่จัดการสำหรับอีเมลบริษัท:
- ลงทะเบียน Windows และมือถือผ่าน Company Portal
- บล็อกมือถือ jailbreak จาก Exchange sync
- ดู Business Premium สำหรับ Intune ที่รวมอยู่
Defender for Business
แอนตี้ไวรัสและ EDR บน PC — ติดตั้งจากคอนโซล Microsoft 365 Defender
Conditional Access
บล็อกการลงชื่อจากประเทศที่ไม่คาดคิด บังคับอุปกรณ์ที่ compliant หรือ MFA เมื่อลงชื่อเสี่ยง — ต้องการ Entra ID P1 (รวมใน Premium / E3+)
นิสัยอีเมลที่ดี (ไม่ใช่เทคนิค)
- อบรมพนักงานรายงานฟิชชิ่ง — ใช้ Report message ใน Outlook
- ไม่เปลี่ยนเงินเดือนจากอีเมลอย่างเดียว — ยืนยันทางโทรศัพท์
- ปิด automatic forwarding ไปที่อยู่ภายนอก เว้นแต่จำเป็น
PDPA และการสอดคล้องกับ PDPA สิงคโปร์
การควบคุมด้านความปลอดภัยสนับสนุน ความรับผิดชอบ ภายใต้ PDPA: การควบคุมการเข้าถึง การตรวจจับการละเมิด และการเก็บรักษา Microsoft 365 ไม่ compliant อัตโนมัติ — คุณต้องตั้งค่า retention labels, DLP และกระบวนการ Premium / E3 ปลดล็อกเครื่องมือ การทบทวนทางกฎหมายยังจำเป็น
การจับคู่แผน
| การควบคุม | แผนขั้นต่ำ |
|---|---|
| MFA, Defender พื้นฐาน | Business Basic+ |
| Office เดสก์ท็อป + นโยบาย Defender | Business Standard+ |
| Intune, Conditional Access P1, Defender for Business | Business Premium+ |
| DLP ขั้นสูง, eDiscovery | Enterprise E3/E5 |
เมื่อไหร่ควรอัปเกรดแผนเพื่อความปลอดภัยอย่างเดียว
หากจัดการ ข้อมูลส่วนบุคคลจำนวนมาก ข้อมูล สุขภาพ หรือ การเงิน Business Premium หรือ E3 มักถูกกว่าการกู้คืนหลังถูกบุกรุก เปรียบเทียบ Premium vs Standard
ขั้นตอนถัดไป
Common questions
What is the most important security step for Microsoft 365?
Enable multi-factor authentication (MFA) for all users — especially admins. MFA stops most password-based attacks and takes less than 15 minutes to enable for a small business tenant.
Do I need Business Premium for security?
Not necessarily. Business Basic and Standard include MFA and basic Defender for Office 365. Business Premium adds Intune device management, Defender for Business EDR, and Conditional Access — needed if you manage devices or handle sensitive data.
How do I block legacy authentication in Microsoft 365?
Use Conditional Access policies (requires Business Premium or Enterprise) or legacy auth blocking policies. This prevents older email clients that bypass MFA from accessing your tenant.
Is Microsoft 365 secure enough for PDPA compliance?
Microsoft 365 has the technical controls needed for PDPA — but compliance depends on your configuration. You must enable MFA, configure retention policies, set up DLP, and process data appropriately. Premium or E3 plans give you the tools; you still need to configure them.
