Office 365 üldadministraatorikontode kaitsmine

Kokkuvõte:

Oma Office 365 tellimuse kaitsmiseks rünnakute eest peate kohe tegema järgmist:

  1. looma sihtotstarbelised Office 365 üldadministraatorikontod ja kasutama neid ainult siis, kui see on tõesti vajalik;

  2. konfigureerima oma sihtotstarbeliste Office 365 üldadministraatorikontode jaoks mitmikautentimise ja kasutama tugevaimat teisese autentimise varianti;

  3. lubama ja konfigureerima täiustatud turbehalduse, et hoida üldadministraatorikontode tegevustel silma peal ja kahtlasevõitu toiminguid kohe märgata.

Office 365 tellimuse turberünnakute (sh teabekogumis- ja andmepüügirünnakute) tegemisel kasutatakse enamasti kurjasti ära just Office 365 üldadministraatorikonto identimisteavet. Pilvkeskkonna turvalisuse tagamiseks peate Microsoftiga koostööd tegema.

  • Microsofti pilvteenused on rajatud usalduse ja turvalisuse vundamendile. Microsoft annab teie käsutusse turbemeetmed ja võimalused, mis aitavad teie andmeid ja rakendusi kaitsta.

  • Teie andmed ja identiteedid kuuluvad teile. Seega on ka nende kaitsmine teie ülesanne, nagu ka teie kohapealsete ressursside turvalisuse ja teie kontrolli alla jäävate pilvkomponentide turvalisuse tagamine.

Oma teabe kaitsmiseks peate kindlasti kasutusele võtma Microsofti pakutavad turbemeetmed ja kontrollivahendid.

1. toiming: looge sihtotstarbelised Office 365 üldadministraatorikontod ja kasutage neid ainult siis, kui see on tõesti vajalik

Selliseid haldustoiminguid, mis nõuavad üldadministraatori õigusi, on üsna vähe – näiteks on selleks kasutajakontodele rollide määramine. Seetõttu peaksite tavapärastele kasutajakontodele üldadministraatorirolli määramise ja nende kontode argikasutuse asemel tegema viivitamatult järgmist.

  1. Otsige üles kasutajakontod, millele on määratud üldadministraatori roll. Seda saate teha Office 365 PowerShellis järgmise käsuga:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Logige oma Office 365 tellimuses sisse kasutajakontoga, millele on määratud üldadministraatori roll.

  3. Looge vähemalt üks, kuid mitte rohkem kui viis sihtotstarbelist üldadministraatori kasutajakontot. Kasutage tugevat parooli, mis koosneb vähemalt 12 märgist. Talletage uue konto paroolid kindlas kohas.

  4. Määrake igale uuele sihtotstarbelisele üldadministraatori kasutajakontole üldadministraatori roll.

  5. Logige teenusekomplektist Office 365 välja.

  6. Logige sisse ühega oma uutest sihtotstarbelistest üldadministraatori kasutajakontodest.

  7. Tehke iga 1. toimingus tuvastatud olemasoleva kasutajakontoga, millele oli määratud üldadministraatori roll, järgmist.

    • Eemaldage üldadministraatori roll.

    • Määrake kontole administraatorirollid, mis on selle kasutaja tööülesannete ja vastutusalade jaoks asjakohased. Lisateavet erinevate Office 365 administraatorirollide kohta leiate artiklist Teave Office 365 administraatorirollide kohta.

  8. Logige teenusekomplektist Office 365 välja.

Tulemus peaks olema järgmine.

  • Ainsad kasutajakontod teie tellimuses, millel on üldadministraatori roll, on uued sihtotstarbelised üldadministraatorikontod. Selle kontrollimiseks käivitage Windows PowerShelli Windows Azure’i Active Directory mooduli käsuviibaaknas järgmine PowerShelli käsk:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Kõigile muudele igapäevastele kasutajakontodele, mille kaudu te tellimust haldate, peaksid olema määratud kasutaja töökohustustele vastavad administraatorirollid.

Sellest hetkest alates tuleb teil sihtotstarbeliste üldadministraatorikontodega sisse logida ainult selliste toimingute tegemiseks, mis nõuavad üldadministraatori õigusi. Kõigi muude Office 365 haldustoimingute tegemiseks tuleb kasutajakontodele määrata muud administraatorirollid.

Märkus. : Jah, see nõuab täiendavaid toiminguid – peate oma igapäevaselt kasutajakontolt välja logima ja seejärel sihtotstarbelise üldadministraatorikontoga sisse logima. Kuid seda on vaja teha üksnes mõnikord, kui tegemist ootab mõni üldadministraatori õigusi nõudev toiming. Võtke arvesse, et Office 365 tellimuse taastamine pärast üldadministraatorikonto kaudu toimunud rünnakut nõuab palju rohkem aega ja vaeva.

2. toiming: konfigureerige oma sihtotstarbeliste Office 365 üldadministraatorikontode jaoks mitmikautentimine ja kasutage tugevaimat teisese autentimise varianti

Üldadministraatori kontode mitmikautentimise (MFA) korral ei piisa üksnes konto nime ja parooli teadmisest. Office 365 toetab järgmisi kinnitusviise:

  • telefonikõne

  • juhugenereeritud pääsukood

  • kiipkaart (virtuaalne või füüsiline)

  • biomeetriline seade

Kui töötate väikeettevõttes, kus kasutatakse üksnes pilvkeskkonnas talletatud kasutajakontoid (pilveidentiteedi mudel), tehke viivitamatult järgmist, et konfigureerida mitmikautentimine kas telefonikõne või tekstsõnumina nutitelefoni saadetava kontrollkoodi abil.

  1. Lubage mitmikautentimine.

  2. Häälestage Office 365 jaoks kaheastmeline kinnitamine, et konfigureerida iga sihtotstarbelise üldadministraatorikonto jaoks kinnitusviisina kas telefonikõne või tekstsõnum.

Kui töötate suuremas asutuses, kus kasutatakse Office 365 sünkroonitud või liitidentiteedimudeleid, on teie jaoks saadaval rohkem kinnitusviise. Kui teil on tugevama teisese autentimisviisi jaoks vajalik turbetaristu juba paigas, tehke viivitamatult järgmist.

  1. Lubage mitmikautentimine.

  2. Häälestage Office 365 jaoks kaheastmeline kinnitamine, et konfigureerida iga sihtotstarbelise üldadministraatorikonto jaoks asjakohane kinnitusviis.

Kui soovitud tugevama kinnitusviisi jaoks vajalikku turbetaristut pole paigas ja seda ei saa Office 365 MFA jaoks kasutada, on soovitatav konfigureerida sihtotstarbeliste üldadministraatorikontode jaoks mitmikautentimine ajutise turbemeetmena viivitamatult kas telefonikõne või tekstsõnumiga nutitelefoni saadetava kinnituskoodi abil. Ärge jätke oma sihtotstarbelisi üldadministraatorikontosid ilma mitmikautentimise pakutava täiendava kaitseta.

Lisateavet leiate artiklist Office 365 juurutustes mitmikautentimise rakendamise plaanimine.

Office 365 teenustega mitmikautentimise ja PowerShelli abil ühenduse loomiseks lugege seda artiklit.

3. toiming: lubage ja konfigureerige täiustatud turbehaldus, et hoida üldadministraatorikontode tegevustel silma peal ja kahtlasevõitu toiminguid kohe märgata

Täiustatud turbehaldus (ASM) võimaldab teil luua poliitikaid, mis teavitavad teid tellimuses toimuvast kahtlasest käitumisest. ASM on Office 365 E5 lepingus sisse ehitatud, ent see on saadaval ka omaette teenusena. Kui teil näiteks pole Office 365 E5 lepingut, saate osta ASM üksiklitsentse nende kasutajakontode jaoks, millele on määratud üldadministraatori, turbeadministraatori ja nõuetele vastavuse administraatori rollid.

Kui teil on ASM oma Office 365 tellimuses olemas, tehke viivitamatult järgmist.

  1. Logige Office 365 portaali sisse kasutajakontoga, millele on määratud turbeadministraatori või nõuetele vastavuse administraatori roll.

  2. Lubage täiustatud turbehaldus (ASM).

  3. Looge poliitikad, mis teavitaksid teid meilitsi:

    • anomaalsetest mustritest haldustegevustes;

    • liikmetele rollide lisamisest.

Kasutajakontole turbeadministraatori rolli lisamiseks looge ühendus Office 365 PowerShelliga, kasutades selleks oma sihtotstarbelist üldadministraatorikontot ja mitmikautentimist, sisestage kasutajakonto täiskasutajanimi (UPN) ja seejärel käivitage järgmised käsud:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Nõuetele vastavuse administraatorirolli lisamiseks kasutajakontole sisestage kasutajakonto täiskasutajanimi ja seejärel käivitage järgmised käsud:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Järgmine toiming

Lugege artiklit Office 365 head turbetavad.

Vt ka

Teave Office 365 administraatorirollide kohta

Office 365 juurutustes mitmikautentimise rakendamise plaanimine

Täiustatud turbehalduse lubamine

Täiendage oma oskusi
Tutvuge koolitusmaterjalidega
Kasutage uusi funktsioone enne teisi
Liituge Office Insideri programmiga

Kas sellest teabest oli abi?

Täname tagasiside eest!

Täname tagasiside eest! Tundub, et võiksime teid kokku viia ühega meie Office'i tugiagentidest, kes aitab teil probleemi lahendada.

×