Защита на вашите акаунти за глобален администратор на Office 365

Забележка:  Бихме искали да ви осигурим най-новото помощно съдържание възможно най-бързо на вашия собствен език. Тази страница е преведена чрез автоматизация и може да съдържа граматически грешки и несъответствия. Нашата цел е това съдържание да ви бъде полезно. Можете ли да ни кажете дали информацията е била полезна за вас, в дъното на тази страница? Ето статията на английски за бърза справка.

Резюме: Можете да защитите вашия абонамент за Office 365 от атаки на базата на компромисни на глобален администратор акаунт.

Пробиви в сигурността на абонамент за Office 365, включително събирането на информация и фишинг атаки, обикновено се изпълняват от да се нарушава идентификационни данни на акаунт на глобален администратор на Office 365. Защита в облака е между вас и Microsoft:

  • Microsoft услуги в облак са изградени на основата на сигурност и защита. Microsoft предоставя механизми за защита и възможности, за да ви помогне да защитите вашите данни и приложения.

  • Вие сте собственик на вашите данни и самоличностите и отговорност за защитата им, защитата на вашите локални ресурси и защитата на облак компоненти, можете да контролирате.

Microsoft предоставя възможности за защита на вашата организация, но те са ефективни само ако ги използвате. Ако не ги използвате, може да бъде уязвим за атаки. За да защитите вашия глобален администратор акаунти, Microsoft е тук, за да ви помогне с подробни инструкции за:

  1. Създаване на специална акаунти за Office 365 глобален администратор и използвайте ги само когато е необходимо.

  2. Конфигуриране на многофакторно удостоверяване за акаунтите специална глобален администратор в Office 365 и Използвай силните вторични удостоверяване.

  3. Разрешаване и конфигуриране на Office 365 облак приложение сигурност за наблюдение за подозрителни глобален администратор акаунт дейност.

Забележка: Въпреки че тази статия е насочена към глобален администратор акаунти, трябва да помислите дали допълнителни акаунти с широки разрешения за достъп до данните във вашия абонамент, като администратор на електронни данни или защита или съответствие акаунти на администратор, трябва да бъдат защитени по същия начин.

Стъпка 1. Създаване на специална акаунти за глобален администратор на Office 365 и използване на ги само когато е необходимо

Има относително малко административни задачи, например присвояване на роли на потребителски акаунти, които изискват глобален администраторски права. Следователно вместо да използвате ежедневни потребителски акаунти, които са присвоени ролята на глобален администратор, изпълнете тези стъпки:

  1. Определяне на набор от потребителски акаунти, които са присвоени ролята на глобален администратор. Можете да направите това с тази команда в командния ред на Microsoft модула Azure Active Directory за Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Влезте във вашия абонамент за Office 365 с потребителски акаунт, която е възложена ролята на глобален администратор.

  3. Създаване на най-малко един и най-много пет ангажиран глобален администратор потребителски акаунти. Използвайте сигурни пароли поне 12 знаци дълго За повече информация вижте Създаване на сигурна парола . Съхраняване на пароли за нови акаунти в защитено местоположение.

  4. Присвоите ролята на глобален администратор на всеки нов специален глобален администратор потребителски акаунти.

  5. Излизане от Office 365.

  6. Влезте с една от новите специална глобален администратор потребителски акаунти.

  7. За всеки съществуващ потребителски акаунт, която е възложена ролята на глобален администратор от стъпка 1:

    • Премахване на ролята на глобален администратор.

    • Даване на администраторски роли в акаунта, които са подходящи за този потребител работа функция и отговорност. За повече информация относно различните администраторски роли в Office 365 вижте информация за Office 365 администраторски роли.

  8. Излизане от Office 365.

Резултатът трябва да бъде:

  • Само потребителски акаунти в абонамента ви, които имат ролята на глобален администратор са нов набор от акаунти специална глобален администратор. Проверете това със следната команда PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Всички други ежедневни потребителски акаунти, които управлявате абонамента си имате администраторски роли, присвоени, свързани с техните длъжности.

От този момент нататък влезете със специална глобален администратор акаунти само за задачи, които изискват привилегии на глобален администратор. Всички други администриране на Office 365, трябва да се изпълнят чрез присвояване на други роли за администриране на потребителски акаунти.

Забележка: Да, това изисква допълнителни стъпки, за да излезете като ежедневни потребителския си акаунт и влезте с акаунт в специална глобален администратор. Но това само трябва да се направи понякога за операциите на глобален администратор. Помислете, че възстановява вашия абонамент за Office 365, след като пробив за акаунт на глобален администратор изисква много повече стъпки.

Стъпка 2. Конфигуриране на многофакторно удостоверяване за акаунтите специална глобален администратор в Office 365 и Използвай силните вторични удостоверяване

Многофакторно удостоверяване за вашите акаунти за глобален администратор изисква допълнителна информация, освен потребителско име и парола. Office 365 поддържа тези методи за проверка:

  • Телефонен разговор

  • Парола, генерирана по случаен принцип

  • Смарт карта (физическа или виртуална)

  • Биометрично устройство

Ако сте малък бизнес, което използва потребителски акаунти, съхранен само в облака (облак самоличност модел), използвайте следните стъпки, за да конфигурирате MFA с помощта на телефонно повикване или код за проверка текстово съобщение, изпратени до смартфон:

  1. Разрешаване на MFA.

  2. Настройка на потвърждаването в две стъпки за Office 365 да конфигурирате всеки ангажиран акаунт на глобален администратор за телефонно повикване или текстово съобщение като метод за проверка.

Ако сте с по-голяма организация, която използва модел на самоличността на хибридно разполагане на Office 365, имате повече опции за проверка. Ако вече имате за защита на инфраструктурата на място за по-силна вторична удостоверяване метод, използвайте следните стъпки:

  1. Разрешаване на MFA.

  2. Настройка на потвърждаването в две стъпки за Office 365 да конфигурирате всеки ангажиран акаунт на глобален администратор за проверка на подходящия метод.

Ако защита инфраструктура за желания от вас метод за по-силна проверка не е в място и функциониране за Office 365 MFA, настоятелно ви препоръчваме да конфигурирате акаунти специална глобален администратор с MFA с помощта на телефонно повикване или текстово съобщение код за проверка, изпратени до смартфон като мярка за междинно сигурност за вашите акаунти за глобален администратор. Не оставяйте акаунтите в специална глобален администратор без допълнителна защита, предоставени от MFA.

За повече информация вижте планиране на многофакторно удостоверяване за разполагане на Office 365.

За да се свържете с услугите на Office 365 с MFA и PowerShell, вижте тази статия.

Стъпка 3. Монитор за подозрителни глобален администратор акаунт дейност

Office 365 облак приложение сигурност ви позволява да създадете правила, за да ви уведомява за подозрително абонамента си. Облак приложение сигурност е вграден в Office 365 E5, но също така се предлага като отделна услуга. Например ако все още нямате Office 365 E5, можете да закупите отделни облак приложение сигурност лицензи за потребителски акаунти, които са присвоени глобален администратор, администратор на защитата и съответствието администраторски роли.

Ако имате облак приложение защита във вашия абонамент за Office 365, използвайте следните стъпки:

  1. Влезте в портала на Office 365 с акаунт, който е възложена ролята на защита администратор или на съответствие.

  2. Включване на приложение на Office 365 облак защита.

  3. Преглед на вашите правила за откриване на аномалия да ви уведомява по имейл на неправилни модели на привилегировани административната дейност.

За да добавите потребителски акаунт за достъп на администратор за защита, се свържете към Office 365 PowerShell с акаунт в специална глобален администратор и MFA, попълнете основното име на потребителя на потребителския акаунт и след това изпълнете следните команди:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

За да добавите потребителски акаунт за достъп на администратор за съответствие, попълнете основното име на потребителя на потребителския акаунт и след това изпълнете следните команди:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Допълнителни защити за корпоративни организации

След като стъпки от 1 до 3, използвайте тези допълнителни методи, за да се гарантира, че вашият акаунт на глобален администратор и конфигурацията, които изпълнявате, го използвате, са толкова сигурно, колкото е възможно.

Привилегировани достъп работно място (лапа)

За да се гарантира, че изпълнението на задачи от високо привилегировани е сигурно, колкото е възможно, използвайте лапа. ЛАПА е специална компютър, на който се използва само за чувствителна конфигурация задачи, например конфигурация на Office 365, която изисква акаунт на глобален администратор. Тъй като този компютър не се използва ежедневно за влизане в интернет или имейл, той е по-добре защитен от интернет атаки и опасностите.

За инструкции как да настроите лапа вижте http://aka.ms/cyberpaw.

Azure AD привилегировани управлението на самоличностите (PIM)

Вместо акаунтите глобален администратор в окончателно бъде възложена ролята на глобален администратор, можете да използвате Azure AD Пим да разрешите при поискване "," току-що в работно време възлагане на ролята на глобален администратор, когато това е необходимо.

Вместо акаунтите глобален администратор в съществуващ постоянна admin стават администратори на изискванията. Ролята на глобален администратор не е активен, докато някой се нуждае от него. След това завършите процеса на активиране, за да добавите ролята на глобален администратор към акаунта на глобален администратор на предварително определен период от време. След изтичане на времето, PIM премахва ролята на глобален администратор от акаунта на глобален администратор.

Използване на Пим и този процес значително намалява времето, че акаунтите си глобален администратор са уязвим за атаки и използване на злонамерени потребители.

За повече информация вижте Конфигуриране на Azure AD привилегировани управление на идентичност.

Забележка: Пим се предлага с Azure Active Directory Premium P2, която е включена с Enterprise Mobility + E5 защита (парична система), или можете да закупите отделни лицензи за вашите акаунти за глобален администратор.

Защита информация за събитие софтуер и управление (какво) за регистриране на Office 365

Какво софтуер се изпълнява на сървър извършва в реално време анализ на предупреждения за защита и събития, създадени от приложения и мрежовия хардуер. За да позволите на вашия сървър за какво да включвате предупрежденията за защита на Office 365 и събития в своя анализ и отчет функции, интегриране в какво системата:

Следващата стъпка

Вижте най-добри практики за сигурност за Office 365.

Разширете уменията си в Office
Преглед на обучението
Получавайте първи новите функции
Присъединете се към участниците в Office Insider

Беше ли полезна тази информация?

Благодарим ви за обратната връзка!

Благодарим ви за вашата обратна връзка. Изглежда, че ще бъде полезно да ви свържем с един от нашите агенти по поддръжката на Office.

×