Ochrana účtů globální správce Office 365

Souhrn: Ochrana účtů globální správce pomocí následujících kroků.

Důležité :  Tento článek je strojově přeložený – přečtěte si toto upozornění. Anglickou verzi tohoto článku pro referenci najdete tady.

Chcete-li lépe chránit vaše předplatné Office 365 útoky podle vyzrazení účtu globálního správce, musíte udělat následující teď:

  1. Vytvoření účtů vyhrazené globální správce Office 365 a používat je pouze v případě potřeby.

  2. Konfigurace vícefaktorové ověřování pro vyhrazené účty globální správce Office 365 a pomocí nejvyšší formuláře sekundární ověřování.

  3. Povolení a konfigurace zabezpečení aplikace cloudu Office 365 ke sledování aktivity účtu podezřelé globálního správce.

Porušení zabezpečení předplatného Office 365, včetně sběru informací a útoky typu phishing dělají obvykle nebezpečné přihlašovací údaje účtu globálního správce služeb Office 365. Zabezpečení v cloudu je partnerství mezi vámi a společností Microsoft:

  • Cloudovým službám společnosti Microsoft se sestavují na základem zabezpečení a zabezpečení. Microsoft poskytuje ovládací prvky zabezpečení a funkce, které pomáhají chránit vaše data a aplikací.

  • Vlastní data a identit a zodpovědnost chránících je zabezpečení místních zdrojů a zabezpečení cloudové součástí, které můžete řídit.

Se chránit, je třeba umístit na místě ovládacích prvků a funkcí, které poskytuje Microsoft.

Poznámka : I když tento článek se zaměřuje na globální správce účty, zvažte také zda další účty s rozsáhlou oprávnění pro přístup k datům v předplatném, například eDiscovery správce nebo zabezpečení a dodržování předpisů účty správců, by měly být chráněny stejným způsobem.

Fáze 1. Vytvoření vyhrazené účtů globální správce Office 365 a používat je pouze v případě potřeby

Existuje relativně malým počtem úkoly správy, třeba přiřazování rolí uživatelských účtů, které vyžadují oprávnění globálního správce. Proto místo použití každodenní uživatelských účtů, které byly přiřazeny roli globálního správce, takto okamžitě:

  1. Určení nastavení uživatelských účtů, které byly přiřazeny role globálního správce. Můžete to udělat v Office 365 Powershellu pomocí tohoto příkazu:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Přihlaste se k vašemu předplatnému Office 365 pomocí uživatelského účtu, který má přiřazenou roli globálního správce.

  3. Vytvoření alespoň jedno a maximální hodnota je pět vyhrazené globální správce uživatelské účty. Použití silných hesel alespoň 12 znaky dlouhá Ukládání hesel pro nových účtů na zabezpečeném místě.

  4. Přiřadíte roli globálního správce pro každý nový vyhrazené globální správce uživatelským účtům.

  5. Odhlaste se z Office 365.

  6. Přihlášení pomocí jedné z novým uživatelským účtům vyhrazené globálního správce.

  7. Pro každý stávající uživatelský účet, který obsahoval přiřazené role globálního správce z krok 1:

    • Odebrání role globálního správce.

    • Přiřazení rolí správců k tomuto účtu, které jsou vhodné k tomuto uživateli funkci a zodpovědnost. Další informace o různých rolích správců v Office 365 najdete v článku rolích správců Office 365.

  8. Odhlaste se z Office 365.

Výsledek třeba takto:

  • Pouze uživatelské účty ve vašem předplatném, které mají roli globálního správce jsou novou sadu účtů vyhrazené globálního správce. Ověřte to pomocí následujícího příkazu Powershellu modul Windows Azure Active Directory pro Windows PowerShell příkazového řádku:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Všechny ostatní každodenní uživatelským účtům správu předplatného mít přiřazené role správce, které jsou přidružené k jejich odpovědností.

Od tohoto okamžiku dále se přihlaste pomocí účtů vyhrazené globální správce pouze pro úkoly, které vyžadují oprávnění globálního správce. Všechny ostatní Správa Office 365 je zapotřebí přiřazování rolí Správa uživatelských účtů.

Poznámka : Ano, vyžaduje další kroky pro odhlášení jako každodenní uživatelský účet a přihlaste se pomocí účtu vyhrazené globálního správce. Ale to stačí zbývá dokončit občas pro operace globálního správce. Zvažte, obnovení předplatného Office 365 po porušení účtu globálního správce vyžaduje jich kroky.

Fáze 2. Konfigurace vícefaktorové ověřování pro vyhrazené účty globální správce Office 365 a pomocí nejvyšší formuláře sekundární ověřování

Vícefaktorové ověřování (MFA) pro účty globální správce vyžaduje další informace o účtu jméno a heslo. Office 365 podporuje následující metody ověřování:

  • Telefonní hovor

  • Náhodně vygenerované heslo

  • Čipová karta (virtuální nebo fyzická)

  • Biometrické zařízení

Pokud máte malou firmu používající technologii uživatelských účtů uložená jenom v cloudu (model identit cloudu), takto okamžitě konfigurace MFA pomocí telefonního hovoru nebo textové zprávy ověřovacího kódu odeslané na mobilní telefon:

  1. Povolení MFA.

  2. Nastavení ověřování krok 2 pro Office 365 nastavte u každé snaží účtu globálního správce pro telefonní hovor nebo textovou zprávu jako metodu ověření.

Pokud jsou větší organizace, která používá synchronizované nebo federované modelů identita Office 365 máte více možností ověření. Pokud už infrastrukturu zabezpečení na místě silnější sekundární metodu ověřování, okamžitě postupujte takto:

  1. Povolení MFA.

  2. Nastavení ověřování krok 2 pro Office 365 nastavte u každé snaží účtu globálního správce pro metodu odpovídající ověření.

Nejsou-li infrastrukturu zabezpečení pro požadovanou metodu ověření silnější v místě a funkce pro Office 365 MFA, důrazně doporučujeme okamžitě konfigurace účtů vyhrazené globální správce s MFA pomocí telefonního hovoru nebo text ověřovací kód zpráva odeslána Smartphone pro účty globální správce jako míra dočasné zabezpečení. Nechte účtů vyhrazené globální správce bez dodatečnou ochranu poskytovanou MFA.

Další informace najdete v tématu plánování vícefaktorové ověřování pro nasazení Office 365.

Připojení ke službám Office 365 s MFA a Powershellu najdete v tomto článku.

Fáze 3. Povolení a konfigurace zabezpečení aplikace cloudu Office 365 ke sledování aktivity účtu podezřelé globální správce

Zabezpečení aplikace cloudu Office 365 umožňuje vytvářet zásady upozorňovat na podezřelé chování předplatné. Zabezpečení cloudové aplikace je integrovaná v Office 365 E5, ale je také k dispozici jako samostatná služba. Například pokud nemáte Office 365 E5, můžete si koupit jednotlivé zabezpečení aplikace cloudu licencí pro uživatelské účty, které jsou přiřazené globálního správce, správce zabezpečení a dodržování předpisů role správců.

Pokud máte zabezpečení cloudové aplikace ve vašem předplatném Office 365 okamžitě postupujte takto:

  1. Přihlaste se k portálu Office 365 pomocí účtu, který je přiřazenou roli správce zabezpečení nebo správce dodržování předpisů.

  2. Zapnutí zabezpečení aplikace Office 365 cloudu.

  3. Vytvoření odchylky zjišťování zásad upozornění e-mailem neobvyklých vzorků privilegovaných administrativní činnosti.

Přidáte účet uživatele se rolí správce zabezpečení, připojení k Office 365 Powershellu s účtem vyhrazené globální správce a MFA vyplňte názvu UPN uživatelského účtu a pak spusťte následující příkazy:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Přidání uživatelského účtu k roli správce dodržování předpisů, vyplňte názvu UPN uživatelského účtu a potom spusťte následující příkazy:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Další ochrany účtů globální správce

Po fáze 1 až 3, použijte tyto další metody zajistit, aby svého účtu globálního správce a konfigurace, které můžete provádět s ním pracovat, budou co nejbezpečnější.

Přístup privilegovaných Workstation (TLAPA)

Zajistěte, aby byl plnění úkolů vysoce privilegovaných co nejbezpečnější, použijte TLAPA. TLAPA je vyhrazený počítač, na kterém se používá pouze k citlivé konfigurační úkolů, například konfigurace služeb Office 365, která vyžaduje účet globálního správce. Vzhledem k tomu, že na tomto počítači není použit denně pro procházení Internetu nebo e-mailu, je lepší chráněn před útoky Internet a hrozeb.

Další informace o tom, jak nastavit TLAPA najdete v článku http://aka.ms/cyberpaw.

Správa identit Azure AD oprávněními (osobních)

Namísto účtů globální správce trvale přiřadit roli globálního správce, můžete Azure AD osobních když je potřeba povolit na vyžádání, za běhu přiřazení role globálního správce.

Místo účtů globální správce se správcem trvalé bude se jednat o měl správci. Role globálního správce není aktivní, dokud někdo potřebuje. Aktivační proces přidání roli globálního správce k účtu globálního správce pro přednastaveném počtu čas dokončete. Vypršení časového limitu osobních odebere z účtu globálního správce roli globálního správce.

Pomocí správce osobních informací a tento proces významně snižuje počet minut, sloužící jako globální správce účty útoku a použijte uživatelů se zlými úmysly.

Další informace najdete v tématu Konfigurace Azure AD na privilegovaných Správa identit.

Poznámka : Správce osobních informací je dostupné služby Azure Active Directory Premium P2, která je součástí organizace mobilita + E5 zabezpečení (EMS), nebo máte možnost si zakoupit jednotlivé licence pro účty globálního správce.

Zabezpečení informací a události (SIEM) software pro správu Office 365 protokolování

Software SIEM spustit na serveru provádí v reálném čase analýzu výstrah zabezpečení a událostí vytvořené pomocí aplikací a síťového hardwaru. Umožňuje serveru SIEM zahrnout výstrah zabezpečení služeb Office 365 a události analýzy a vytváření sestav funkce integrace v systému SIEM následující:

Další krok

V tématu Doporučené postupy zabezpečení pro Office 365.

Poznámka : Upozornění ke strojovému překladu: Tento článek přeložil počítačový systém bez zásahu člověka. Společnost Microsoft nabízí tyto strojové překlady proto, aby umožnila uživatelům, kteří nemluví anglicky, získat informace o produktech, službách a technologiích této společnosti. Protože je tento článek strojově přeložený, může obsahovat slovní, syntaktické nebo gramatické chyby.

Rozšiřte své znalosti a dovednosti
Projít školení
Získejte nové funkce jako první
Připojte se k účastníkům programu Office Insiders

Byly tyto informace užitečné?

Děkujeme vám za zpětnou vazbu.

Děkujeme vám za váš názor. Vypadá to, že bude užitečné, když vás spojíme s některým z našich agentů z podpory Office.

×