Office 365:n yleisten järjestelmänvalvojatilien suojaaminen

Yhteenveto: Suojaa yleisen järjestelmänvalvojan tilisi seuraavien vaiheiden avulla.

Tärkeää: Tämä on artikkeli on käännetty koneellisesti. Lue vastuuvapauslauseke. Tämän artikkelin englanninkielinen versio on täällä .

Suojaa paremmin Office 365-tilauksen yleisen järjestelmänvalvojan tilillä vaarantaminen perusteella viesteiltä, sinun täytyy tehdä seuraavat juuri nyt:

  1. Luo erillisiä yleisiä järjestelmänvalvojatilejä Office 365:lle ja käytä niitä vain tarvittaessa.

  2. Määritä monimenetelmäinen todentaminen erillisille Office 365:n yleisille järjestelmänvalvojatileille ja käytä vahvinta toissijaista todentamismenetelmää.

  3. Ottaminen käyttöön ja määrittäminen Office 365: n Cloud sovelluksen suojaus voit valvoa tilin käyttö epäilyttäviin Yleinen järjestelmänvalvoja.

Office 365 -tilauksen tietoturvarikkomukset, mukaan lukien tietojen keräys- ja kalasteluhyökkäykset, tehdään yleensä murtautumalla Office 365:n yleiseen järjestelmänvalvojatiliin. Tietoturva pilvipalvelussa perustuu yhteistyöhön sinun ja Microsoftin välillä:

  • Microsoftin pilvipalveluiden perustana on luottamus ja suojaus. Microsoft tarjoaa suojaustoimintoja ja -ominaisuuksia, joiden avulla voit suojata tietojasi ja sovelluksiasi.

  • Tietosi ja käyttäjätietosi ovat sinun omaisuuttasi. Olet myös vastuussa tietojen suojaamisesta, paikan päällä olevien resurssiesi suojaamisesta sekä hallitsemiesi pilvipalvelukomponenttien suojaamisesta.

Suojautuaksesi sinun on otettava käyttöön Microsoftin tarjoamat toiminnot ja ominaisuudet.

Huomautus: Vaikka tässä artikkelissa on kohdistettu Yleinen järjestelmänvalvoja-tilejä, ota huomioon myös, Lisää tili ja laajan käyttöoikeuksia tilaukseesi, kuten eDiscovery-järjestelmänvalvojan tai suojaus tai yhteensopivuuden tiedot järjestelmänvalvojatilejä voi suojata, samalla tavalla.

Vaihe 1. Luo erillisiä yleisiä järjestelmänvalvojatilejä Office 365:lle ja käytä niitä vain tarvittaessa

Yleisen järjestelmänvalvojan oikeuksia vaativia hallintatehtäviä on suhteellisen vähän (esimerkiksi roolien määrittäminen käyttäjätileille). Tämän takia sen sijaan, että käyttäisit päivittäisiä käyttäjätilejä, joille on myönnetty yleinen järjestelmänvalvojan rooli, toimi välittömästi seuraavasti:

  1. Selvitä, mille käyttäjätilien joukolle on myönnetty yleisen järjestelmänvalvojan rooli. Voit tehdä sen Office 365:n PowerShellissä seuraavalla komennolla:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Kirjaudu Office 365 -tilaukseesi käyttäjätilillä, jolle on myönnetty yleisen järjestelmänvalvojan rooli.

  3. Luo vähintään yksi ja enintään viisi erillistä yleistä järjestelmänvalvojatiliä. Käytä vahvoja salasanoja, joissa on vähintään 12 merkkiä. Säilytä uusien tilien salasanoja turvallisessa paikassa.

  4. Määritä yleisen järjestelmänvalvojan rooli kullekin uudelle erilliselle yleiselle järjestelmänvalvojatilille.

  5. Kirjaudu ulos Office 365:stä.

  6. Kirjaudu sisään käyttäen jotakin uusista erillisistä yleisistä järjestelmänvalvojatileistä.

  7. Toimi seuraavasti jokaisen ensimmäisessä kohdassa mainitun käyttäjätilin kohdalla, joille oli myönnetty yleisen järjestelmänvalvojan rooli:

    • Poista yleisen järjestelmänvalvojan rooli.

    • Määrittää järjestelmänvalvojan roolit, jotka liittyvät käyttäjän työtehtävä ja vastuu-tilille. Saat lisätietoja eri Office 365: n järjestelmänvalvojan roolia Office 365-järjestelmänvalvojan roolit.

  8. Kirjaudu ulos Office 365:stä.

Näiden toimintojen tuloksena

  • luomasi uudet erilliset yleiset järjestelmänvalvojatilit ovat tilauksesi ainoat tilit, joilla on yleisen järjestelmänvalvojan rooli. Varmista asia seuraavan PowerShell-komennon avulla Windows PowerShellin Microsoft Azure Active Directory -moduulin komentorivissä:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • kaikille muille tilaustasi hallitseville päivittäisille käyttäjätileille on määritetty järjestelmänvalvojan rooli, joka vastaa heidän työtehtäviään.

Tästä hetkestä lähtien kirjaudut sisään erillisellä yleisellä järjestelmänvalvojatilillä ainoastaan niitä tehtäviä varten, jotka vaativat yleisen järjestelmänvalvojan oikeuksia. Kaikki muu Office 365:n hallinta on tehtävä määrittämällä käyttäjätileille muita järjestelmänvalvojan rooleja.

Huomautus: Kyllä, tämä vaatii ylimääräisiä vaiheita, kun joudut kirjautumaan ulos päivittäisestä käyttäjätilistä ja kirjautumaan sisään erillisellä yleisellä järjestelmänvalvojatilillä. Sinun ei kuitenkaan tarvitse tehdä tätä kuin ajoittain yleisen järjestelmänvalvojan tehtäviä varten. Pidä mielessä, että Office 365 -tilauksen palauttaminen yleiseen järjestelmänvalvojatiliin murtautumisen jälkeen on paljon monimutkaisempi prosessi.

Vaihe 2. Määritä monimenetelmäinen todentaminen erillisille Office 365:n yleisille järjestelmänvalvojatileille ja käytä vahvinta toissijaista todentamismenetelmää

Yleisten järjestelmänvalvojatilien monimenetelmäinen todentaminen (MFA) vaatii tilin nimen ja salasanan lisäksi myös muita tietoja. Office 365 tukee seuraavia tarkistustapoja:

  • puhelu

  • satunnaisesti luotu tunnuskoodi

  • älykortti (virtuaalinen tai fyysinen)

  • biometrinen laite.

Jos kyseessä on pienyritys ja käytät ainoastaan pilvipalveluun tallennettuja käyttäjätilejä (pilvimalli), määritä MFA-todentamiseksi puhelinsoitto tai älypuhelimeen tekstiviestillä lähetetty vahvistuskoodi toimimalla välittömästi seuraavasti:

  1. Ota monimenetelmäinen todentaminen käyttöön.

  2. Määritä kaksivaiheinen tarkistaminen Office 365:lle, jotta voit valita kullekin yleiselle järjestelmänvalvojatilille tarkistustavaksi puhelun tai tekstiviestin.

Jos olet suurempi organisaatio ja käytät Office 365:n synkronointi- tai liittoutumismallia, käytössäsi on enemmän tarkistustapoja. Jos sinulla on jo käytössä suojausinfrastruktuuri vahvempaa toissijaista todentamismenetelmää varten, toimi välittömästi seuraavasti:

  1. Ota monimenetelmäinen todentaminen käyttöön.

  2. Määritä kaksivaiheinen tarkistaminen Office 365:lle, jotta voit valita kullekin yleiselle järjestelmänvalvojatilille soveltuvan tarkistustavan.

Jos sinulla ei ole käytössä suojausinfrastruktuuria haluamallesi vahvemmalle tarkistustavalle Office 365:n monimenetelmäistä todentamista varten, suosittelemme voimakkaasti välittömästi määrittämään erillisten yleisten järjestelmänvalvojatilien MFA-todentamiseksi puhelun tai älypuhelimeen tekstiviestillä lähetettävän vahvistuskoodin tilien väliaikaiseksi suojaustoiminnoksi. Älä jätä erillisiä yleisiä järjestelmänvalvojatilejä ilman monimenetelmäisen todentamisen tarjoamaa lisäsuojausta.

Lisätietoja on artikkelissa Office 365-versioiden monimenetelmäisen todentamisen suunnitteleminen.

Jos haluat luoda yhteyden Office 365 -palveluihin MFA-todentamisen ja PowerShellin kautta, tutustu tähän artikkeliin.

Vaihe 3. Ottaminen käyttöön ja määrittäminen Office 365: n Cloud sovelluksen suojaus voit valvoa tilin käyttö epäilyttäviin Yleinen järjestelmänvalvoja

Office 365: n Cloud sovelluksen suojauksen avulla voit luoda käytännöt ilmoittaa sinulle epäilyttävistä tilaukseesi ongelma. Cloud sovelluksen suojaus on rakennettu Office 365: n E5, mutta on myös erillinen palvelu käytettävissä. Jos sinulla ei ole Office 365: n E5, voit hankkia Cloud sovelluksen suojaus yksittäisten käyttöoikeuksien käyttäjätilit, joille on määritetty yleinen järjestelmänvalvoja, tietosuoja ja vaatimustenmukaisuus järjestelmänvalvojan roolit.

Jos sinulla on Office 365-tilauksen, Tee näin hetiCloud sovelluksen suojaus:

  1. Kirjaudu Office 365-portaaliin tilille, jolla määritetään suojaus tai yhteensopivuuden järjestelmänvalvojat-roolin.

  2. Office 365-pilvi sovelluksen suojauksen ottaminen käyttöön.

  3. Luo poikkeavuuksista tunnistus käytännöt ilmoittamaan sähköpostitse, erheellisiin kuviot sellaisten järjestelmänvalvojan toiminnan.

Jos haluat lisätä käyttäjätilin suojauksenvalvojan rooliin, muodosta yhteys Office 365 PowerShelliin erillisellä yleisellä järjestelmänvalvojatilillä ja MFA-todentamisella, täytä käyttäjätilin käyttäjän ensisijainen nimi ja suorita seuraavat komennot:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Jos haluat lisätä käyttäjätilin yhteensopivuuden järjestelmänvalvojan rooliin, täytä käyttäjätilin käyttäjän ensisijainen nimi ja suorita seuraavat komennot:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Yleinen järjestelmänvalvoja-tileillä Lisäsuojaa saat käyttämällä

Kun vaiheet 1 – 3, käyttää näitä muita tapoja varmistaakseen, että yleisen järjestelmänvalvojan tilillä ja määrityksistä, jotka voit tehdä sen käyttämistä, ovat mahdollisimman suojatusti.

Sellaisten Access työasema (PAW)

Varmistaa, että erittäin sellaisten tehtävien suorittaminen on suojattu mahdollisimman hyvin, käytä PAW. PAW on Oma tietokone, jota käytetään vain luottamukselliset määritykset tehtäviä, kuten Office 365: n määritys, joka edellyttää Yleisen järjestelmänvalvojan tilillä. Tämä tietokone ei käytetä päivittäin Internetin tai sähköpostin, koska se on paremmin suojattu Internet kalastelu ja uhkien.

Ohjeita PAW määrittämisestä on artikkelissa http://aka.ms/cyberpaw.

Azure AD-luottamuksellisten jäsenyyksien hallinta (PIM)

Voit sen sijaan, että Yleinen järjestelmänvalvoja-tilisi pysyvästi varataan yleisen järjestelmänvalvojan rooliin käyttöön tarvittaessa, juuri perustuvan varauksen yleisen järjestelmänvalvojan roolin, kun sitä tarvita Azure AD PIM.

Sen sijaan, että käytössä pysyvä järjestelmänvalvojan yleisen järjestelmänvalvojatilit ne muuttuvat olevalla järjestelmänvalvojat. Yleinen järjestelmänvalvoja-roolia ei ole käytössä, kunnes joku on oltava. Valitse valmis aktivointiprosessin yleisen järjestelmänvalvojan rooliin lisääminen yleisen järjestelmänvalvojan tilillä ennalta ajanjakson aikana. Kun vanhenemista, PIM poistaa yleisen järjestelmänvalvojan rooliin yleisen järjestelmänvalvojan tilillä.

Käyttämällä PIM ja prosessia huomattavasti vähentää ajan, Yleinen järjestelmänvalvoja-tilit ovat hyökkäyksille ja käyttää käyttäjiltä.

Lisätietoja on artikkelissa määrittäminen Azure AD sellaisten jäsenyyksien hallinta.

Huomautus: PIM on käytettävissä Azure Active Directory Premium P2, joka sisältyy yrityksen Mobility + Security (EMS) E5, tai voit ostaa yksittäisten käyttöoikeuksien Yleinen järjestelmänvalvoja-tileillä.

Tietoturva ja tapahtuman tiedot management (SIEM) ohjelmiston for Office 365: n kirjaaminen lokiin

SIEM ohjelmiston suoritetaan palvelimessa suorittaa reaaliaikaisia analyysi suojausvaroitusten ja sovellukset ja verkkolaitteiston luomia tapahtumia. Anna SIEM palvelimen sisällytettävien Office 365: n suojausvaroitusten ja tapahtumia sen analysointia ja raportointia Funktiot, integroida SIEM järjestelmän seuraavasti:

Seuraava vaihe

Katso Office 365: n parhaat käytännöt suojaus.

Huomautus: Konekäännöksestä ilmoittava vastuusvapauslauseke: Tämä artikkeli on käännetty tietokonejärjestelmällä, eikä kieliasiantuntija ole muokannut sitä. Microsoft tarjoaa nämä konekäännökset avuksi muille kuin englantia puhuville käyttäjille, jotta he saavat lisätietoja Microsoftin tuotteista, palveluista ja tekniikoista. Koska artikkeli on koneellisesti käännetty, se saattaa sisältää sanasto-, lauseoppi- ja kielioppivirheitä.

Kehitä taitojasi
Tutustu koulutusmateriaaliin
Saat uudet ominaisuudet ensimmäisten joukossa
Liity Office Insider -käyttäjiin

Oliko näistä tiedoista hyötyä?

Kiitos palautteesta!

Kiitos palautteestasi! Näyttää siltä, että Office-tukiedustajamme avusta voi olla sinulle hyötyä.

×