Το Microsoft 365 tenant σας είναι cloud υποδομή: εκατοντάδες ρυθμίσεις με σημασία για την ασφάλεια σε Entra ID, Exchange Online, SharePoint και Teams, και παρεκκλίνουν ακριβώς όπως ένας αδιαχείριστος λογαριασμός AWS. Ένας admin αλλάζει μια ρύθμιση κατά τη διάρκεια ενός περιστατικού και δεν την επαναφέρει ποτέ. Η Microsoft αλλάζει μια προεπιλογή σε ένα service update. Ένας προμηθευτής παίρνει guest πρόσβαση για ένα pilot που τελείωσε πριν από δύο τρίμηνα. Κανείς δεν τα επανεξετάζει, γιατί το tenant είναι "θέμα του IT", όχι "θέμα υποδομής". Το posture scanning είναι η βαρετή, αποτελεσματική λύση: συνεχής σύγκριση της πραγματικής διαμόρφωσης του tenant με ένα δημοσιευμένο security baseline και αναφορά των κενών. Και το 2026 ο πρακτικός τρόπος να τρέξεις αυτόν τον scanner είναι ως SaaS, που σημαίνει ότι ελέγχεις το cloud με cloud. Αυτό το άρθρο είναι το 101, με παράδειγμα το Aether365. Πλήρης διαφάνεια: το Aether365 είναι δικό μου προϊόν.

Μία αρχή πριν ξεκινήσουμε: το read-only είναι η προεπιλογή. Τίποτα δεν αποκτά δικαίωμα εγγραφής στο tenant σας χωρίς ξεχωριστή, ρητή συγκατάθεση.

Αντιμετωπίστε το tenant σαν λογαριασμό παραγωγής

Αν κάποιος έτρεχε παραγωγικό AWS χωρίς config audit, χωρίς ανίχνευση drift και χωρίς ιστορικό αλλαγών, θα το λέγατε αμέλεια. Οι περισσότεροι οργανισμοί τρέχουν το Microsoft 365 ακριβώς έτσι, ενώ αυτό φιλοξενεί τον identity provider τους, όλο τους το email και τα περισσότερα αρχεία τους. Το tenant είναι το επίπεδο ταυτότητας για οτιδήποτε άλλο τρέχετε. Μια λάθος ρύθμιση Conditional Access εκεί αξίζει για έναν επιτιθέμενο περισσότερο από ένα δημόσιο S3 bucket.

Η νοοτροπία της υποδομής μεταφέρεται αυτούσια. Θέλετε ένα δηλωμένο baseline, μια προγραμματισμένη σύγκριση της πραγματικότητας με αυτό, και μια ειδοποίηση όταν τα δύο αποκλίνουν. Στον κόσμο του AWS θα καταφεύγατε σε Config rules ή στα standards του Security Hub. Για το Microsoft 365, τα αντίστοιχα είναι τα posture benchmarks.

Τα τρία benchmarks που αξίζει να ξέρετε

Τρία baselines καλύπτουν το μεγαλύτερο μέρος αυτών που μετράνε, και κάθε σοβαρός scanner αντιστοιχίζεται σε τουλάχιστον ένα από αυτά:

  • CIS Microsoft 365 Foundations Benchmark: το ευρύτερο, 800+ έλεγχοι σε ολόκληρη τη σουίτα, από την επιβολή MFA μέχρι το mailbox auditing και τις πολιτικές κοινής χρήσης. Η προεπιλεγμένη απάντηση στο "ελεγμένο με βάση τι;"
  • EIDSCA (Entra ID Security Configuration Analyzer): εστιασμένο αποκλειστικά στο Entra ID, στις ρυθμίσεις που αποφασίζουν ποιος μπορεί να αυθεντικοποιηθεί, να δώσει συγκατάθεση και να καταχωρήσει εφαρμογές. Μικρή επιφάνεια, μέγιστη ακτίνα ζημιάς.
  • CISA ScuBA (Secure Cloud Business Applications): το baseline της ομοσπονδιακής κυβέρνησης των ΗΠΑ για το M365. Αυστηρότερο και με πιο έντονη άποψη. Χρήσιμο και εκτός δημοσίου ως αναφορά τύπου "τι θα έκανε ένας δύσκολος στόχος".

Τα benchmarks επικαλύπτονται, και αυτό δεν πειράζει. Η επικάλυψη στους ελέγχους ταυτότητας σας δείχνει πού βρίσκεται η συναίνεση, και τα ευρήματα συναίνεσης είναι αυτά που διορθώνετε πρώτα.

Scripts ή SaaS: το πραγματικό δίλημμα

Μπορείτε κάλλιστα να τρέξετε αυτούς τους ελέγχους μόνοι σας. Το Graph API είναι εκεί, εργαλεία της κοινότητας όπως το Maester καλύπτουν μεγάλο μέρος του, και ένα προγραμματισμένο PowerShell run σε ένα tenant είναι project ενός σαββατοκύριακου. Μου αρέσει αυτή η προσέγγιση για να μάθει κανείς τι κάνουν πραγματικά οι έλεγχοι.

Σταματάει να κλιμακώνεται σε τρεις άξονες. Συντήρηση: τα benchmarks αλλάζουν εκδόσεις, τα Graph endpoints αλλάζουν, και η συλλογή των scripts σας γίνεται σιωπηλά ένα προϊόν που σας ανήκει. Ιστορικό: ένα script στιγμιαίας λήψης σας λέει τη σημερινή κατάσταση, αλλά οι ερωτήσεις για το posture είναι ερωτήσεις τάσης, πότε υποχώρησε αυτός ο έλεγχος και τι άλλαξε γύρω του. Πολλαπλά tenants: τη στιγμή που διαχειρίζεστε πάνω από ένα tenant, ένας MSP με τριάντα πελάτες ας πούμε, τα scripts και τα credentials ανά tenant γίνονται ο ίδιος ο κίνδυνος.

Ένας SaaS scanner αντιστρέφει τη συναλλαγή: του δίνετε read-only συγκατάθεση Microsoft Graph, τρέχει σαρώσεις συμμόρφωσης και έκθεσης σε πρόγραμμα, ημερήσιο, εβδομαδιαίο ή μηνιαίο, και κρατάει το ιστορικό. Το μοντέλο συγκατάθεσης είναι το κομμάτι που πρέπει να εξετάσετε εξονυχιστικά, γιατί συνδέετε μια εξωτερική υπηρεσία στο επίπεδο ταυτότητάς σας. Το read-only πρέπει να είναι η προεπιλογή και οτιδήποτε πέρα από αυτό πρέπει να είναι ξεχωριστή, ρητή συγκατάθεση που μπορείτε να αρνηθείτε. Αυτή η μία ιδιότητα είναι που κάνει το "cloud ελέγχει cloud" αποδεκτό για ένα ρυθμιζόμενο tenant στην ΕΕ.

Τι καλύπτει το Aether365

Το Aether365 είναι η δική μου εκδοχή αυτού του scanner. Ο πυρήνας είναι σάρωση συμμόρφωσης απέναντι και στα τρία παραπάνω benchmarks συν σάρωση έκθεσης, προγραμματισμένη ανά tenant, με διαχείριση πολλαπλών tenants για MSPs, ειδοποιήσεις σε Teams και email, και ένα REST API συν ενσωματωμένο MCP server αν θέλετε ο AI βοηθός σας να κάνει ερωτήματα στα αποτελέσματα των σαρώσεων. Εδρεύει στην ΕΕ και συμμορφώνεται με τον GDPR, διαλέγετε την περιοχή δεδομένων σας κατά την εγγραφή, και τα δεδομένα σάρωσης δεν χρησιμοποιούνται ποτέ για εκπαίδευση κανενός μοντέλου.

Δύο δυνατότητες πηγαίνουν πέρα από την εσωτερική εικόνα του tenant. Το External Attack Surface ελέγχει τι εκθέτει το tenant προς τα έξω: εγγραφές SPF, DKIM και DMARC, που είναι κρίσιμες για το M365 mail, λήξη πιστοποιητικών με προειδοποιήσεις 90 ημερών, dangling DNS και κίνδυνο subdomain takeover, legacy authentication endpoints που έμειναν ανοιχτά, και δημόσια SharePoint και OneDrive shares. Και το AI Pilot, opt-in και μόνο για Pro και Enterprise, μετατρέπει τα ευρήματα σε συγκεκριμένες διορθώσεις Microsoft Graph που εγκρίνετε ανά στοιχείο πριν εφαρμοστεί οτιδήποτε, με επαληθευμένο audit trail. Το read-only παραμένει η προεπιλογή. Η διαδρομή εγγραφής είναι ξεχωριστή συγκατάθεση Microsoft που ενεργοποιείτε μόνο αν τη θέλετε. Υπάρχει Free tier με μηνιαίες σαρώσεις σε ένα tenant, αρκετό για να δείτε το πρώτο σας CIS σκορ, και αυτό το πρώτο σκορ είναι συνήθως το κίνητρο.

Το συμπέρασμα

Το 101 είναι απλό: το Microsoft 365 tenant σας αξίζει την ίδια πειθαρχία posture με τους cloud λογαριασμούς σας, τα benchmarks για τη μέτρηση υπάρχουν ήδη, και το λειτουργικό ερώτημα είναι μόνο αν τρέχετε τον scanner μόνοι σας ή δίνετε συγκατάθεση σε ένα SaaS να το κάνει read-only σε πρόγραμμα. Τα scripts σας μαθαίνουν τους ελέγχους. Μια υπηρεσία σας κρατάει ειλικρινείς σε βάθος χρόνου. Σε κάθε περίπτωση, ο τρόπος αποτυχίας που πρέπει να αποφύγετε είναι η σημερινή προεπιλογή: να μην ελέγχει κανείς τίποτα.

Διαβάστε στη συνέχεια

Για την πλευρά AI της ίδιας πλατφόρμας, γιατί η αποκατάσταση χρειάζεται πύλη έγκρισης και σε τι πραγματικά χρησιμεύουν οι αναφορές που παράγονται από AI, δείτε το M365 Security 101: AI Pilot and Business Impact Reports στο ercan.ai. Για συμβουλευτική σε cloud, security posture και platform δουλειά, ή απλώς για ένα γεια, ξεκινήστε από το ercanermis.com.