Schützen Ihrer globalen Office 365-Administratorkonten

Wichtig :  Dieser Artikel wurde maschinell übersetzt. Bitte beachten Sie den Haftungsausschluss. Die englische Version des Artikels ist als Referenz hier verfügbar: hier.

Zusammenfassung: Schützen Sie Ihre Konten globaler Administrator mit den folgenden Schritten.

Wenn Ihr Office 365-Abonnement vor Angriffen basierend auf den Verlust von einem globalen Administrator-Konto besser schützen möchten, müssen Sie die folgenden sofortausführen:

  1. Erstellen Sie dedizierte globale Office 365-Administratorkonten, und verwenden Sie diese nur bei Bedarf.

  2. Konfigurieren Sie die mehrstufige Authentifizierung für Ihre dedizierten globalen Office 365-Administratorkonten, und verwenden Sie die stringenteste Form der sekundären Authentifizierung.

  3. Aktivieren und Konfigurieren von Office 365-Cloud-App-Sicherheit zum Überwachen der Aktivitäten in verdächtigen globaler Administrator-Konto.

Sicherheitsverletzungen bei einem Office 365-Abonnement wie das Abgreifen von Informationen und Phishingangriffe erfolgen normalerweise, indem die Anmeldeinformationen eines globalen Office 365-Administratorkontos missbraucht werden. Die Sicherheit in der Cloud ist eine Partnerschaft zwischen Ihnen und Microsoft:

  • Die Microsoft-Clouddienste wurden auf der Basis von Vertrauen und Sicherheit entwickelt. Microsoft stellt Sicherheitssteuerelemente und Features bereit, die Ihnen helfen, Ihre Daten und Anwendungen zu schützen.

  • Sie sind der Besitzer der Daten und Identitäten und damit für deren Schutz, für die Sicherheit Ihrer lokalen Ressourcen und die Sicherheit der Cloudkomponenten verantwortlich, die sich unter Ihrer Kontrolle befinden.

Zu Ihrem eigenen Schutz müssen Sie die Steuerelemente und Features aktivieren, die von Microsoft bereitgestellt werden.

Hinweis : Obwohl in diesem Artikel auf globaler Administratorkonten gerichtet sind, sollten Sie auch überlegen, ob zusätzliche Konten mit umfassende Berechtigungen zum Zugriff auf die Daten in Ihrem Abonnement, z. B. eDiscovery-Administrator oder Sicherheit oder Compliance Administratorkonten, sollte auf die gleiche Weise geschützt werden.

Phase 1. Erstellen von dedizierten globalen Office 365-Administratorkonten, die nur bei Bedarf verwendet werden

Es gibt nur relativ wenige Verwaltungsaufgaben wie das Zuweisen von Rollen für Benutzerkonten, für die globale Administratorrechte erforderlich sind. Daher sollten Sie sofort die folgenden Maßnahmen ergreifen, anstatt normale Benutzerkonten zu verwenden, denen die Rolle des globalen Administrators zugewiesen wurde:

  1. Ermitteln Sie die Gruppe der Benutzerkonten, denen die Rolle des globalen Administrators zugewiesen wurde. Hierfür können Sie in Office 365 PowerShell den folgenden Befehl verwenden:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Melden Sie sich bei Ihrem Office 365-Konto mit einem Benutzerkonto an, dem die Rolle des globalen Administrators zugewiesen wurde.

  3. Erstellen Sie mindestens ein und bis zu maximal fünf dedizierte globale Administratorbenutzerkonten. Verwenden Sie sichere Kennwörter bestehend aus mindestens zwölf Zeichen. Speichern Sie die Kennwörter für die neuen Konten an einem sicheren Ort.

  4. Weisen Sie die Rolle des globalen Administrators jedem der neuen dedizierten Benutzerkonten für globale Administratoren zu.

  5. Melden Sie sich bei Office 365 ab.

  6. Melden Sie sich mit einem der neuen dedizierten Benutzerkonten für globale Administratoren an.

  7. Gehen Sie bei jedem vorhandenen Benutzerkonto, dem in Schritt 1 die Rolle des globalen Administrators zugewiesen wurde, folgendermaßen vor:

    • Entfernen Sie die Rolle des globalen Administrators.

    • Zuweisen von Administratorrollen auf das Konto, die Position (Funktion) und Zuständigkeit des Benutzers geeignet sind. Weitere Informationen zu den verschiedenen Administratorrollen in Office 365 finden Sie unter Informationen zu Office 365-Administratorrollen.

  8. Melden Sie sich bei Office 365 ab.

Das Ergebnis sollte wie folgt aussehen:

  • Die einzigen Benutzerkonten in Ihrem Abonnement, die über die Berechtigungen eines globalen Administrators verfügen, befinden sich im neuen Satz der dedizierten Konten für globale Administratoren. Überprüfen Sie dies mit dem folgenden PowerShell-Befehl im Windows Azure Active Directory-Modul mithilfe der Windows PowerShell-Eingabeaufforderung:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Alle anderen normalen Benutzerkonten zur Verwaltung Ihres Abonnements verfügen über Administratorrollen, die ihren beruflichen Zuständigkeiten entsprechen.

Ab diesem Zeitpunkt melden Sie sich mit den dedizierten Konten für globale Administratoren nur bei Aufgaben an, für die die Berechtigungen eines globalen Administrators erforderlich sind. Die restliche Office 365-Verwaltung muss erfolgen, indem Benutzerkonten andere Verwaltungsrollen zugewiesen werden.

Hinweis : Ja, dies setzt weitere Schritte voraus, um sich bei Ihrem normalen Benutzerkonto abzumelden und sich mit dem dedizierten Konto eines globalen Administrators anzumelden. Dies ist jedoch nur gelegentlich erforderlich, wenn globale Administratoraufgaben erledigt werden müssen. Denken Sie daran, dass die Wiederherstellung Ihres Office 365-Abonnement nach einer Sicherheitsverletzung des globalen Administratorkontos wesentlich mehr Schritte erfordert.

Phase 2. Konfigurieren der mehrstufigen Authentifizierung für Ihre dedizierten globalen Office 365-Administratorkonten und Verwenden der stringentesten Form der sekundären Authentifizierung

Die mehrstufige Authentifizierung (Multi-Factor Authentication, MFA) für Ihre globalen Administratorkonten setzt über den Kontonamen und das Kennwort hinaus weitere Informationen voraus. Office 365 arbeitet mit folgenden Überprüfungsmethoden:

  • Ein Telefonanruf

  • Ein zufällig generierter Passcode

  • Eine Smartcard (virtuell oder physisch)

  • Ein biometrisches Gerät

Wenn Sie sich in einem kleinen Unternehmen befinden, bei dem die Benutzerkonten nur in der Cloud gespeichert sind (Cloudidentitätsmodus), führen Sie sofort die folgenden Schritte aus, um MFA für die Verwendung eines Telefonanrufs oder einer Textnachricht auf dem Smartphone zum Erhalt eines Überprüfungscodes zu konfigurieren:

  1. Aktivieren der MFA

  2. Einrichten der zweistufigen Überprüfung für Office 365 zum Konfigurieren eines jeden dedizierten globalen Administratorkontos für Telefonanrufe oder Textnachrichten als Überprüfungsmethode.

Wenn Sie sich in einer größeren Organisation befinden, die die synchronisierten oder verbundenen Office 365-Identitätsmodelle verwendet, verfügen Sie über weitere Überprüfungsmethoden. Wenn bereits eine Sicherheitsinfrastruktur für eine stärkere sekundäre Authentifizierungsmethode vorhanden ist, führen Sie sofort die folgenden Schritte aus:

  1. Aktivieren der MFA

  2. Einrichten der zweistufigen Überprüfung für Office 365 zum Konfigurieren eines jeden dedizierten globalen Administratorkontos für die geeignete Überprüfungsmethode.

Wenn die Sicherheitsinfrastruktur für die gewünschte stärkere Überprüfungsmethode nicht vorhanden ist und Office 365 MFA nicht funktioniert, empfehlen wir dringend, sofort dedizierte globale Administratorkonten mit MFA zu konfigurieren, für die der Überprüfungscode für Ihre globalen Benutzerkonten als zwischenzeitliche Sicherheitsmaßnahme per Telefonanruf oder über ein Smartphone gesendet werden kann. Sorgen Sie immer dafür, dass Ihre dedizierten globalen Administratorkonten zusätzlich mithilfe von MFA geschützt werden.

Weitere Informationen finden Sie unter Planen für kombinierte Authentifizierung für Office 365-Installationen.

Informationen zum Herstellen der Verbindung zu Office 365-Diensten mit MFA und PowerShell finden Sie in diesem Artikel.

Phase 3. Aktivieren und Konfigurieren von Office 365-Cloud-App-Sicherheit zum Überwachen der Aktivitäten in verdächtigen globaler Administrator-Konto

Office 365-Cloud-App-Sicherheit können Sie Richtlinien erstellen, um die verdächtige Verhalten im Rahmen Ihres Abonnements aufmerksam zu machen. Cloud-App-Sicherheit ist in Office 365 E5 integriert, aber auch als separate Service verfügbar ist. Wenn Sie nicht über Office 365 E5 verfügen, können Sie beispielsweise einzelne Cloud-App-Sicherheit Lizenzen für die Benutzerkonten kaufen, die die globaler Administrator, Sicherheitsadministrator und Compliance-Administratorrollen zugeordnet sind.

Wenn Sie in Ihrem Office 365-Abonnement, Gehen Sie wie folgt sofortCloud-App-Sicherheit haben:

  1. Melden Sie sich in Office 365-Portal mit einem Konto an, die Rolle des Security Administrator oder Compliance-Administrator zugewiesen ist.

  2. Aktivieren von Office 365-Cloud-App-Sicherheit.

  3. Erstellen von Anomalie Erkennungsrichtlinien , die Sie per e-Mail von abweichenden Mustern berechtigten administrative Tätigkeit benachrichtigen.

Zum Hinzufügen eines Benutzerkontos zur Rolle des Sicherheitsadministrators stellen Sie die Verbindung zu Office 365 PowerShell her, verwenden Sie hierbei ein dediziertes globales Administratorkonto und die MFA, geben Sie den Benutzerprinzipalnamen des Benutzerkontos ein, und führen Sie dann die folgenden Befehle aus:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Zum Hinzufügen eines Benutzerkontos zur Rolle des Complianceadministrators geben Sie den Benutzerprinzipalnamen des Benutzerkontos ein, und führen Sie dann die folgenden Befehle aus:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Zusätzlicher Schutz für Ihre Konten globaler administrator

Nachdem Phasen 1 bis 3, diese zusätzlichen Methoden verwenden, um sicherzustellen, dass Ihr Konto globaler Administrator und die Konfiguration, die Sie mit dem sie ausführen, sind möglichst sicher.

Berechtigte Access Arbeitsstationen (PFOTE)

Um sicherzustellen, dass die Ausführung von Aufgaben möglichst sicher ist, verwenden Sie eine KRALLE aus. Eine KRALLE ist eine dedizierte Computer, der nur für vertrauliche Konfigurationsaufgaben, wie Office 365-Konfiguration verwendet wird, die ein globaler Administrator-Konto erforderlich sind. Da dieser Computer für das Surfen im Internet oder die e-Mail-täglich nicht verwendet wird, ist es besser vor Internet-Angriffen und Risiken geschützt.

Anweisungen zum Einrichten einer PFOTE finden Sie unter http://aka.ms/cyberpaw.

Azure AD-Berechtigungen Identitätsmanagement (PIM)

Azure AD PIM können Sie statt der globaler Administratorkonten dauerhaft die Rolle des globalen Administrators zugewiesen werden, aktivieren bei Bedarf, der in-Time-Zuordnung der Rolle des globalen Administrators, wenn er erforderlich ist.

Auf andere Wörter, statt Ihre globaler Administratorkonten wird ein permanent-Administrator werden sie in Frage kommenden Administratoren. Die Rolle des globalen Administrators ist inaktiv, bis jemand benötigen. Sie führen dann Aktivierungsprozess um die Rolle des globalen Administrators für einem zuvor festgelegten Zeitraum globaler Administrator-Konto hinzuzufügen. Wenn die Zeit abläuft, entfernt PIM die Rolle des globalen Administrators aus dem globalen Administrator-Konto an.

Verwenden von PIM und dieser Prozess erheblich reduziert die Zeitdauer, die Ihre Konten globaler Administrator sind betroffen Angriffen und durch nicht autorisierte Benutzer verwenden.

Weitere Informationen finden Sie unter Konfigurieren von Azure AD berechtigten Identitätsmanagement.

Hinweis : PIM gehört zum Lieferumfang Azure Active Directory Premium P2, das in Enterprise-Mobilität + E5 Sicherheit (EMS) enthalten ist, oder Sie können einzelne Lizenzen für Ihre Konten globaler Administrator kaufen.

Informationen und Ereignis Management (SIEM) Sicherheitssoftware für Office 365-Protokollierung

SIEM Software- und einem Server, der es ausführt, führt in Echtzeit Analyse von Sicherheitswarnungen und Ereignisse von Applications und Netzwerk-Hardware erstellt. Damit Ihre SIEM Server Sicherheitswarnungen für Office 365 und Ereignisse in ihrer Analyse und reporting-Funktionen enthalten kann, in Ihrem System SIEM zu integrieren vor:

Nächster Schritt

Finden Sie unter Sicherheit bewährte Methoden für Office 365.

Hinweis : Haftungsausschluss für maschinelle Übersetzungen: Dieser Artikel wurde mithilfe eines Computersystems und ohne jegliche Bearbeitung durch Personen übersetzt. Microsoft bietet solche maschinellen Übersetzungen als Hilfestellung für Benutzer ohne Englischkenntnisse an, damit Sie von den Informationen zu Produkten, Diensten und Technologien von Microsoft profitieren können. Da es sich bei diesem Artikel um eine maschinelle Übersetzung handelt, enthält er möglicherweise Fehler in Bezug auf (Fach-)Terminologie, Syntax und/oder Grammatik.

Ihre Fähigkeiten erweitern
Schulung erkunden
Neue Funktionen als Erster erhalten
An Office Insider teilnehmen

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×