Schützen Ihrer globalen Office 365-Administratorkonten

Hinweis:  Wir möchten Ihnen die aktuellsten Hilfeinhalte so schnell wie möglich in Ihrer eigenen Sprache bereitstellen. Diese Seite wurde automatisiert übersetzt und kann Grammatikfehler oder Ungenauigkeiten enthalten. Unser Ziel ist es, Ihnen hilfreiche Inhalte bereitzustellen. Teilen Sie uns bitte über den Link am unteren Rand dieser Seite mit, ob die Informationen für Sie hilfreich sind. Hier finden Sie den englischen Artikel als Referenz.

Zusammenfassung: Schützen Sie Ihre Office 365-Abonnement Angriffen basierend auf den Verlust von als globaler Administrator an.

Sicherheitsverletzungen bei einem Office 365-Abonnement wie das Abgreifen von Informationen und Phishingangriffe erfolgen normalerweise, indem die Anmeldeinformationen eines globalen Office 365-Administratorkontos missbraucht werden. Die Sicherheit in der Cloud ist eine Partnerschaft zwischen Ihnen und Microsoft:

  • Die Microsoft-Clouddienste wurden auf der Basis von Vertrauen und Sicherheit entwickelt. Microsoft stellt Sicherheitssteuerelemente und Features bereit, die Ihnen helfen, Ihre Daten und Anwendungen zu schützen.

  • Sie sind der Besitzer der Daten und Identitäten und damit für deren Schutz, für die Sicherheit Ihrer lokalen Ressourcen und die Sicherheit der Cloudkomponenten verantwortlich, die sich unter Ihrer Kontrolle befinden.

Microsoft stellt Funktionen zum Schutz Ihrer Organisation, aber sie sind nur wirksam, wenn Sie sie verwenden. Wenn Sie diese nicht verwenden, können Sie Angriffen gefährdet. Zum Schutz Ihrer Konten globaler Administrator ist Microsoft hier zur Unterstützung bei detaillierte Anweisungen zum:

  1. Erstellen Sie dedizierte globale Office 365-Administratorkonten, und verwenden Sie diese nur bei Bedarf.

  2. Konfigurieren Sie die mehrstufige Authentifizierung für Ihre dedizierten globalen Office 365-Administratorkonten, und verwenden Sie die stringenteste Form der sekundären Authentifizierung.

  3. Aktivieren und Konfigurieren von Office 365-Cloud-App-Sicherheit zum Überwachen der Aktivitäten in verdächtigen globaler Administrator-Konto.

Hinweis: Obwohl in diesem Artikel auf globaler Administratorkonten gerichtet sind, sollten Sie auch überlegen, ob zusätzliche Konten mit umfassende Berechtigungen zum Zugriff auf die Daten in Ihrem Abonnement, z. B. eDiscovery-Administrator oder Sicherheit oder Compliance Administratorkonten, sollte auf die gleiche Weise geschützt werden.

Schritt 1. Erstellen Sie dedizierte Office 365 globaler Administratorkonten und verwenden sie bei Bedarf

Es gibt relativ wenigen administrative Aufgaben, wie etwa Benutzerkonten, die globale Administratorrechte erforderlich Rollen zuweisen. Daher anstelle von alltägliche Benutzerkonten, die die Rolle des globalen Administrators zugewiesen wurden, führen Sie folgende Schritte aus:

  1. Festlegen des Benutzerkonten, die die Rolle des globalen Administrators zugewiesen wurden. Sie können diesen Befehl an der Microsoft Azure-Active Directory-Modul für Windows PowerShell-Eingabeaufforderung dazu:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Melden Sie sich bei Ihrem Office 365-Konto mit einem Benutzerkonto an, dem die Rolle des globalen Administrators zugewiesen wurde.

  3. Erstellen Sie mindestens eine und bis zu einem Maximum von fünf dedizierter globaler Administratorbenutzerkonten. Verwenden sicherer Kennwörter mindestens 12 Zeichen lang. Weitere Informationen finden Sie unter Erstellen sicherer Kennwörter . Speichern Sie die Kennwörter für die neuen Konten an einem sicheren Ort.

  4. Weisen Sie die Rolle des globalen Administrators jedem der neuen dedizierten Benutzerkonten für globale Administratoren zu.

  5. Melden Sie sich bei Office 365 ab.

  6. Melden Sie sich mit einem der neuen dedizierten Benutzerkonten für globale Administratoren an.

  7. Gehen Sie bei jedem vorhandenen Benutzerkonto, dem in Schritt 1 die Rolle des globalen Administrators zugewiesen wurde, folgendermaßen vor:

    • Entfernen Sie die Rolle des globalen Administrators.

    • Zuweisen von Administratorrollen auf das Konto, die Position (Funktion) und Zuständigkeit des Benutzers geeignet sind. Weitere Informationen zu den verschiedenen Administratorrollen in Office 365 finden Sie unter Informationen zu Office 365-Administratorrollen.

  8. Melden Sie sich bei Office 365 ab.

Das Ergebnis sollten:

  • Die nur Benutzerkonten in Ihrem Abonnement, die die Rolle des globalen Administrators enthalten sind die neue Gruppe von dedizierten globaler Administrator-Konten. Überprüfen Sie dies mit dem folgenden PowerShell-Befehl aus:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Alle anderen normalen Benutzerkonten zur Verwaltung Ihres Abonnements verfügen über Administratorrollen, die ihren beruflichen Zuständigkeiten entsprechen.

Ab diesem Zeitpunkt melden Sie sich mit den dedizierten Konten für globale Administratoren nur bei Aufgaben an, für die die Berechtigungen eines globalen Administrators erforderlich sind. Die restliche Office 365-Verwaltung muss erfolgen, indem Benutzerkonten andere Verwaltungsrollen zugewiesen werden.

Hinweis: Ja, dies setzt weitere Schritte voraus, um sich bei Ihrem normalen Benutzerkonto abzumelden und sich mit dem dedizierten Konto eines globalen Administrators anzumelden. Dies ist jedoch nur gelegentlich erforderlich, wenn globale Administratoraufgaben erledigt werden müssen. Denken Sie daran, dass die Wiederherstellung Ihres Office 365-Abonnement nach einer Sicherheitsverletzung des globalen Administratorkontos wesentlich mehr Schritte erfordert.

Schritt 2. Konfigurieren Sie mehrstufige Authentifizierung für Ihre dedizierten Office 365 globaler Administratorkonten und verwenden Sie die sicherste sekundäre Authentifizierung

Mehrstufige Authentifizierung (MFA) für Ihre Konten globaler Administrator erfordert zusätzliche Informationen über den Kontonamen und das Kennwort an. Office 365 unterstützt die folgenden Methoden für die Überprüfung:

  • Ein Telefonanruf

  • Ein zufällig generierter Passcode

  • Eine Smartcard (virtuell oder physisch)

  • Ein biometrisches Gerät

Wenn Sie ein kleines Unternehmen, das mithilfe von Benutzerkonten, die nur in der Cloud (die Cloud Identität Model) gespeichert ist sind, verwenden Sie folgende Schritte aus, um MFA mithilfe eines Telefonanrufs oder einen Text Nachricht Überprüfungscode gesendet, um eine Smartphone konfigurieren:

  1. Aktivieren der MFA

  2. Einrichten der zweistufigen Überprüfung für Office 365 zum Konfigurieren eines jeden dedizierten globalen Administratorkontos für Telefonanrufe oder Textnachrichten als Überprüfungsmethode.

Wenn Sie eine größere Organisation, die ein Office 365-Hybrid Identitätsmodell verwendet wird sind, müssen Sie weitere Optionen für die Verifizierung an. Wenn Sie die Sicherheitsinfrastruktur bereits für eine stärkere sekundäre Authentifizierungsmethode angeordnet haben, verwenden Sie folgende Schritte aus:

  1. Aktivieren der MFA

  2. Einrichten der zweistufigen Überprüfung für Office 365 zum Konfigurieren eines jeden dedizierten globalen Administratorkontos für die geeignete Überprüfungsmethode.

Wenn die Sicherheitsinfrastruktur für die gewünschte sicheres Überprüfungsmethode nicht installiert ist und einwandfrei für Office 365 MFA befindet, wird dringend empfohlen, dass Sie mit MFA dedizierten globaler Administratorkonten konfigurieren mithilfe eines Telefonanrufs oder Textnachricht Überprüfungscode für Ihre Konten globaler Administrator als einen zwischenzeitlichen aus Sicherheitsgründen an einem Smartphone gesendet werden. Lassen Sie Ihre Konten dedizierten globaler Administrator nicht ohne die zusätzlichen Schutz von MFA bereitgestellt.

Weitere Informationen finden Sie unter Planen für kombinierte Authentifizierung für Office 365-Installationen.

Informationen zum Herstellen der Verbindung zu Office 365-Diensten mit MFA und PowerShell finden Sie in diesem Artikel.

Schritt 3. Monitor für verdächtigen globaler Administrator Kontoaktivität

Office 365-Cloud-App-Sicherheit können Sie Richtlinien erstellen, um die verdächtige Verhalten im Rahmen Ihres Abonnements aufmerksam zu machen. Cloud-App-Sicherheit ist in Office 365 E5 integriert, aber auch als separate Service verfügbar ist. Wenn Sie nicht über Office 365 E5 verfügen, können Sie beispielsweise einzelne Cloud-App-Sicherheit Lizenzen für die Benutzerkonten kaufen, die die globaler Administrator, Sicherheitsadministrator und Compliance-Administratorrollen zugeordnet sind.

Wenn Sie Cloud-App-Sicherheit in Ihrem Office 365-Abonnement verfügen, verwenden Sie folgende Schritte aus:

  1. Melden Sie sich in Office 365-Portal mit einem Konto an, die Rolle des Security Administrator oder Compliance-Administrator zugewiesen ist.

  2. Aktivieren von Office 365-Cloud-App-Sicherheit.

  3. Überprüfen Sie Ihre Anomalie Erkennungsrichtlinien , um per e-Mail von abweichenden Mustern berechtigten administrative Aktivität benachrichtigt.

Um ein Benutzerkonto hinzufügen, die Sicherheit Administratorrolle, über ein Konto dedizierten globaler Administrator und MFA Verbindung mit Office 365 PowerShell , füllen Sie die Benutzerprinzipalnamen des Benutzerkontos, und führen Sie dann die folgenden Befehle:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Zum Hinzufügen eines Benutzerkontos der Compliance-Administratorrolle, füllen Benutzerprinzipalnamen des Benutzerkontos, und führen Sie dann die folgenden Befehle:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Zusätzlicher Schutz für Unternehmen

Nachdem die Schritte 1 bis 3, diese zusätzlichen Methoden verwenden, um sicherzustellen, dass Ihr Konto globaler Administrator und die Konfiguration, die Sie mit dem sie ausführen, sind möglichst sicher.

Berechtigte Access Arbeitsstationen (PFOTE)

Um sicherzustellen, dass die Ausführung von Aufgaben möglichst sicher ist, verwenden Sie eine KRALLE aus. Eine KRALLE ist eine dedizierte Computer, der nur für vertrauliche Konfigurationsaufgaben, wie Office 365-Konfiguration verwendet wird, die ein globaler Administrator-Konto erforderlich sind. Da dieser Computer für das Surfen im Internet oder die e-Mail-täglich nicht verwendet wird, ist es besser vor Internet-Angriffen und Risiken geschützt.

Anweisungen zum Einrichten einer PFOTE finden Sie unter http://aka.ms/cyberpaw.

Azure AD-Berechtigungen Identitätsmanagement (PIM)

Azure AD PIM können Sie statt der globaler Administratorkonten dauerhaft die Rolle des globalen Administrators zugewiesen werden, aktivieren bei Bedarf, der in-Time-Zuordnung der Rolle des globalen Administrators, wenn er erforderlich ist.

Statt Ihre globaler Administrator-Konten ein Administrator permanent wird werden sie in Frage kommenden Administratoren. Die Rolle des globalen Administrators ist inaktiv, bis jemand benötigen. Sie führen dann Aktivierungsprozess um die Rolle des globalen Administrators für einem zuvor festgelegten Zeitraum globaler Administrator-Konto hinzuzufügen. Wenn die Zeit abläuft, entfernt PIM die Rolle des globalen Administrators aus dem globalen Administrator-Konto an.

Verwenden von PIM und dieser Prozess erheblich reduziert die Zeitdauer, die Ihre Konten globaler Administrator sind betroffen Angriffen und durch nicht autorisierte Benutzer verwenden.

Weitere Informationen finden Sie unter Konfigurieren von Azure AD berechtigten Identitätsmanagement.

Hinweis: PIM gehört zum Lieferumfang Azure Active Directory Premium P2, das in Enterprise-Mobilität + E5 Sicherheit (EMS) enthalten ist, oder Sie können einzelne Lizenzen für Ihre Konten globaler Administrator kaufen.

Informationen und Ereignis Management (SIEM) Sicherheitssoftware für Office 365-Protokollierung

SIEM-Software auf einem Server ausführen Führt in Echtzeit Analyse von Sicherheitswarnungen und Ereignisse von Applications und Netzwerk-Hardware erstellt. Damit Ihre SIEM Server Sicherheitswarnungen für Office 365 und Ereignisse in ihrer Analyse und reporting-Funktionen enthalten kann, integrieren Sie diese Elemente in Ihrem System SIEM:

Nächster Schritt

Finden Sie unter Sicherheit bewährte Methoden für Office 365.

Ihre Office-Fähigkeiten erweitern
Schulung erkunden
Neue Funktionen als Erster erhalten
An Office Insider teilnehmen

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×