Προστασία τους λογαριασμούς σας καθολικός διαχειριστής του Office 365

ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο προέρχεται από μηχανική μετάφραση, δείτε την αποποίηση ευθυνών. Θα βρείτε την αγγλική έκδοση του παρόντος άρθρου εδώ για αναφορά.

Σύνοψη: Προστασία τους λογαριασμούς σας καθολικός διαχειριστής με αυτά τα βήματα.

Για την καλύτερη προστασία συνδρομή στο Office 365 από επιθέσεις με βάση την παραβίαση από ένα λογαριασμό καθολικού διαχειριστή, πρέπει να κάνετε το εξής αυτήν τη στιγμή:

  1. Δημιουργία αποκλειστικό λογαριασμών καθολικός διαχειριστής του Office 365 και χρησιμοποιήστε τις μόνο όταν είναι απαραίτητο.

  2. Ρύθμιση παραμέτρων ελέγχου ταυτότητας πολλαπλών παραγόντων για τους λογαριασμούς σας αποκλειστικό καθολικός διαχειριστής του Office 365 και χρησιμοποιήστε τη φόρμα ισχυρότερη δευτερεύοντα ελέγχου ταυτότητας.

  3. Ενεργοποίηση και ρύθμιση παραμέτρων ασφαλείας εφαρμογής του Office 365 Cloud για να παρακολουθήσετε τη δραστηριότητα λογαριασμού ύποπτες καθολικός διαχειριστής.

Παραβιάσεις ασφαλείας από μια συνδρομή στο Office 365, συμπεριλαμβανομένων των πληροφορίες συλλέγονται και επιθέσεις ψαρέματος, συνήθως γίνεται από τα διαπιστευτήρια από ένα λογαριασμό καθολικού διαχειριστή του Office 365. Ασφάλεια στο cloud είναι μια συνεργασία ανάμεσα σε εσάς και Microsoft:

  • Υπηρεσίες cloud της Microsoft δημιουργούνται σε θεμέλια αξιοπιστίας και ασφάλεια. Η Microsoft παρέχει ελέγχους ασφαλείας και τις δυνατότητες που θα σας βοηθήσουν να προστατεύσετε τα δεδομένα και τις εφαρμογές.

  • Είστε ο κάτοχος των δεδομένων σας και τις ταυτότητες και την ευθύνη για την προστασία τους, η ασφάλεια των πόρων σας στην εσωτερική εγκατάσταση και την ασφάλεια των στοιχείων cloud που μπορείτε να ελέγξετε.

Για να προστατεύσετε τον εαυτό σας, πρέπει να τοποθετήσετε στη θέση τα στοιχεία ελέγχου και τις δυνατότητες που παρέχει η Microsoft.

ΣΗΜΕΙΩΣΗ : Παρόλο που αυτό το άρθρο εστιάζει στην καθολικός διαχειριστής λογαριασμών, που πρέπει επίσης να σκεφτείτε εάν επιπλέον λογαριασμούς με ευρείας κλίμακας δικαιώματα για να αποκτήσετε πρόσβαση στα δεδομένα στη συνδρομή σας, όπως το eDiscovery διαχειριστή ή ασφαλείας ή συμμόρφωσης τους λογαριασμούς διαχειριστή, θα πρέπει να προστατεύονται με τον ίδιο τρόπο.

Φάση 1. Δημιουργία αποκλειστικό λογαριασμών καθολικός διαχειριστής του Office 365 και χρησιμοποιήστε τις μόνο όταν είναι απαραίτητο

Υπάρχουν σχετικά λίγα εργασίες διαχείρισης, όπως η εκχώρηση ρόλων σε λογαριασμούς χρηστών, που απαιτούν δικαιώματα καθολικού διαχειριστή. Επομένως, αντί να χρησιμοποιείτε τους λογαριασμούς χρηστών καθημερινές που έχουν αντιστοιχιστεί το ρόλο καθολικού διαχειριστή, κάντε τα εξής αμέσως:

  1. Προσδιορίστε το σύνολο των λογαριασμών χρηστών που έχουν αντιστοιχιστεί το ρόλο καθολικού διαχειριστή. Μπορείτε να κάνετε αυτό στο Office 365 PowerShell με αυτήν την εντολή:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Πραγματοποιήστε είσοδο στο συνδρομή στο Office 365 με ένα λογαριασμό χρήστη που έχει αντιστοιχιστεί το ρόλο καθολικού διαχειριστή.

  3. Δημιουργήστε τουλάχιστον μία και έως και πέντε αφοσιωμένη λογαριασμούς χρήστη ο Καθολικός διαχειριστής. Χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης τουλάχιστον 12 χαρακτήρες μεγάλο Αποθήκευση των κωδικών πρόσβασης για τους νέους λογαριασμούς σε ασφαλή θέση.

  4. Εκχωρήστε το ρόλο καθολικού διαχειριστή για κάθε έναν από τους λογαριασμούς χρηστών νέο αποκλειστικό καθολικός διαχειριστής.

  5. Αποσυνδεθείτε από το Office 365.

  6. Συνδεθείτε με έναν από τους νέους λογαριασμούς χρήστη αποκλειστική καθολικός διαχειριστής.

  7. Για κάθε λογαριασμό χρήστη που είχαν αντιστοιχιστεί το ρόλο καθολικού διαχειριστή από το βήμα 1:

    • Καταργήστε το ρόλο καθολικού διαχειριστή.

    • Εκχώρηση ρόλων διαχειριστή στο λογαριασμό που είναι κατάλληλες για τη λειτουργία εργασίας και την ευθύνη του χρήστη. Για περισσότερες πληροφορίες σχετικά με τις διάφορες ρόλων διαχειριστή στο Office 365, ανατρέξτε στο θέμα σχετικά με το Office 365 ρόλων διαχειριστή.

  8. Αποσυνδεθείτε από το Office 365.

Το αποτέλεσμα θα πρέπει να είναι τα εξής:

  • Οι λογαριασμοί μοναδικός χρήστης στη συνδρομή σας που έχουν το ρόλο καθολικού διαχειριστή είναι το νέο σύνολο λογαριασμών αποκλειστικό καθολικός διαχειριστής. Το επαληθεύσετε με την ακόλουθη εντολή PowerShell από τη γραμμή εντολών του Windows Azure Active Directory λειτουργικής μονάδας για το Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Όλα καθημερινές λογαριασμούς χρηστών που διαχειριστείτε τη συνδρομή σας έχει τους ρόλους διαχειριστή που έχουν εκχωρηθεί που συσχετίζονται με τις αρμοδιότητες.

Από αυτήν τη στιγμή και μετά, να συνδεθείτε με τους λογαριασμούς αποκλειστικό καθολικός διαχειριστής μόνο για τις εργασίες που απαιτούν δικαιώματα καθολικού διαχειριστή. Όλα τα άλλα διαχείριση του Office 365 πρέπει να γίνουν με την εκχώρηση άλλοι ρόλοι διαχείρισης λογαριασμών χρηστών.

ΣΗΜΕΙΩΣΗ : Ναι, αυτό απαιτεί επιπλέον βήματα για να αποσυνδεθείτε ως λογαριασμός χρήστη καθημερινές σας και συνδεθείτε με ένα λογαριασμό αποκλειστικό καθολικός διαχειριστής. Αλλά αυτό μόνο πρέπει να γίνει περιστασιακά για λειτουργίες καθολικός διαχειριστής. Εξετάστε το ενδεχόμενο να που ανακτήσετε συνδρομή στο Office 365 μετά την παραβίαση λογαριασμού καθολικός διαχειριστής απαιτεί πολύ περισσότερες βήματα.

Φάση 2. Ρύθμιση παραμέτρων ελέγχου ταυτότητας πολλαπλών παραγόντων για τους λογαριασμούς σας αποκλειστικό καθολικός διαχειριστής του Office 365 και χρησιμοποιήστε τη φόρμα ισχυρότερη δευτερεύοντα ελέγχου ταυτότητας

Έλεγχος ταυτότητας πολλών παραγόντων (MFA) για τους λογαριασμούς σας καθολικός διαχειριστής απαιτεί πρόσθετες πληροφορίες πέρα από το όνομα λογαριασμού και τον κωδικό πρόσβασης. Office 365 υποστηρίζει τις παρακάτω μεθόδους επαλήθευσης:

  • Μια τηλεφωνική κλήση

  • Έναν κωδικό πρόσβασης που δημιουργείται τυχαία

  • Μια έξυπνη κάρτα (εικονική ή φυσική)

  • Μια βιομετρική συσκευή

Εάν είστε μια για μικρές επιχειρήσεις που χρησιμοποιούν λογαριασμούς χρηστών που είναι αποθηκευμένα μόνο στο cloud (το μοντέλο ταυτότητας cloud), κάντε τα εξής αμέσως για να ρυθμίσετε τις παραμέτρους MFA χρησιμοποιώντας μια τηλεφωνική κλήση ή έναν κωδικό επαλήθευσης μήνυμα κειμένου που αποστέλλονται σε ένα έξυπνο τηλέφωνο:

  1. Ενεργοποίηση MFA.

  2. Ρύθμιση του επαλήθευσης βήμα 2 για το Office 365 για να ρυθμίσετε τις παραμέτρους κάθε αφοσιωμένη λογαριασμό καθολικού διαχειριστή για τηλεφωνική κλήση ή μήνυμα κειμένου ως μεθόδου επαλήθευσης.

Εάν είστε μια μεγαλύτερη εταιρεία που χρησιμοποιεί τα μοντέλα ταυτότητας συγχρονισμένη ή ομόσπονδη Office 365, έχετε περισσότερες επιλογές επιβεβαίωσης. Εάν έχετε ήδη την υποδομή ασφαλείας στο σημείο για έναν ισχυρότερο μέθοδο δευτερεύοντα ελέγχου ταυτότητας, κάντε τα εξής αμέσως:

  1. Ενεργοποίηση MFA.

  2. Ρύθμιση του επαλήθευσης βήμα 2 για το Office 365 για να ρυθμίσετε τις παραμέτρους κάθε αφοσιωμένη λογαριασμό καθολικού διαχειριστή για τη μέθοδο κατάλληλο επαλήθευσης.

Εάν η υποδομή ασφαλείας για την επιθυμητή ισχυρότερο μεθόδου επαλήθευσης δεν είναι σε θέση και τη λειτουργία για Office 365 MFA, συνιστάται ιδιαίτερα να ρυθμίζετε αμέσως αποκλειστικό καθολικός διαχειριστής λογαριασμούς με MFA χρησιμοποιώντας μια τηλεφωνική κλήση ή ένα κείμενο Κωδικός επαλήθευσης μήνυμα αποστέλλεται ένα έξυπνο τηλέφωνο για τους λογαριασμούς σας καθολικός διαχειριστής ως μέτρο ενδιάμεσες ασφαλείας. Μην αφήνετε τους λογαριασμούς σας αποκλειστικό καθολικός διαχειριστής χωρίς την επιπλέον προστασία που παρέχεται από MFA.

Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Σχεδιασμός για έλεγχο ταυτότητας πολλών παραγόντων για αναπτύξεις του Office 365.

Για να συνδεθείτε στο Office 365 τις υπηρεσίες με MFA και PowerShell, ανατρέξτε σε αυτό το άρθρο.

Φάση 3. Ενεργοποίηση και ρύθμιση παραμέτρων ασφαλείας εφαρμογής του Office 365 Cloud για να παρακολουθήσετε τη δραστηριότητα λογαριασμού ύποπτες καθολικός διαχειριστής

Ασφαλείας εφαρμογής του Office 365 Cloud σάς επιτρέπει να δημιουργήσετε πολιτικές για να σας ειδοποιεί ύποπτες συμπεριφοράς στη συνδρομή σας. Ασφάλεια εφαρμογή cloud είναι ενσωματωμένο στο Office 365 E5, αλλά είναι επίσης διαθέσιμη ως ξεχωριστή υπηρεσία. Για παράδειγμα, εάν δεν έχετε Office 365 E5, μπορείτε να αγοράσετε μεμονωμένων Cloud εφαρμογή ασφαλείας αδειών χρήσης για τους λογαριασμούς χρηστών που έχουν αντιστοιχιστεί το καθολικός διαχειριστής του διαχειριστή για την ασφάλεια και συμμόρφωση ρόλων διαχειριστή.

Εάν έχετε Cloud εφαρμογή ασφαλείας στη συνδρομή σας στο Office 365, κάντε τα εξής αμέσως:

  1. Πραγματοποιήστε είσοδο στην πύλη του Office 365 με ένα λογαριασμό που έχει εκχωρηθεί ο ρόλος διαχειριστή ασφαλείας ή διαχειριστής συμμόρφωσης.

  2. Ενεργοποίηση του Office 365 Cloud εφαρμογής ασφάλειας.

  3. Δημιουργία πολιτικών εντοπισμού ανωμαλία για να σας ειδοποιεί μέσω ηλεκτρονικού ταχυδρομείου ύπαρξη μοτίβων Προνομιούχους διαχείρισης δραστηριότητας.

Για να προσθέσετε ένα λογαριασμό χρήστη για το ρόλο διαχειριστή για την ασφάλεια, συνδεθείτε στο Office 365 PowerShell με ένα λογαριασμό αποκλειστικό καθολικός διαχειριστής και MFA, συμπληρώστε το κύριο όνομα χρήστη του λογαριασμού χρήστη και, στη συνέχεια, εκτελέστε τα εξής εντολές:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Για να προσθέσετε ένα λογαριασμό χρήστη για το ρόλο διαχειριστή συμμόρφωσης, συμπληρώστε το κύριο όνομα χρήστη του λογαριασμού χρήστη και, στη συνέχεια, εκτελέστε τις παρακάτω εντολές:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Επιπλέον προστασία για τους λογαριασμούς σας καθολικός διαχειριστής

Αφού φάσεις 1-3, χρησιμοποιήστε αυτές τις πρόσθετες μεθόδους για να βεβαιωθείτε ότι το λογαριασμό καθολικού διαχειριστή και τη ρύθμιση παραμέτρων που πραγματοποιείτε με χρήση του, είναι όσο το δυνατόν πιο ασφαλή.

Δικαιώματα πρόσβασης σταθμούς εργασίας (πόδι ΖΏΟΥ)

Για να εξασφαλίσετε ότι η εκτέλεση των εργασιών ιδιαίτερα δικαιώματα είναι όσο το δυνατόν πιο ασφαλή, χρησιμοποιήστε ένα πόδι ΖΏΟΥ. Ένα πόδι ΖΏΟΥ είναι μια αποκλειστική υπολογιστής που χρησιμοποιείται μόνο για ευαίσθητες ρυθμίσεις παραμέτρων εργασίες, όπως η ρύθμιση παραμέτρων του Office 365 που απαιτεί ένα λογαριασμό καθολικού διαχειριστή. Επειδή αυτός ο υπολογιστής δεν χρησιμοποιείται καθημερινά για αναζήτηση στο Internet ή ηλεκτρονικού ταχυδρομείου, είναι καλύτερα προστατευμένο από επιθέσεις μέσω του Internet και κινδύνους.

Για οδηγίες σχετικά με τον τρόπο για να ρυθμίσετε ένα πόδι ΖΏΟΥ, ανατρέξτε στο θέμα http://aka.ms/cyberpaw.

Η Διαχείριση ταυτοτήτων Azure AD δικαιώματα (PIM)

Αντί να χρειάζεται τους λογαριασμούς σας καθολικός διαχειριστής οριστικά να αντιστοιχιστεί το ρόλο καθολικού διαχειριστή, μπορείτε να χρησιμοποιήσετε Azure AD PIM για να ενεργοποιήσετε στη ζήτηση, απλώς στιγμή ανάθεσης από το ρόλο καθολικού διαχειριστή όταν είναι απαραίτητο.

Σε άλλες λέξεις, αντί για τους λογαριασμούς σας καθολικός διαχειριστής που ένας διαχειριστής μόνιμο, γίνονται επιλέξιμο διαχειριστές. Το ρόλο καθολικού διαχειριστή είναι ανενεργός μέχρι να απαιτείται από κάποιον. Στη συνέχεια, μπορείτε να ολοκληρώσετε μια διαδικασία ενεργοποίησης για να προσθέσετε το ρόλο καθολικού διαχειριστή για το λογαριασμό καθολικού διαχειριστή για ένα προκαθορισμένο χρονικό διάστημα. Κατά τη λήξη του χρόνου, PIM καταργεί το ρόλο καθολικού διαχειριστή από το λογαριασμό καθολικού διαχειριστή.

Χρήση PIM και αυτή η διαδικασία μειώνει σημαντικά το χρονικό διάστημα που είναι ευπαθή επιθέσεις και χρήσης από χρήστες κακόβουλο τους λογαριασμούς σας καθολικός διαχειριστής.

Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Ρύθμιση παραμέτρων Azure AD Προνομιούχους διαχείρισης των ταυτοτήτων.

ΣΗΜΕΙΩΣΗ : PIM είναι διαθέσιμη με το Azure Active Directory Premium P2, που περιλαμβάνεται με το εταιρικό φορητότητα + E5 ασφαλείας (EMS), ή μπορείτε να αγοράσετε μεμονωμένων αδειών χρήσης για τους λογαριασμούς του καθολικού διαχειριστή.

Ασφάλεια πληροφορίες και συμβάντων (SIEM) λογισμικό διαχείρισης για το Office 365 καταγραφής

Λογισμικό SIEM και διακομιστής που εκτελεί εκτελεί σε πραγματικό χρόνο ανάλυση των ειδοποιήσεων ασφαλείας και τα συμβάντα που δημιουργούνται από εφαρμογές και υλικού δικτύου. Για να επιτρέψετε διακομιστή SIEM να συμπεριλάβετε ειδοποιήσεων ασφαλείας του Office 365 και συμβάντα σε την ανάλυσή και τις λειτουργίες αναφοράς, ενοποίηση τα εξής στο σύστημα SIEM:

Επόμενο βήμα

Ανατρέξτε στο θέμα βέλτιστες πρακτικές ασφαλείας για το Office 365.

ΣΗΜΕΙΩΣΗ : Αποποίηση ευθυνών αυτόματης μετάφρασης: Αυτό το άρθρο έχει μεταφραστεί από ένα σύστημα υπολογιστή χωρίς ανθρώπινη παρέμβαση. Η Microsoft προσφέρει αυτές τις αυτόματες μεταφράσεις για να βοηθά τους μη αγγλόφωνους χρήστες να απολαμβάνουν περιεχόμενο σχετικά με προϊόντα, υπηρεσίες και τεχνολογίες της Microsoft. Το άρθρο προέρχεται από μηχανική μετάφραση, συνεπώς ενδέχεται να περιέχει λάθη λεξιλογίου, σύνταξης ή γραμματικής.

Αναπτύξτε τις δεξιότητές σας
Εξερευνήστε το περιεχόμενο της εκπαίδευσης
Αποκτήστε πρώτοι τις νέες δυνατότητες
Γίνετε μέλος του Office Insider

Σας βοήθησαν αυτές οι πληροφορίες;

Σας ευχαριστούμε για τα σχόλιά σας!

Σας ευχαριστούμε για τα σχόλιά σας! Φαίνεται ότι μπορεί να είναι χρήσιμο να συνδεθείτε με έναν από τους συνεργάτες υποστήριξης του Office.

×