Beskyt dine globale Office 365-administratorkonti

Vigtigt: Denne artikel er maskinoversat. Se ansvarsfraskrivelsen. Du kan finde den engelske version af denne artikel her til din orientering.

Oversigt: Beskytte dine global administratorkonti med disse trin.

Hvis du vil beskytte dit Office 365-abonnement fra angreb baseret på rettigheder til en global administratorkonto, skal du gøre på følgende lige nu:

  1. Opret dedikerede Office 365 globale administratorkonti og brug dem kun, når det er nødvendigt.

  2. Konfigurer multifaktorgodkendelse for dine dedikerede Office 365 globale administratorkonti og brug den stærkeste form for sekundær godkendelse.

  3. Aktivere og konfigurere Office 365 skyen App sikkerhed for at overvåge aktivitet på brugerkonti mistænkelige global administrator.

Sikkerhedsbrist for et Office 365-abonnement, herunder indsamling af oplysninger og phishing-angreb, udføres typisk ved at der gås på kompromis med legitimationsoplysninger for en Office 365 global administrationskonto. Sikkerhed i skyen er et partnerskab mellem dig og Microsoft:

  • Microsofts skytjenester er bygget på et grundlag af tillid og sikkerhed. Microsoft leverer sikkerhedskontroller og funktioner, der kan hjælpe dig med at beskytte dine data og programmer.

  • Du ejer dine data og identiteter og har ansvaret for at beskytte dem, sikkerheden for dine lokale ressourcer og sikkerheden for de skykomponenter, du styrer.

For at beskytte dig selv, skal du benytte de kontrolelementer og funktioner, som Microsoft leverer.

Bemærk: Selvom denne artikel fokuserer på global administrator-konti, skal du også overveje om flere konti med omfattende tilladelser til at få adgang til dataene i dit abonnement, som eDiscovery-administrator eller sikkerhed eller overholdelse af angivne standarder administratorkonti, bør være beskyttet på samme måde.

Fase 1. Opret dedikerede Office 365 globale administratorkonti og brug dem kun, når det er nødvendigt.

Der er relativt få administrative opgaver, f.eks. tildeling af roller til brugerkonti, der kræver globale administratorrettigheder. I stedet for at anvende almindelige brugerkonti, der er blevet tildelt den globale administratorrolle, skal du derfor straks gøre følgende:

  1. Definér gruppen af brugerkonti, der har fået tildelt rollen som global administrator. Du kan gøre dette i Office 365 PowerShell med denne kommando:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Log på dit Office 365-abonnement med en brugerkonto, der er blevet tildelt den globale administratorrolle.

  3. Opret mindst én og op til maksimalt fem dedikerede globale administratorbrugerkonti. Brug stærke adgangskoder på mindst 12 tegn. Gem adgangskoderne til de nye konti på et sikkert sted.

  4. Tildel rollen som global administrator til hver af de nye dedikerede globale administratorbrugerkonti.

  5. Log ud af Office 365.

  6. Log på med en af de nye dedikerede globale administratorbrugerkonti.

  7. For hver eksisterende brugerkonto, der var blevet tildelt den globale administratorrolle fra trin 1, skal du:

    • Fjerne den globale administratorrolle.

    • Tildele administratorroller til den konto, der er relevante for denne bruger jobfunktionen og ansvar. Du kan finde flere oplysninger om forskellige administratorroller i Office 365, om Office 365-administratorroller.

  8. Log ud af Office 365.

Resultatet skal være følgende:

  • De eneste brugerkonti i dit abonnement, der har den globale administratorrolle er den nye gruppe af dedikerede globale administratorkonti. Du kan kontrollere dette med den følgende PowerShell-kommando ved kommandoprompten Windows Azure Active Directory-modulet til Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Alle andre almindelige brugerkonti, der administrerer dit abonnement, har fået tildelt administratorroller, der er knyttet til deres arbejdsansvarsområder.

Fra nu af logger du kun på med de dedikeret globale administratorkonti for at udføre opgaver, der kræver globale administratorrettigheder. Al øvrig Office 365-administration skal udføres ved at tildele andre administrationsroller til brugerkonti.

Bemærk: Ja, dette kræver yderligere trin for at logge af din almindelige brugerkonto og logge på med en dedikeret global administratorkonto. Men dette skal kun udføres lejlighedsvist i forbindelse med globale administratorhandlinger. Vær opmærksom på, at genoprettelse af dit Office 365-abonnement efter brud på en global administratorkontos sikkerhed kræver mange flere trin.

Fase 2. Konfigurer multifaktorgodkendelse for dine dedikerede Office 365 globale administratorkonti og brug den stærkeste form for sekundær godkendelse.

Multifaktorgodkendelse (MFA) for dine globale administratorkonti kræver yderligere oplysninger ud over kontobrugernavn og adgangskode. Office 365 understøtter de følgende bekræftelsesmetoder:

  • Et telefonopkald

  • En tilfældigt genereret adgangskode

  • Et chipkort (virtuelt eller fysisk)

  • En biometrisk enhed

Hvis du driver en lille virksomhed, der anvender brugerkonti, der kun er gemt i skyen (skyidentitetsmodellen), skal du straks gøre følgende for at konfigurere MFA ved hjælp af et telefonopkald eller en SMS-bekræftelseskode sendt til en Smartphone:

  1. Aktivér MFA.

  2. Definer 2-trins godkendelse til Office 365 til at konfigurere hver dedikerede globale administratorkonto til telefonopkald eller SMS som bekræftelsesmetode.

Hvis du driver en større virksomhed, der anvender de synkroniserede eller sammensluttede Office 365-identitetsmodeller, kan du vælge mellem flere bekræftelsesindstillinger. Hvis du allerede har sikkerhedsinfrastrukturen på plads i stedet for en stærkere sekundær godkendelsesmetode, skal du straks gøre følgende:

  1. Aktivér MFA.

  2. Definer 2-trins godkendelse til Office 365 for at konfigurere hver dedikerede globale administratorkonto til den rette godkendelsesmetode.

Hvis sikkerhedsinfrastrukturen til den ønskede stærkere godkendelsesmetode ikke er på plads og fungerer for Office 365 MFA, anbefaler vi kraftigt, at du straks konfigurerer dedikerede globale administratorkonti med MFA ved hjælp af et telefonopkald eller en SMS-bekræftelseskode sendt til en Smartphone til din globale administratorkonti som en midlertidig sikkerhedsforanstaltning. Lad ikke dine dedikerede globale administratorkonti være uden yderligere beskyttelse leveret af MFA.

Se planlægge til multi-Factor authentication for Office 365-installationer, kan finde flere oplysninger.

Hvis du vil oprette forbindelse til Office 365-tjenester med MFA og PowerShell, skal du se Denne artikel.

Fase 3. Aktivere og konfigurere Office 365 skyen App sikkerhed for at overvåge aktivitet på brugerkonti mistænkelige global administrator

Sikkerhed i Office 365 skyen App kan du oprette politikker for at give dig besked om mistænkelige funktionsmåde i dit abonnement. Skyen App sikkerhed er indbygget i Office 365 E5, men findes også som en separat tjeneste. Hvis du ikke har Office 365 E5, kan du købe licenser til individuelle skyen App sikkerhed de brugerkonto, der er tildelt den globale administrator, sikkerhedsadministrator og overholdelse af angivne standarder administratorroller.

Hvis du har skyen App sikkerhed i dit Office 365-abonnement, straks gøre følgende:

  1. Log på Office 365-portalen med en konto, der er tildelt rollen sikkerhedsadministrator eller administratoren for overholdelse af angivne standarder.

  2. Aktivere Office 365 skyen App sikkerhed.

  3. Opret anomali registrering politikker til at give dig besked via mail af uoverensstemmende mønstre for privilegerede administrative aktivitet.

For at tilføje en brugerkonto til sikkerhedsadministratorrollen skal du oprette forbindelse til Office 365 PowerShell med en dedikeret global administratorkonto og MFA, udfylde brugerkontoens brugerhovednavn, og derefter køre følgende kommandoer:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

For at tilføje en brugerkonto til overholdelsesadministratorrollen skal du udfylde brugerens hovednavn for brugerkontoen og derefter køre følgende kommandoer:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Yderligere beskyttelse for kontiene global administrator

Når faser 1-3, bruger disse yderligere metoder til at sikre, at din global administrationskonto og konfigurationen, du udfører ved hjælp af det, der er så sikker som muligt.

Privilegerede Access arbejdsstation (PAW)

For at sikre, at udførelse af meget privilegerede opgaver er så sikker som muligt, skal du bruge en PAW. En PAW er en dedikeret computer, der bruges kun til følsomme konfigurationsopgaver, som Office 365-konfiguration, der kræver en global administrationskonto. Da denne computer ikke er bruges dagligt til søgning på internettet eller mail, er det bedre beskyttet fra internettet og trusler.

Du kan finde oplysninger om, hvordan du konfigurerer en PAW, http://aka.ms/cyberpaw.

Azure AD rettigheder identitet Management (PIM)

I stedet for at få din globale administratorkonti tildeles permanent den globale administratorrolle, kan du bruge Azure AD PIM til at aktivere efter behov, just-in-time tildeling af den globale administratorrolle, når det er nødvendigt.

Andre ord i stedet for kontiene global administrator bliver en permanent administrator, bliver de berettiget administratorer. Den globale administratorrolle er inaktiv, indtil en person skal have den. Du derefter udføre en aktiveringsprocessen for at tilføje den globale administratorrolle til kontoen global administrator for et forudbestemt antal tid. Når tiden udløber, fjerner PIM den globale administratorrolle fra den globale administratorkonto.

Brug af PIM og denne proces reducere mængden tid, der er udsatte angreb og bruge fra hackere kontiene global administrator.

Se konfigurere Azure AD privilegerede identitet Managementkan finde flere oplysninger.

Bemærk: PIM leveres med Azure Active Directory Premium P2, som er inkluderet i Enterprise mobilitet + sikkerhed (EMS) E5, eller du kan købe licenser til individuelle for kontiene global administrator.

Du kan finde oplysninger og begivenhed management (SIEM) sikkerhedssoftware til at logge på Office 365

SIEM software og en server, der kører den udfører realtid analyse af sikkerhedsadvarsler og begivenheder, der er oprettet af programmer og netværkshardwaren. Integrere følgende for at tillade serverens SIEM medtage Office 365 sikkerhedsadvarsler og begivenheder i analysen og rapporteringsfunktioner i systemet SIEM:

Næste trin

Se bedste fremgangsmåder for sikkerhed til Office 365.

Bemærk: Ansvarsfraskrivelse for maskinoversættelse: Denne artikel er blevet oversat af et computersystem uden menneskelig indgriben. Microsoft tilbyder disse maskinoversættelse for at hjælpe ikke-engelsktalende brugere til at kunne nyde indhold om Microsofts produkter, tjenester og teknologier. Da artiklen er maskinoversat, kan den indeholde forkerte ord eller syntaks- eller grammatikfejl.

Udvid dine færdigheder
Gå på opdagelse i kurser
Få nye funktioner først
Bliv Office Insider

Var disse oplysninger nyttige?

Tak for din feedback!

Tak for din feedback! Det lyder, som om det vil kunne hjælpe, hvis du bliver sat i forbindelse med en af vores Office-supportteknikere.

×