Office
Log på

Beskyt dine globale Office 365-administratorkonti

Bemærk!:  Vi vil gerne give dig den mest opdaterede hjælp, så hurtigt vi kan, på dit eget sprog. Denne side er oversat ved hjælp af automatisering og kan indeholde grammatiske fejl og unøjagtigheder. Det er vores hensigt, at dette indhold skal være nyttigt for dig. Vil du fortælle os, om oplysningerne var nyttige for dig, nederst på denne side? Her er artiklen på engelsk så du kan sammenligne.

Oversigt: Beskytte dit Office 365-abonnement fra angreb baseret på rettigheder til en global administrationskonto.

Sikkerhedsbrist for et Office 365-abonnement, herunder indsamling af oplysninger og phishing-angreb, udføres typisk ved at der gås på kompromis med legitimationsoplysninger for en Office 365 global administrationskonto. Sikkerhed i skyen er et partnerskab mellem dig og Microsoft:

  • Microsofts skytjenester er bygget på et grundlag af tillid og sikkerhed. Microsoft leverer sikkerhedskontroller og funktioner, der kan hjælpe dig med at beskytte dine data og programmer.

  • Du ejer dine data og identiteter og har ansvaret for at beskytte dem, sikkerheden for dine lokale ressourcer og sikkerheden for de skykomponenter, du styrer.

Microsoft yder funktioner til at beskytte din organisation, men de er effektive kun, hvis du bruger dem. Hvis du ikke bruge dem, kan du være udsatte for angreb. For at beskytte din globale administratorkonti, er Microsoft her kan hjælpe dig med detaljerede anvisninger til:

  1. Opret dedikerede Office 365 globale administratorkonti og brug dem kun, når det er nødvendigt.

  2. Konfigurer multifaktorgodkendelse for dine dedikerede Office 365 globale administratorkonti og brug den stærkeste form for sekundær godkendelse.

  3. Aktivere og konfigurere Office 365 skyen App sikkerhed for at overvåge aktivitet på brugerkonti mistænkelige global administrator.

Bemærk!: Selvom denne artikel fokuserer på global administrator-konti, skal du også overveje om flere konti med omfattende tilladelser til at få adgang til dataene i dit abonnement, som eDiscovery-administrator eller sikkerhed eller overholdelse af angivne standarder administratorkonti, bør være beskyttet på samme måde.

Trin 1. Oprette dedikeret Office 365 global administrator-konti og bruge dem kun, når det er nødvendigt

Der er relativt få administrative opgaver såsom at tildele roller til brugerkonti, der kræver globale administratorrettigheder. Derfor i stedet for bruger dagligdags brugerkonti, der er tildelt den globale administratorrolle skal udføre disse trin:

  1. Find ud af sæt af brugerkonti, der er tildelt den globale administratorrolle. Du kan gøre med denne kommando i kommandoprompten Microsoft Azure Active Directory-modulet til Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Log på dit Office 365-abonnement med en brugerkonto, der er blevet tildelt den globale administratorrolle.

  3. Oprette mindst én og op til maksimalt fem dedikeret global administrator-brugerkonti. Brug stærke adgangskoder mindst 12 tegn langt. Du kan få flere oplysninger i oprette en stærk adgangskode . Gemme adgangskoder for nye konti i et sikkert sted.

  4. Tildel rollen som global administrator til hver af de nye dedikerede globale administratorbrugerkonti.

  5. Log ud af Office 365.

  6. Log på med en af de nye dedikerede globale administratorbrugerkonti.

  7. For hver eksisterende brugerkonto, der var blevet tildelt den globale administratorrolle fra trin 1, skal du:

    • Fjerne den globale administratorrolle.

    • Tildele administratorroller til den konto, der er relevante for denne bruger jobfunktionen og ansvar. Du kan finde flere oplysninger om forskellige administratorroller i Office 365, om Office 365-administratorroller.

  8. Log ud af Office 365.

Resultatet skal vises:

  • De eneste brugerkonti i dit abonnement, der har den globale administratorrolle er det nye sæt af dedikeret global administrator-konti. Kontrollere med følgende PowerShell-kommando:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Alle andre almindelige brugerkonti, der administrerer dit abonnement, har fået tildelt administratorroller, der er knyttet til deres arbejdsansvarsområder.

Fra nu af logger du kun på med de dedikeret globale administratorkonti for at udføre opgaver, der kræver globale administratorrettigheder. Al øvrig Office 365-administration skal udføres ved at tildele andre administrationsroller til brugerkonti.

Bemærk!: Ja, dette kræver yderligere trin for at logge af din almindelige brugerkonto og logge på med en dedikeret global administratorkonto. Men dette skal kun udføres lejlighedsvist i forbindelse med globale administratorhandlinger. Vær opmærksom på, at genoprettelse af dit Office 365-abonnement efter brud på en global administratorkontos sikkerhed kræver mange flere trin.

Trin 2. Konfigurere Multi-Factor godkendelse til kontiene dedikeret global administrator på Office 365 og bruge den største form for sekundær godkendelse

Multi-Factor authentication (MFA) for kontiene global administrator kræver yderligere oplysninger ud over kontonavn og din adgangskode. Office 365 understøtter følgende bekræftelse metoder:

  • Et telefonopkald

  • En tilfældigt genereret adgangskode

  • Et chipkort (virtuelt eller fysisk)

  • En biometrisk enhed

Hvis du er en mindre virksomhed, der bruger brugerkonti, der er gemt i skyen (skyen identitetsmodel), skal du følge disse trin til at konfigurere MFA ved hjælp af et telefonopkald eller en tekst meddelelse bekræftelseskode sendes til en Smartphone.

  1. Aktivér MFA.

  2. Definer 2-trins godkendelse til Office 365 til at konfigurere hver dedikerede globale administratorkonto til telefonopkald eller SMS som bekræftelsesmetode.

Hvis du er en større organisation, der bruger en Office 365 hybrid identitetsmodel, har du flere indstillinger for godkendelse. Hvis du har infrastrukturen sikkerhed allerede i stedet for en stærkere sekundær godkendelsesmetode, kan du følge disse trin:

  1. Aktivér MFA.

  2. Definer 2-trins godkendelse til Office 365 for at konfigurere hver dedikerede globale administratorkonto til den rette godkendelsesmetode.

Hvis sikkerhedsinfrastruktur til den ønskede stærkere metode til bekræftelse ikke er på plads, og fungerer til Office 365 MFA, anbefaler vi, at du konfigurerer dedikeret global administrator-konti med MFA ved hjælp af et telefonopkald eller en SMS-besked verifikationskoden sendt til en Smartphone for kontiene globale administrator som et mål for midlertidig sikkerhed. Må ikke være kontiene dedikeret global administrator uden yderligere beskyttelsen ved MFA.

Se planlægge til multi-Factor authentication for Office 365-installationer, kan finde flere oplysninger.

Hvis du vil oprette forbindelse til Office 365-tjenester med MFA og PowerShell, skal du se Denne artikel.

Trin 3. Skærm til mistænkelige global administrator kontoaktivitet

Sikkerhed i Office 365 skyen App kan du oprette politikker for at give dig besked om mistænkelige funktionsmåde i dit abonnement. Skyen App sikkerhed er indbygget i Office 365 E5, men findes også som en separat tjeneste. Hvis du ikke har Office 365 E5, kan du købe licenser til individuelle skyen App sikkerhed de brugerkonto, der er tildelt den globale administrator, sikkerhedsadministrator og overholdelse af angivne standarder administratorroller.

Hvis du har skyen App Security i dit Office 365-abonnement, skal du følge disse trin:

  1. Log på Office 365-portalen med en konto, der er tildelt rollen sikkerhedsadministrator eller administratoren for overholdelse af angivne standarder.

  2. Aktivere Office 365 skyen App sikkerhed.

  3. Gennemse dine anomali registrering politikker for at give dig besked via mail af uoverensstemmende mønstre for privilegerede administrative aktivitet.

Hvis du vil tilføje en brugerkonto til sikkerhed administratorrolle, oprette forbindelse til Office 365 PowerShell med en dedikeret global administrationskonto og MFA, Udfyld brugerens hovednavn for brugerkontoen, og derefter køre disse kommandoer:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Hvis du vil tilføje en brugerkonto til overholdelse af angivne standarder administratorrolle, Udfyld brugerens hovednavn for brugerkontoen og derefter køre disse kommandoer:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Yderligere beskyttelse til større virksomheder

Når trin 1-3, bruger disse yderligere metoder til at sikre, at din global administrationskonto og konfigurationen, du udfører ved hjælp af det, der er så sikker som muligt.

Privilegerede Access arbejdsstation (PAW)

For at sikre, at udførelse af meget privilegerede opgaver er så sikker som muligt, skal du bruge en PAW. En PAW er en dedikeret computer, der bruges kun til følsomme konfigurationsopgaver, som Office 365-konfiguration, der kræver en global administrationskonto. Da denne computer ikke er bruges dagligt til søgning på internettet eller mail, er det bedre beskyttet fra internettet og trusler.

Du kan finde oplysninger om, hvordan du konfigurerer en PAW, http://aka.ms/cyberpaw.

Azure AD rettigheder identitet Management (PIM)

I stedet for at få din globale administratorkonti tildeles permanent den globale administratorrolle, kan du bruge Azure AD PIM til at aktivere efter behov, just-in-time tildeling af den globale administratorrolle, når det er nødvendigt.

I stedet for kontiene global administrator er der en permanent administrator, bliver de berettiget administratorer. Den globale administratorrolle er inaktiv, indtil en person skal have den. Du derefter udføre en aktiveringsprocessen for at tilføje den globale administratorrolle til kontoen global administrator for et forudbestemt antal tid. Når tiden udløber, fjerner PIM den globale administratorrolle fra den globale administratorkonto.

Brug af PIM og denne proces reducere mængden tid, der er udsatte angreb og bruge fra hackere kontiene global administrator.

Du kan finde flere oplysninger i konfigurere Azure AD privilegerede identitet i administration.

Bemærk!: PIM leveres med Azure Active Directory Premium P2, som er inkluderet i Enterprise mobilitet + sikkerhed (EMS) E5, eller du kan købe licenser til individuelle for kontiene global administrator.

Du kan finde oplysninger og begivenhed management (SIEM) sikkerhedssoftware til at logge på Office 365

SIEM software, der kører på en server udfører realtid analyse af sikkerhedsadvarsler og begivenheder, der er oprettet af programmer og netværkshardwaren. Integrere dem i systemet SIEM for at give din SIEM server for at medtage Office 365 sikkerhedsadvarsler og begivenheder i analysen og rapporteringsfunktioner skal:

Næste trin

Se bedste fremgangsmåder for sikkerhed til Office 365.

Udvid dine Office-færdigheder
Gå på opdagelse i kurser
Få nye funktioner først
Bliv Office Insider

Var disse oplysninger nyttige?

Tak for din feedback!

Tak for din feedback! Det lyder, som om det vil kunne hjælpe, hvis du bliver sat i forbindelse med en af vores Office-supportteknikere.

×