Office
Logi sisse

Office 365 üldadministraatorikontode kaitsmine

Märkus.:  Soovime pakkuda teie keeles kõige ajakohasemat spikrisisu niipea kui võimalik. See leht on tõlgitud automaatselt ja sellel võib leiduda grammatikavigu või ebatäpsusi. Tahame, et sellest sisust oleks teile abi. Palun märkige selle lehe allservas, kas sellest teabest oli teile kasu või mitte. Soovi korral saab ingliskeelset artiklit lugeda siit .

Kokkuvõte: Kaitsta Office 365 tellimuse eest, mis põhineb kahjustamise üldadministraatori kontot.

Office 365 tellimuse turberünnakute (sh teabekogumis- ja andmepüügirünnakute) tegemisel kasutatakse enamasti kurjasti ära just Office 365 üldadministraatorikonto identimisteavet. Pilvkeskkonna turvalisuse tagamiseks peate Microsoftiga koostööd tegema.

  • Microsofti pilvteenused on rajatud usalduse ja turvalisuse vundamendile. Microsoft annab teie käsutusse turbemeetmed ja võimalused, mis aitavad teie andmeid ja rakendusi kaitsta.

  • Teie andmed ja identiteedid kuuluvad teile. Seega on ka nende kaitsmine teie ülesanne, nagu ka teie kohapealsete ressursside turvalisuse ja teie kontrolli alla jäävate pilvkomponentide turvalisuse tagamine.

Microsoft osutab võimaluste kaitsta teie asutuses, kuid need ainult siis, kui te neid kasutada. Kui te ei kasuta neid, võib olla loetleda. Üldadministraator kontode kaitsmiseks Microsoft on siin üksikasjalikud juhised, mis aitavad teil:

  1. looma sihtotstarbelised Office 365 üldadministraatorikontod ja kasutama neid ainult siis, kui see on tõesti vajalik;

  2. konfigureerima oma sihtotstarbeliste Office 365 üldadministraatorikontode jaoks mitmikautentimise ja kasutama tugevaimat teisese autentimise varianti;

  3. lubama ja konfigureerima Office 365 pilvrakenduste turbeteenuse, et hoida üldadministraatorikontode tegevustel silma peal ja kahtlasevõitu toiminguid kohe märgata.

Märkus.: Kuigi see artikkel keskendub üldadministraatori kontodele, peaksite ka kaaluma, kas täiendavaid kontosid, millel on laiaulatuslikud õigused teie tellimuse andmetele juurdepääsemiseks (nt e-juurdluse administraatori kontod või turbekontod või nõuetele vastavuse administraatori kontod), tuleks samal viisil kaitsta.

Samm 1. Sihtotstarbeline Office 365 üldadministraatori kontot luua ja kasutada neid ainult siis, kui see on vajalik

On üsna mõned haldustoiminguid, näiteks rollide määramine kasutajakonto, mis nõuavad üldadministraatori õigused. Seetõttu igapäevaseid Kasutajakontod, mis on määratud üldadministraatori rolliga asemel tehke järgmist.

  1. Määratlege Kasutajakontod, mis on määratud üldadministraatori rolliga määramine. Saate seda teha see käsk käsuviibale Microsoft Azure Active Directory moodul Windows PowerShelli jaoks.

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Logige oma Office 365 tellimuses sisse kasutajakontoga, millele on määratud üldadministraatori roll.

  3. Luua vähemalt üks ja kuni viie spetsiaalne üldadministraator Kasutajakontod. Kasutage keerukad paroolid vähemalt 12 märkide kaua Lisateabe saamiseks vaadake keeruka parooli loomine . Uue konto parooli talletada turvalises asukohas.

  4. Määrake igale uuele sihtotstarbelisele üldadministraatori kasutajakontole üldadministraatori roll.

  5. Logige teenusekomplektist Office 365 välja.

  6. Logige sisse ühega oma uutest sihtotstarbelistest üldadministraatori kasutajakontodest.

  7. Tehke iga 1. toimingus tuvastatud olemasoleva kasutajakontoga, millele oli määratud üldadministraatori roll, järgmist.

    • Eemaldage üldadministraatori roll.

    • Määrake kontole administraatorirollid, mis on selle kasutaja tööülesannete ja vastutusalade jaoks asjakohased. Lisateavet erinevate Office 365 administraatorirollide kohta leiate artiklist Teave Office 365 administraatorirollide kohta.

  8. Logige teenusekomplektist Office 365 välja.

Tulemus peaks olema:

  • Ainult Kasutajakontod teie tellimus on üldadministraatori rolliga on uus komplekt sihtotstarbeline üldadministraator kontod. Kontrollige see PowerShelli järgmine käsk:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Kõigile muudele igapäevastele kasutajakontodele, mille kaudu te tellimust haldate, peaksid olema määratud kasutaja töökohustustele vastavad administraatorirollid.

Sellest hetkest alates tuleb teil sihtotstarbeliste üldadministraatorikontodega sisse logida ainult selliste toimingute tegemiseks, mis nõuavad üldadministraatori õigusi. Kõigi muude Office 365 haldustoimingute tegemiseks tuleb kasutajakontodele määrata muud administraatorirollid.

Märkus.: Jah, see nõuab täiendavaid toiminguid – peate oma igapäevaselt kasutajakontolt välja logima ja seejärel sihtotstarbelise üldadministraatorikontoga sisse logima. Kuid seda on vaja teha üksnes mõnikord, kui tegemist ootab mõni üldadministraatori õigusi nõudev toiming. Võtke arvesse, et Office 365 tellimuse taastamine pärast üldadministraatorikonto kaudu toimunud rünnakut nõuab palju rohkem aega ja vaeva.

Samm 2. Mitmikautentimise sihtotstarbeline Office 365 üldadministraator kontode konfigureerimine ja kasutamine tugevam teisene autentimist kujul

Mitmikautentimise (MFA), üldadministraator kontode jaoks on vaja täiendavat teavet lisaks konto nimi ja parool. Office 365 toetab kontrollimise järgmised võimalused.

  • telefonikõne

  • juhugenereeritud pääsukood

  • kiipkaart (virtuaalne või füüsiline)

  • biomeetriline seade

Kui teil on small Businessi, mis kasutab ainult pilveteenuses (pilve identiteedi mudel) talletatud kasutajakontode, järgmiste juhiste abil konfigureerida MFA telefonikõne või teksti sõnumi kinnituskood saadetud nutitelefonis abil:

  1. Lubage mitmikautentimine.

  2. Häälestage Office 365 jaoks kaheastmeline kinnitamine, et konfigureerida iga sihtotstarbelise üldadministraatorikonto jaoks kinnitusviisina kas telefonikõne või tekstsõnum.

Kui teil on suurem organisatsioon, mis on kasutusel Office 365 hübriidjuurutuse identiteedi mudeli, peate Lisasuvandite kinnitamine. Kui teil on turvalisuse infrastruktuuri juba alles tugevam teisene autentimise meetodit, tehke järgmist:

  1. Lubage mitmikautentimine.

  2. Häälestage Office 365 jaoks kaheastmeline kinnitamine, et konfigureerida iga sihtotstarbelise üldadministraatorikonto jaoks asjakohane kinnitusviis.

Kui infrastruktuuri soovitud tugevam kinnitusmeetod pole koht ja Office 365 MFA jaoks toimimist, soovitame sihtotstarbeline üldadministraator kontode konfigureerimine koos MFA telefonikõne või tekstsõnum abil saadetud nutitelefonis üldadministraator kontode ajutised Turvameetmena kinnituskood. Ärge jätke kontode sihtotstarbeline üldadministraator ilma MFA täiendavad kaitse.

Lisateavet leiate artiklist Office 365 juurutustes mitmikautentimise rakendamise plaanimine.

Office 365 teenustega mitmikautentimise ja PowerShelli abil ühenduse loomiseks lugege seda artiklit.

Samm 3. Kahtlaste üldadministraatori kontot tegevuste jälgimine

Office 365 pilvrakenduste turbeteenus võimaldab teil luua poliitikaid, mis teavitavad teid tellimuses toimuvast kahtlasest käitumisest. Pilvrakenduste turbeteenus on vaikimisi kaasatud Office 365 E5 lepingusse, ent see on saadaval ka omaette teenusena. Kui teil näiteks pole Office 365 E5 lepingut, saate osta pilvrakenduste turbeteenuse üksiklitsentse nende kasutajakontode jaoks, millele on määratud üldadministraatori, turbeadministraatori või nõuetele vastavuse administraatori roll.

Kui teil on Office 365 tellimuse pilveteenuse rakenduse Turve, tehke järgmist:

  1. Logige Office 365 portaali sisse kontoga, millele on määratud turbeadministraatori või nõuetele vastavuse administraatori roll.

  2. Lülitage Office 365 pilvrakenduste turbeteenus sisse.

  3. Vaadake üle oma normaalne tuvastamise poliitikate märku Anomaalne mustrid õigustega haldus tegevuse e-posti teel.

Turvalisuse administraatori rolli, ühenduse Office 365 PowerShelli sihtotstarbeline üldadministraatori kontot ja MFA kasutajakonto lisamiseks täitke kasutajakonto kasutaja nime ja seejärel käivitage järgmised käsud:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Kasutajakonto lisamine vastavuse administraatori roll, täitke kasutajakonto kasutaja nime ja seejärel käivitage järgmised käsud:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Täiendavad kaitstud suurettevõtetele

Pärast juhiseid 1 – 3, nende täiendavate meetodite abil tagada, et teie üldadministraatori kontot ja konfiguratsioon, mida saate teha seda kasutama, on võimalikult turvaliseks.

Eelisjuurdepääsuga tööjaam (PAW)

Kasutage PAW-d tagamaks, et väga konfidentsiaalsete ülesannete täitmine toimuks võimalikult turvaliselt. PAW on spetsiaalne arvuti, mida kasutatakse ainult tundliku konfiguratsiooniga ülesannete jaoks, nt Office 365 konfiguratsiooni jaoks, mis nõuab üldadministraatori kontot. Kuna seda arvutit ei kasutata igapäevaselt Interneti sirvimiseks ega meilide lugemiseks, on see internetipõhiste rünnakute ja ohtude eest paremini kaitstud.

PAW häälestamise juhised leiate aadressilt http://aka.ms/cyberpaw.

Azure AD Privileged Identity Management (PIM)

Selmet määrata üldadministraatori kontodele jäädavalt üldadministraatori roll, saate kasutada Azure AD PIM-i, et lubada üldadministraatori rolli määramine nõudmisel just sel ajal, kui seda on vaja.

Püsivate administraator on globaalne administraator kontode asemel muutuvad need õigus administraatorid. Enne, kui keegi peab see on passiivne üldadministraator roll. Täidate siis aktiveerimise käigus lisamiseks üldadministraatori kontot üldadministraatori rolli jaoks eelnevalt määratud aja jooksul. Kui, eemaldab PIM üldadministraatori rolliga üldadministraatori kontot.

PIM-i ja selle protsessi kasutamine vähendab märkimisväärselt aega, mil teie üldadministraatori kontod on rünnakutele ja pahatahtlikele kasutajatele haavatavad.

Lisateavet leiate artiklist Azure AD Privileged Identity Managementi konfigureerimine.

Märkus.: PIM on saadaval teenusega Azure Active Directory Premium P2, mis kuulub komplekti Enterprise Mobility + Security (EMS) E5. Võite üldadministraatori kontode jaoks osta ka üksikud litsentsid.

Turbeteabe ja sündmuste halduse (SIEM) tarkvara Office 365 logimise jaoks

SIEM tarkvara käitamist serveri teostab Turbeteatiste ja sündmused, mis on loodud rakenduste ja võrgu riistvara reaalajas analüüsida. Kui soovite lubada teie SIEM server Office 365 Turbeteatiste ja sündmuste kaasata analüüsi ja aruandluse funktsioone, integreerida need SIEM süsteemis

Järgmine toiming

Lugege artiklit Office 365 head turbetavad.

Täiendage Office'i kasutamise oskusi
Tutvuge koolitusmaterjalidega
Kasutage uusi funktsioone enne teisi
Liituge Office Insideri programmiga

Kas sellest teabest oli abi?

Täname tagasiside eest!

Täname tagasiside eest! Tundub, et võiksime teid kokku viia ühega meie Office'i tugiagentidest, kes aitab teil probleemi lahendada.

×