Προστασία τους λογαριασμούς σας καθολικός διαχειριστής του Office 365

Σύνοψη: Προστασία συνδρομή στο Office 365 από επιθέσεις με βάση την παραβίαση από ένα λογαριασμό καθολικού διαχειριστή.

Σημείωση:  Θέλουμε να σας παρέχουμε το πιο πρόσφατο περιεχόμενο βοήθειας στη γλώσσα σας όσο πιο σύντομα γίνεται. Αυτή η σελίδα έχω μεταφραστεί μέσω αυτοματοποιημένης διαδικασίας και ενδεχομένως να περιέχει γραμματικά λάθη και ανακρίβειες. Ο σκοπός μας είναι αυτό το περιεχόμενο να σας φανεί χρήσιμο. Μπορείτε να μας ενημερώσετε στο κάτω μέρος αυτής της σελίδας εάν οι πληροφορίες σάς φάνηκαν χρήσιμες; Εδώ θα βρείτε το άρθρο στα Αγγλικά , για να το συμβουλεύεστε εύκολα.

Παραβιάσεις ασφαλείας από μια συνδρομή στο Office 365, συμπεριλαμβανομένων των πληροφορίες συλλέγονται και επιθέσεις ψαρέματος, συνήθως γίνεται από τα διαπιστευτήρια από ένα λογαριασμό καθολικού διαχειριστή του Office 365. Ασφάλεια στο cloud είναι μια συνεργασία ανάμεσα σε εσάς και Microsoft:

  • Υπηρεσίες cloud της Microsoft δημιουργούνται σε θεμέλια αξιοπιστίας και ασφάλεια. Η Microsoft παρέχει ελέγχους ασφαλείας και τις δυνατότητες που θα σας βοηθήσουν να προστατεύσετε τα δεδομένα και τις εφαρμογές.

  • Είστε ο κάτοχος των δεδομένων σας και τις ταυτότητες και την ευθύνη για την προστασία τους, η ασφάλεια των πόρων σας στην εσωτερική εγκατάσταση και την ασφάλεια των στοιχείων cloud που μπορείτε να ελέγξετε.

Η Microsoft παρέχει δυνατότητες για την προστασία της εταιρείας σας, αλλά είναι αποτελεσματικές μόνο εάν χρησιμοποιείτε τους. Εάν δεν χρησιμοποιείτε τους, ενδέχεται να ευάλωτο σε επιθέσεις. Για να προστατεύσετε τους λογαριασμούς σας καθολικός διαχειριστής, Microsoft είναι εδώ για να σας βοηθήσει με λεπτομερείς οδηγίες για να:

  1. Δημιουργία αποκλειστικό λογαριασμών καθολικός διαχειριστής του Office 365 και χρησιμοποιήστε τις μόνο όταν είναι απαραίτητο.

  2. Ρύθμιση παραμέτρων ελέγχου ταυτότητας πολλαπλών παραγόντων για τους λογαριασμούς σας αποκλειστικό καθολικός διαχειριστής του Office 365 και χρησιμοποιήστε τη φόρμα ισχυρότερη δευτερεύοντα ελέγχου ταυτότητας.

  3. Ενεργοποίηση και ρύθμιση παραμέτρων ασφαλείας εφαρμογής του Office 365 Cloud για να παρακολουθήσετε τη δραστηριότητα λογαριασμού ύποπτες καθολικός διαχειριστής.

Σημείωση: Παρόλο που αυτό το άρθρο εστιάζει στην καθολικός διαχειριστής λογαριασμών, που πρέπει επίσης να σκεφτείτε εάν επιπλέον λογαριασμούς με ευρείας κλίμακας δικαιώματα για να αποκτήσετε πρόσβαση στα δεδομένα στη συνδρομή σας, όπως το eDiscovery διαχειριστή ή ασφαλείας ή συμμόρφωσης τους λογαριασμούς διαχειριστή, θα πρέπει να προστατεύονται με τον ίδιο τρόπο.

Φάση 1. Δημιουργία αποκλειστικό λογαριασμών καθολικός διαχειριστής του Office 365 και χρησιμοποιήστε τις μόνο όταν είναι απαραίτητο

Υπάρχουν σχετικά λίγα εργασίες διαχείρισης, όπως η εκχώρηση ρόλων σε λογαριασμούς χρηστών, που απαιτούν δικαιώματα καθολικού διαχειριστή. Επομένως, αντί να χρησιμοποιήσετε τους λογαριασμούς χρηστών καθημερινές που έχουν αντιστοιχιστεί το ρόλο καθολικού διαχειριστή, κάντε τα εξής βήματα:

  1. Προσδιορίστε το σύνολο των λογαριασμών χρηστών που έχουν αντιστοιχιστεί το ρόλο καθολικού διαχειριστή. Μπορείτε να το κάνετε με αυτήν την εντολή στη γραμμή εντολών Microsoft Azure Active Directory λειτουργικής μονάδας για το Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Πραγματοποιήστε είσοδο στο συνδρομή στο Office 365 με ένα λογαριασμό χρήστη που έχει αντιστοιχιστεί το ρόλο καθολικού διαχειριστή.

  3. Δημιουργήστε τουλάχιστον μία και έως και πέντε αφοσιωμένη λογαριασμούς χρήστη ο Καθολικός διαχειριστής. Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης τουλάχιστον 12 χαρακτήρες μεγάλο Αποθήκευση των κωδικών πρόσβασης για τους νέους λογαριασμούς σε ασφαλή θέση.

  4. Εκχωρήστε το ρόλο καθολικού διαχειριστή για κάθε έναν από τους λογαριασμούς χρηστών νέο αποκλειστικό καθολικός διαχειριστής.

  5. Αποσυνδεθείτε από το Office 365.

  6. Συνδεθείτε με έναν από τους νέους λογαριασμούς χρήστη αποκλειστική καθολικός διαχειριστής.

  7. Για κάθε λογαριασμό χρήστη που είχαν αντιστοιχιστεί το ρόλο καθολικού διαχειριστή από το βήμα 1:

    • Καταργήστε το ρόλο καθολικού διαχειριστή.

    • Εκχώρηση ρόλων διαχειριστή στο λογαριασμό που είναι κατάλληλες για τη λειτουργία εργασίας και την ευθύνη του χρήστη. Για περισσότερες πληροφορίες σχετικά με τις διάφορες ρόλων διαχειριστή στο Office 365, ανατρέξτε στο θέμα σχετικά με το Office 365 ρόλων διαχειριστή.

  8. Αποσυνδεθείτε από το Office 365.

Το αποτέλεσμα θα πρέπει να είναι:

  • Οι λογαριασμοί μοναδικός χρήστης στη συνδρομή σας που έχουν το ρόλο καθολικού διαχειριστή είναι το νέο σύνολο λογαριασμών αποκλειστικό καθολικός διαχειριστής. Το επαληθεύσετε με την ακόλουθη εντολή PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Όλα καθημερινές λογαριασμούς χρηστών που διαχειριστείτε τη συνδρομή σας έχει τους ρόλους διαχειριστή που έχουν εκχωρηθεί που συσχετίζονται με τις αρμοδιότητες.

Από αυτήν τη στιγμή και μετά, να συνδεθείτε με τους λογαριασμούς αποκλειστικό καθολικός διαχειριστής μόνο για τις εργασίες που απαιτούν δικαιώματα καθολικού διαχειριστή. Όλα τα άλλα διαχείριση του Office 365 πρέπει να γίνουν με την εκχώρηση άλλοι ρόλοι διαχείρισης λογαριασμών χρηστών.

Σημείωση: Ναι, αυτό απαιτεί επιπλέον βήματα για να αποσυνδεθείτε ως λογαριασμός χρήστη καθημερινές σας και συνδεθείτε με ένα λογαριασμό αποκλειστικό καθολικός διαχειριστής. Αλλά αυτό μόνο πρέπει να γίνει περιστασιακά για λειτουργίες καθολικός διαχειριστής. Εξετάστε το ενδεχόμενο να που ανακτήσετε συνδρομή στο Office 365 μετά την παραβίαση λογαριασμού καθολικός διαχειριστής απαιτεί πολύ περισσότερες βήματα.

Φάση 2. Ρύθμιση παραμέτρων ελέγχου ταυτότητας πολλαπλών παραγόντων για τους λογαριασμούς σας αποκλειστικό καθολικός διαχειριστής του Office 365 και χρησιμοποιήστε τη φόρμα ισχυρότερη δευτερεύοντα ελέγχου ταυτότητας

Έλεγχος ταυτότητας πολλών παραγόντων (MFA) για τους λογαριασμούς σας καθολικός διαχειριστής απαιτεί πρόσθετες πληροφορίες πέρα από το όνομα λογαριασμού και τον κωδικό πρόσβασης. Office 365 υποστηρίζει τις παρακάτω μεθόδους επαλήθευσης:

  • Μια τηλεφωνική κλήση

  • Έναν κωδικό πρόσβασης που δημιουργείται τυχαία

  • Μια έξυπνη κάρτα (εικονική ή φυσική)

  • Μια βιομετρική συσκευή

Εάν είστε μια για μικρές επιχειρήσεις που χρησιμοποιούν λογαριασμούς χρηστών που είναι αποθηκευμένα μόνο στο cloud (το μοντέλο ταυτότητας cloud), ακολουθήστε τα παρακάτω βήματα για να ρυθμίσετε τις παραμέτρους MFA χρησιμοποιώντας μια τηλεφωνική κλήση ή έναν κωδικό επαλήθευσης μήνυμα κειμένου που αποστέλλονται σε ένα έξυπνο τηλέφωνο:

  1. Ενεργοποίηση MFA.

  2. Ρύθμιση του επαλήθευσης βήμα 2 για το Office 365 για να ρυθμίσετε τις παραμέτρους κάθε αφοσιωμένη λογαριασμό καθολικού διαχειριστή για τηλεφωνική κλήση ή μήνυμα κειμένου ως μεθόδου επαλήθευσης.

Εάν είστε μια μεγαλύτερη εταιρεία που χρησιμοποιεί τα μοντέλα ταυτότητας συγχρονισμένη ή ομόσπονδη Office 365, έχετε περισσότερες επιλογές επιβεβαίωσης. Εάν έχετε ήδη την υποδομή ασφαλείας στη θέση για έναν ισχυρότερο μέθοδο δευτερεύοντα ελέγχου ταυτότητας, ακολουθήστε τα παρακάτω βήματα:

  1. Ενεργοποίηση MFA.

  2. Ρύθμιση του επαλήθευσης βήμα 2 για το Office 365 για να ρυθμίσετε τις παραμέτρους κάθε αφοσιωμένη λογαριασμό καθολικού διαχειριστή για τη μέθοδο κατάλληλο επαλήθευσης.

Εάν η υποδομή ασφαλείας για την επιθυμητή ισχυρότερο μεθόδου επαλήθευσης δεν είναι σε θέση και τη λειτουργία για Office 365 MFA, συνιστάμε ιδιαιτέρως ρύθμιση παραμέτρων λογαριασμών αποκλειστικό καθολικός διαχειριστής με MFA χρησιμοποιώντας μια τηλεφωνική κλήση ή ένα μήνυμα κειμένου κωδικό επαλήθευσης που αποστέλλονται σε ένα έξυπνο τηλέφωνο για τους λογαριασμούς σας στο καθολικό διαχειριστή ως μέτρο ενδιάμεσες ασφαλείας. Μην αφήνετε τους λογαριασμούς σας αποκλειστικό καθολικός διαχειριστής χωρίς την επιπλέον προστασία που παρέχεται από MFA.

Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Σχεδιασμός για έλεγχο ταυτότητας πολλών παραγόντων για αναπτύξεις του Office 365.

Για να συνδεθείτε στο Office 365 τις υπηρεσίες με MFA και PowerShell, ανατρέξτε σε αυτό το άρθρο.

Φάση 3. Ενεργοποίηση και ρύθμιση παραμέτρων ασφαλείας εφαρμογής του Office 365 Cloud για να παρακολουθήσετε τη δραστηριότητα λογαριασμού ύποπτες καθολικός διαχειριστής

Ασφαλείας εφαρμογής του Office 365 Cloud σάς επιτρέπει να δημιουργήσετε πολιτικές για να σας ειδοποιεί ύποπτες συμπεριφοράς στη συνδρομή σας. Ασφάλεια εφαρμογή cloud είναι ενσωματωμένο στο Office 365 E5, αλλά είναι επίσης διαθέσιμη ως ξεχωριστή υπηρεσία. Για παράδειγμα, εάν δεν έχετε Office 365 E5, μπορείτε να αγοράσετε μεμονωμένων Cloud εφαρμογή ασφαλείας αδειών χρήσης για τους λογαριασμούς χρηστών που έχουν αντιστοιχιστεί το καθολικός διαχειριστής του διαχειριστή για την ασφάλεια και συμμόρφωση ρόλων διαχειριστή.

Εάν έχετε Cloud εφαρμογής ασφάλειας σε συνδρομή στο Office 365, ακολουθήστε τα παρακάτω βήματα:

  1. Πραγματοποιήστε είσοδο στην πύλη του Office 365 με ένα λογαριασμό που έχει εκχωρηθεί ο ρόλος διαχειριστή ασφαλείας ή διαχειριστής συμμόρφωσης.

  2. Ενεργοποίηση του Office 365 Cloud εφαρμογής ασφάλειας.

  3. Δημιουργία πολιτικών εντοπισμού ανωμαλία για να σας ειδοποιεί μέσω ηλεκτρονικού ταχυδρομείου ύπαρξη μοτίβων Προνομιούχους διαχείρισης δραστηριότητας.

Για να προσθέσετε ένα λογαριασμό χρήστη για το ρόλο διαχειριστή για την ασφάλεια, συνδεθείτε στο Office 365 PowerShell με ένα λογαριασμό αποκλειστικό καθολικός διαχειριστής και MFA, συμπληρώστε το κύριο όνομα χρήστη του λογαριασμού χρήστη και, στη συνέχεια, εκτελέστε αυτές οι εντολές:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Για να προσθέσετε ένα λογαριασμό χρήστη για το ρόλο διαχειριστή συμμόρφωσης, συμπληρώστε το κύριο όνομα χρήστη του λογαριασμού χρήστη και, στη συνέχεια, εκτελέστε αυτές οι εντολές:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Επιπλέον προστασία για τους λογαριασμούς σας καθολικός διαχειριστής

Αφού φάσεις 1-3, χρησιμοποιήστε αυτές τις πρόσθετες μεθόδους για να βεβαιωθείτε ότι το λογαριασμό καθολικού διαχειριστή και τη ρύθμιση παραμέτρων που πραγματοποιείτε με χρήση του, είναι όσο το δυνατόν πιο ασφαλή.

Δικαιώματα πρόσβασης σταθμούς εργασίας (πόδι ΖΏΟΥ)

Για να εξασφαλίσετε ότι η εκτέλεση των εργασιών ιδιαίτερα δικαιώματα είναι όσο το δυνατόν πιο ασφαλή, χρησιμοποιήστε ένα πόδι ΖΏΟΥ. Ένα πόδι ΖΏΟΥ είναι μια αποκλειστική υπολογιστής που χρησιμοποιείται μόνο για ευαίσθητες ρυθμίσεις παραμέτρων εργασίες, όπως η ρύθμιση παραμέτρων του Office 365 που απαιτεί ένα λογαριασμό καθολικού διαχειριστή. Επειδή αυτός ο υπολογιστής δεν χρησιμοποιείται καθημερινά για αναζήτηση στο Internet ή ηλεκτρονικού ταχυδρομείου, είναι καλύτερα προστατευμένο από επιθέσεις μέσω του Internet και κινδύνους.

Για οδηγίες σχετικά με τον τρόπο για να ρυθμίσετε ένα πόδι ΖΏΟΥ, ανατρέξτε στο θέμα http://aka.ms/cyberpaw.

Η Διαχείριση ταυτοτήτων Azure AD δικαιώματα (PIM)

Αντί να χρειάζεται τους λογαριασμούς σας καθολικός διαχειριστής οριστικά να αντιστοιχιστεί το ρόλο καθολικού διαχειριστή, μπορείτε να χρησιμοποιήσετε Azure AD PIM για να ενεργοποιήσετε στη ζήτηση, απλώς στιγμή ανάθεσης από το ρόλο καθολικού διαχειριστή όταν είναι απαραίτητο.

Αντί να καθολικός διαχειριστής τους λογαριασμούς σας που ένας διαχειριστής μόνιμο, γίνονται επιλέξιμο διαχειριστές. Το ρόλο καθολικού διαχειριστή είναι ανενεργός μέχρι να απαιτείται από κάποιον. Στη συνέχεια, μπορείτε να ολοκληρώσετε μια διαδικασία ενεργοποίησης για να προσθέσετε το ρόλο καθολικού διαχειριστή για το λογαριασμό καθολικού διαχειριστή για ένα προκαθορισμένο χρονικό διάστημα. Κατά τη λήξη του χρόνου, PIM καταργεί το ρόλο καθολικού διαχειριστή από το λογαριασμό καθολικού διαχειριστή.

Χρήση PIM και αυτή η διαδικασία μειώνει σημαντικά το χρονικό διάστημα που είναι ευπαθή επιθέσεις και χρήσης από χρήστες κακόβουλο τους λογαριασμούς σας καθολικός διαχειριστής.

Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Ρύθμιση παραμέτρων Azure AD Προνομιούχους διαχείρισης των ταυτοτήτων.

Σημείωση: PIM είναι διαθέσιμη με το Azure Active Directory Premium P2, που περιλαμβάνεται με το εταιρικό φορητότητα + E5 ασφαλείας (EMS), ή μπορείτε να αγοράσετε μεμονωμένων αδειών χρήσης για τους λογαριασμούς του καθολικού διαχειριστή.

Ασφάλεια πληροφορίες και συμβάντων (SIEM) λογισμικό διαχείρισης για το Office 365 καταγραφής

Λογισμικό SIEM εκτελείται σε ένα διακομιστή εκτελεί σε πραγματικό χρόνο ανάλυση των ειδοποιήσεων ασφαλείας και τα συμβάντα που δημιουργούνται από εφαρμογές και υλικού δικτύου. Για να επιτρέψετε διακομιστή SIEM να συμπεριλάβετε ειδοποιήσεων ασφαλείας του Office 365 και συμβάντα σε την ανάλυσή και τις λειτουργίες αναφοράς, ενοποίηση στο σύστημά σας SIEM:

Επόμενο βήμα

Ανατρέξτε στο θέμα βέλτιστες πρακτικές ασφαλείας για το Office 365.

Αναπτύξτε τις δεξιότητές σας
Εξερευνήστε το περιεχόμενο της εκπαίδευσης
Αποκτήστε πρώτοι τις νέες δυνατότητες
Γίνετε μέλος του Office Insider

Σας βοήθησαν αυτές οι πληροφορίες;

Σας ευχαριστούμε για τα σχόλιά σας!

Σας ευχαριστούμε για τα σχόλιά σας! Φαίνεται ότι μπορεί να είναι χρήσιμο να συνδεθείτε με έναν από τους συνεργάτες υποστήριξης του Office.

×