Ochrana účtů globální správce Office 365

Poznámka:  Snažíme se pro vás co nejrychleji zajistit aktuální obsah nápovědy ve vašem jazyce. Tato stránka byla přeložena automaticky a může obsahovat gramatické chyby nebo nepřesnosti. Naším cílem je to, aby pro vás byl její obsah užitečný. Mohli byste nám prosím dát ve spodní části této stránky vědět, jestli vám informace v článku pomohly? Pokud byste se rádi podívali na jeho anglickou verzi, najdete ji tady .

Souhrn: Chraňte vaše předplatné Office 365 útoky podle vyzrazení účtu globálního správce.

Porušení zabezpečení předplatného Office 365, včetně sběru informací a útoky typu phishing dělají obvykle nebezpečné přihlašovací údaje účtu globálního správce služeb Office 365. Zabezpečení v cloudu je partnerství mezi vámi a společností Microsoft:

  • Cloudovým službám společnosti Microsoft se sestavují na základem zabezpečení a zabezpečení. Microsoft poskytuje ovládací prvky zabezpečení a funkce, které pomáhají chránit vaše data a aplikací.

  • Vlastní data a identit a zodpovědnost chránících je zabezpečení místních zdrojů a zabezpečení cloudové součástí, které můžete řídit.

Microsoft poskytuje funkce, které pomáhají chránit vaše organizace, ale projeví jenom v případě, že je používat. Pokud nepoužíváte je, může být útoku. Ochrana účtů globálního správce, Microsoft je zde můžete s podrobnými instrukcemi k:

  1. Vytvoření účtů vyhrazené globální správce Office 365 a používat je pouze v případě potřeby.

  2. Konfigurace vícefaktorové ověřování pro vyhrazené účty globální správce Office 365 a pomocí nejvyšší formuláře sekundární ověřování.

  3. Povolení a konfigurace zabezpečení aplikace cloudu Office 365 ke sledování aktivity účtu podezřelé globálního správce.

Poznámka: I když tento článek se zaměřuje na globální správce účty, zvažte také zda další účty s rozsáhlou oprávnění pro přístup k datům v předplatném, například eDiscovery správce nebo zabezpečení a dodržování předpisů účty správců, by měly být chráněny stejným způsobem.

Krok 1. Vytvoření vyhrazené účtů globální správce Office 365 a používat je pouze v případě potřeby

Existuje relativně malým počtem úkoly správy, třeba přiřazování rolí uživatelských účtů, které vyžadují oprávnění globálního správce. Proto místo použití každodenní uživatelských účtů, které byly přiřazeny role globálního správce, postupujte takto:

  1. Určení nastavení uživatelských účtů, které byly přiřazeny role globálního správce. Můžete to udělat pomocí tohoto příkazu příkazového řádku Microsoft modul Azure Active Directory pro Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Přihlaste se k vašemu předplatnému Office 365 pomocí uživatelského účtu, který má přiřazenou roli globálního správce.

  3. Vytvoření alespoň jedno a maximální hodnota je pět vyhrazené globální správce uživatelské účty. Použití silných hesel alespoň 12 znaky dlouhá Další informace najdete v tématu vytvoření silného hesla . Ukládání hesel pro nových účtů na zabezpečeném místě.

  4. Přiřadíte roli globálního správce pro každý nový vyhrazené globální správce uživatelským účtům.

  5. Odhlaste se z Office 365.

  6. Přihlášení pomocí jedné z novým uživatelským účtům vyhrazené globálního správce.

  7. Pro každý stávající uživatelský účet, který obsahoval přiřazené role globálního správce z krok 1:

    • Odebrání role globálního správce.

    • Přiřazení rolí správců k tomuto účtu, které jsou vhodné k tomuto uživateli funkci a zodpovědnost. Další informace o různých rolích správců v Office 365 najdete v článku rolích správců Office 365.

  8. Odhlaste se z Office 365.

Výsledek by měl být:

  • Pouze uživatelské účty ve vašem předplatném, které mají roli globálního správce jsou novou sadu účtů vyhrazené globálního správce. Ověřte to pomocí následujícího příkazu Powershellu:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Všechny ostatní každodenní uživatelským účtům správu předplatného mít přiřazené role správce, které jsou přidružené k jejich odpovědností.

Od tohoto okamžiku dále se přihlaste pomocí účtů vyhrazené globální správce pouze pro úkoly, které vyžadují oprávnění globálního správce. Všechny ostatní Správa Office 365 je zapotřebí přiřazování rolí Správa uživatelských účtů.

Poznámka: Ano, vyžaduje další kroky pro odhlášení jako každodenní uživatelský účet a přihlaste se pomocí účtu vyhrazené globálního správce. Ale to stačí zbývá dokončit občas pro operace globálního správce. Zvažte, obnovení předplatného Office 365 po porušení účtu globálního správce vyžaduje jich kroky.

Krok 2. Konfigurace vícefaktorové ověřování pro vyhrazené účty globální správce Office 365 a pomocí nejvyšší formuláře sekundární ověřování

Vícefaktorové ověřování (MFA) pro účty globální správce vyžaduje další informace o účtu jméno a heslo. Office 365 podporuje tyto metody ověřování:

  • Telefonní hovor

  • Náhodně vygenerované heslo

  • Čipová karta (virtuální nebo fyzická)

  • Biometrické zařízení

Pokud máte malou firmu používající technologii uživatelských účtů uložená jenom v cloudu (model identit cloudu), používá ke konfiguraci MFA pomocí telefonního hovoru nebo kód ověření textu zprávy poslané na mobilní telefon takto:

  1. Povolení MFA.

  2. Nastavení ověřování krok 2 pro Office 365 nastavte u každé snaží účtu globálního správce pro telefonní hovor nebo textovou zprávu jako metodu ověření.

Pokud jsou větší organizace, která používá modelu identity pro Office 365 hybridní máte více možností ověření. Pokud už máte infrastrukturu zabezpečení na místě pro silnější sekundární ověřování pomocí těchto kroků:

  1. Povolení MFA.

  2. Nastavení ověřování krok 2 pro Office 365 nastavte u každé snaží účtu globálního správce pro metodu odpovídající ověření.

Nejsou-li infrastrukturu zabezpečení pro požadovanou metodu ověření silnější v místě a funkce pro Office 365 MFA, důrazně doporučujeme konfigurace účtů vyhrazené globální správce s MFA pomocí telefonního hovoru nebo textové zprávy ověřovací kód odeslána Smartphone pro účty globální správce jako míra dočasné zabezpečení. Nechte účtů vyhrazené globální správce bez dodatečnou ochranu poskytovanou MFA.

Další informace najdete v tématu plánování vícefaktorové ověřování pro nasazení Office 365.

Připojení ke službám Office 365 s MFA a Powershellu najdete v tomto článku.

Krok 3. Monitor aktivity účtu podezřelé globální správce

Zabezpečení aplikace cloudu Office 365 umožňuje vytvářet zásady upozorňovat na podezřelé chování předplatné. Zabezpečení cloudové aplikace je integrovaná v Office 365 E5, ale je také k dispozici jako samostatná služba. Například pokud nemáte Office 365 E5, můžete si koupit jednotlivé zabezpečení aplikace cloudu licencí pro uživatelské účty, které jsou přiřazené globálního správce, správce zabezpečení a dodržování předpisů role správců.

Pokud máte zabezpečení cloudové aplikace ve vašem předplatném Office 365 pomocí těchto kroků:

  1. Přihlaste se k portálu Office 365 pomocí účtu, který je přiřazenou roli správce zabezpečení nebo správce dodržování předpisů.

  2. Zapnutí zabezpečení aplikace Office 365 cloudu.

  3. Prohlédněte si vaše odchylky zjišťování zásad upozornění e-mailem neobvyklých vzorků privilegovaných administrativní činnosti.

Uživatelský účet přidat k roli správce zabezpečení, připojení do Office 365 s účtem vyhrazené globální správce a MFA, zadejte do pole uživatelské jméno hlavní uživatelského účtu a potom spusťte tyto příkazy:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Přidání uživatelského účtu k roli správce dodržování předpisů, vyplňte názvu UPN uživatelského účtu a pak spusťte tyto příkazy:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Další ochrany pro velké organizace

Po kroků 1 až 3, použijte tyto další metody zajistit, aby svého účtu globálního správce a konfigurace, které můžete provádět s ním pracovat, budou co nejbezpečnější.

Přístup privilegovaných Workstation (TLAPA)

Zajistěte, aby byl plnění úkolů vysoce privilegovaných co nejbezpečnější, použijte TLAPA. TLAPA je vyhrazený počítač, na kterém se používá pouze k citlivé konfigurační úkolů, například konfigurace služeb Office 365, která vyžaduje účet globálního správce. Vzhledem k tomu, že na tomto počítači není použit denně pro procházení Internetu nebo e-mailu, je lepší chráněn před útoky Internet a hrozeb.

Další informace o tom, jak nastavit TLAPA najdete v článku http://aka.ms/cyberpaw.

Správa identit Azure AD oprávněními (osobních)

Namísto účtů globální správce trvale přiřadit roli globálního správce, můžete Azure AD osobních když je potřeba povolit na vyžádání, za běhu přiřazení role globálního správce.

Místo účtů globální správce se správcem trvalé bude se jednat o měl správci. Role globálního správce není aktivní, dokud někdo potřebuje. Aktivační proces přidání roli globálního správce k účtu globálního správce pro přednastaveném počtu čas dokončete. Vypršení časového limitu osobních odebere z účtu globálního správce roli globálního správce.

Pomocí správce osobních informací a tento proces významně snižuje počet minut, sloužící jako globální správce účty útoku a použijte uživatelů se zlými úmysly.

Další informace najdete v tématu Konfigurace Azure AD na privilegovaných Správa identit.

Poznámka: Správce osobních informací je dostupné služby Azure Active Directory Premium P2, která je součástí organizace mobilita + E5 zabezpečení (EMS), nebo máte možnost si zakoupit jednotlivé licence pro účty globálního správce.

Zabezpečení informací a události (SIEM) software pro správu Office 365 protokolování

Software SIEM spustit na serveru provádí v reálném čase analýzu výstrah zabezpečení a událostí vytvořené pomocí aplikací a síťového hardwaru. Umožňuje serveru SIEM zahrnout výstrah zabezpečení služeb Office 365 a události analýzy a vytváření sestav funkce integrace v aplikaci systému SIEM:

Další krok

V tématu Doporučené postupy zabezpečení pro Office 365.

Rozšiřte své dovednosti s Office
Projít školení
Získejte nové funkce jako první
Připojte se k účastníkům programu Office Insiders

Byly tyto informace užitečné?

Děkujeme vám za zpětnou vazbu.

Děkujeme vám za váš názor. Vypadá to, že bude užitečné, když vás spojíme s některým z našich agentů z podpory Office.

×