Office 365:n yleisten järjestelmänvalvojatilien suojaaminen

Huomautus:  Microsoft haluaa tarjota sinulle ajantasaisinta ohjesisältöä mahdollisimman nopeasti omalla kielelläsi. Tämä sivu on käännetty automaation avulla, ja siinä saattaa olla kielioppivirheitä tai epätarkkuuksia. Tarkoitus on, että sisällöstä on sinulle hyötyä. Kertoisitko sivun alareunassa olevan toiminnon avulla, oliko tiedoista hyötyä? Tästä pääset helposti artikkelin englanninkieliseen versioon .

Yhteenveto: Suojaa Office 365 -tilauksesi hyökkäyksiltä, jotka johtuvat siitä, että yleiseen järjestelmänvalvojatiliin on murtauduttu.

Office 365 -tilauksen tietoturvarikkomukset, mukaan lukien tietojen keräys- ja kalasteluhyökkäykset, tehdään yleensä murtautumalla Office 365:n yleiseen järjestelmänvalvojatiliin. Tietoturva pilvipalvelussa perustuu yhteistyöhön sinun ja Microsoftin välillä:

  • Microsoftin pilvipalveluiden perustana on luottamus ja suojaus. Microsoft tarjoaa suojaustoimintoja ja -ominaisuuksia, joiden avulla voit suojata tietojasi ja sovelluksiasi.

  • Tietosi ja käyttäjätietosi ovat sinun omaisuuttasi. Olet myös vastuussa tietojen suojaamisesta, paikan päällä olevien resurssiesi suojaamisesta sekä hallitsemiesi pilvipalvelukomponenttien suojaamisesta.

Microsoft tarjoaa toimintoja, joiden avulla voit suojata organisaatiosi, mutta niistä on apua vain, jos käytät niitä. Jos et käytä niitä, voit altistua hyökkäyksille. Jotta voit suojata yleiset järjestelmänvalvojatilisi, Microsoft tarjoaa yksityiskohtaiset ohjeet seuraaviin:

  1. Luo erillisiä yleisiä järjestelmänvalvojatilejä Office 365:lle ja käytä niitä vain tarvittaessa.

  2. Määritä monimenetelmäinen todentaminen erillisille Office 365:n yleisille järjestelmänvalvojatileille ja käytä vahvinta toissijaista todentamismenetelmää.

  3. Ota Office 365 Cloud App Security käyttöön ja määritä sen asetukset, jotta voit valvoa yleisillä järjestelmänvalvojatileillä tapahtuvaa epäilyttävää toimintaa.

Huomautus: Vaikka tässä artikkelissa keskitytään yleisiin järjestelmänvalvojatileihin, kannattaa myös miettiä, olisiko syytä suojata samalla tavoin muut tilit, joissa on laajat oikeudet tilauksen tietojen käyttöön, kuten eDiscovery-järjestelmänvalvojan tai suojauksen tai vaatimustenmukaisuuden järjestelmänvalvojan tilit.

Vaihe 1. Luo oma Office 365: n yleisen järjestelmänvalvojatilit ja käyttää niitä vain silloin, kun se on tarpeen

Yleisen järjestelmänvalvojan oikeuksia vaativia hallintatehtäviä on suhteellisen vähän (esimerkiksi roolien määrittäminen käyttäjätileille). Tämän takia sen sijaan, että käyttäisit päivittäisiä käyttäjätilejä, joille on myönnetty yleisen järjestelmänvalvojan rooli, toimi seuraavasti:

  1. Selvitä, mille käyttäjätilien joukolle on myönnetty yleisen järjestelmänvalvojan rooli. Voit tehdä tämän seuraavan komennon avulla Windows PowerShellin Microsoft Azure Active Directory -moduulin komentorivissä:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Kirjaudu Office 365 -tilaukseesi käyttäjätilillä, jolle on myönnetty yleisen järjestelmänvalvojan rooli.

  3. Luo vähintään yksi ja enintään viisi omistautunut Yleinen järjestelmänvalvoja-käyttäjätilejä. Käytä vahvojen salasanojen vähintään 12 merkkiä pitkä Lisätietoja on kohdassa Luo vahva salasana . Uusi tilien salasanojen turvalliseen paikkaan.

  4. Määritä yleisen järjestelmänvalvojan rooli kullekin uudelle erilliselle yleiselle järjestelmänvalvojatilille.

  5. Kirjaudu ulos Office 365:stä.

  6. Kirjaudu sisään käyttäen jotakin uusista erillisistä yleisistä järjestelmänvalvojatileistä.

  7. Toimi seuraavasti jokaisen ensimmäisessä kohdassa mainitun käyttäjätilin kohdalla, joille oli myönnetty yleisen järjestelmänvalvojan rooli:

    • Poista yleisen järjestelmänvalvojan rooli.

    • Määritä tilille sen käyttäjän työtehtävälle ja vastuulle sopivat järjestelmänvalvojan roolit. Lisätietoa Office 365:n järjestelmänvalvojan rooleista on ohjeartikkelissa Tietoja Office 365 -järjestelmänvalvojan rooleista.

  8. Kirjaudu ulos Office 365:stä.

Näiden toimintojen tuloksena

  • luomasi uudet erilliset yleiset järjestelmänvalvojatilit ovat tilauksesi ainoat tilit, joilla on yleisen järjestelmänvalvojan rooli. Varmista asia seuraavan PowerShell-komennon avulla:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • kaikille muille tilaustasi hallitseville päivittäisille käyttäjätileille on määritetty järjestelmänvalvojan rooli, joka vastaa heidän työtehtäviään.

Tästä hetkestä lähtien kirjaudut sisään erillisellä yleisellä järjestelmänvalvojatilillä ainoastaan niitä tehtäviä varten, jotka vaativat yleisen järjestelmänvalvojan oikeuksia. Kaikki muu Office 365:n hallinta on tehtävä määrittämällä käyttäjätileille muita järjestelmänvalvojan rooleja.

Huomautus: Kyllä, tämä vaatii ylimääräisiä vaiheita, kun joudut kirjautumaan ulos päivittäisestä käyttäjätilistä ja kirjautumaan sisään erillisellä yleisellä järjestelmänvalvojatilillä. Sinun ei kuitenkaan tarvitse tehdä tätä kuin ajoittain yleisen järjestelmänvalvojan tehtäviä varten. Pidä mielessä, että Office 365 -tilauksen palauttaminen yleiseen järjestelmänvalvojatiliin murtautumisen jälkeen on paljon monimutkaisempi prosessi.

Vaihe 2. Oma Office 365: n yleinen järjestelmänvalvoja-tileillä monimenetelmäisen todentamisen määrittäminen ja käyttäminen toissijainen todennus vahvinta lomake

Yleisten järjestelmänvalvojatilien monimenetelmäinen todentaminen (MFA) vaatii tilin nimen ja salasanan lisäksi myös muita tietoja. Office 365 tukee näitä tarkistustapoja:

  • puhelu

  • satunnaisesti luotu tunnuskoodi

  • älykortti (virtuaalinen tai fyysinen)

  • biometrinen laite.

Jos kyseessä on pienyritys ja käytät ainoastaan pilvipalveluun tallennettuja käyttäjätilejä (pilvimalli), määritä MFA-todentamiseksi puhelinsoitto tai älypuhelimeen tekstiviestillä lähetetty vahvistuskoodi seuraavasti:

  1. Ota monimenetelmäinen todentaminen käyttöön.

  2. Määritä kaksivaiheinen tarkistaminen Office 365:lle, jotta voit valita kullekin yleiselle järjestelmänvalvojatilille tarkistustavaksi puhelun tai tekstiviestin.

Jos olet koko organisaatiossa, jossa on käytössä Office 365: n hybrid identity-mallin, sinun on vahvistus Lisäasetukset. Jos suojauksen infrastruktuurin sinulla jo vahvempi toissijainen todentamismenetelmän paikkaan, käytä seuraavasti:

  1. Ota monimenetelmäinen todentaminen käyttöön.

  2. Määritä kaksivaiheinen tarkistaminen Office 365:lle, jotta voit valita kullekin yleiselle järjestelmänvalvojatilille soveltuvan tarkistustavan.

Jos sinulla ei ole käytössä suojausinfrastruktuuria haluamallesi vahvemmalle tarkistustavalle Office 365:n monimenetelmäistä todentamista varten, suosittelemme voimakkaasti määrittämään erillisten yleisten järjestelmänvalvojatilien MFA-todentamiseksi puhelun tai älypuhelimeen tekstiviestillä lähetettävän vahvistuskoodin tilien väliaikaiseksi suojaustoiminnoksi. Älä jätä erillisiä yleisiä järjestelmänvalvojatilejä ilman monimenetelmäisen todentamisen tarjoamaa lisäsuojausta.

Lisätietoja on artikkelissa Monimenetelmäisen todentamisen suunnitteleminen Office 365 -käyttöönotoissa.

Jos haluat luoda yhteyden Office 365 -palveluihin MFA-todentamisen ja PowerShellin kautta, tutustu tähän artikkeliin.

Vaihe 3. Tilin käyttö epäilyttäviin Yleinen järjestelmänvalvoja näyttö

Office 365 Cloud App Securityn avulla voit luoda käytäntöjä, jotka ilmoittavat epäilyttävästä käyttäytymisestä tilauksessasi. Cloud App Security sisältyy Office 365 E5:een, mutta se on myös saatavilla erillisenä palveluna. Jos esimerkiksi sinulla ei ole Office 365 E5:tä, voit hankkia yksittäisiä Cloud App Security -käyttöoikeuksia käyttäjätileille, joille on määritetty yleisen järjestelmänvalvojan, suojauksenvalvojan ja vaatimustenmukaisuuden järjestelmänvalvojan roolit.

Jos sinulla on Cloud App Security Office 365 -tilauksessasi, toimi seuraavasti:

  1. Kirjaudu sisään Office 365 -portaaliin tilillä, jolle on määritetty suojauksenvalvojan tai vaatimustenmukaisuuden järjestelmänvalvojan rooli.

  2. Ota Office 365 Cloud App Security käyttöön.

  3. Tarkista poikkeavuuksista tunnistus käytännöt ilmoittamaan sähköpostitse, erheellisiin kuviot sellaisten järjestelmänvalvojan toiminnan.

Jos haluat lisätä käyttäjätilin suojauksenvalvojan rooliin, muodosta yhteys Office 365 PowerShelliin erillisellä yleisellä järjestelmänvalvojatilillä ja MFA-todentamisella, täytä käyttäjätilin täydellinen käyttäjätunnus ja suorita nämä komennot:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Jos haluat lisätä käyttäjätilin vaatimustenmukaisuuden järjestelmänvalvojan rooliin, täytä käyttäjätilin täydellinen käyttäjätunnus ja suorita nämä komennot:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Lisää suojaukset yrityksen organisaatioissa

Kun vaiheet 1 – 3, käyttää näitä muita tapoja varmistaakseen, että yleisen järjestelmänvalvojan tilillä ja määrityksistä, jotka voit tehdä sen käyttämistä, ovat mahdollisimman suojatusti.

Privileged Access Workstation (PAW)

Voit varmistaa, että järjestelmänvalvojatason tehtävien suorittaminen on mahdollisimman turvallista, käyttämällä PAW-työasemaa. PAW on erillinen tietokone, jota käytetään vain luottamuksellisiin määritystehtäviin, kuten Office 365 -määrityksiin, joka edellyttävät yleistä järjestelmänvalvojatiliä. Koska tätä tietokonetta ei käytetä päivittäin Internetin selaamiseen tai sähköpostiin, se on paremmin suojassa Internetin hyökkäyksiltä ja uhkilta.

Katso ohjeet PAW-työaseman määrittämiseen artikkelista http://aka.ms/cyberpaw.

Azure AD Privileged Identity Management (PIM)

Sen sijaan, että myöntäisit yleisille järjestelmänvalvojatileille pysyvän yleisen järjestelmänvalvojan roolin, voit käyttää Azure AD PIM -sovellusta ja ottaa käyttöön tarvittaessa käytettävän ja oikea-aikaisen yleisen järjestelmänvalvojan roolin määrityksen silloin, kun sitä tarvitaan.

Sen sijaan, että yleiset järjestelmänvalvojatilit olisivat pysyvästi järjestelmänvalvojia, ne ovat oikeutettuja toimimaan järjestelmänvalvojina. Yleisen järjestelmänvalvojan rooli on poissa käytöstä, kunnes joku tarvitsee sitä. Suoritat aktivointiprosessin, jossa lisäät yleisen järjestelmänvalvojan roolin yleiselle järjestelmänvalvojatilille ennalta määritetyksi ajaksi. Kun aika loppuu, PIM poistaa yleisen järjestelmänvalvojan roolin yleiseltä järjestelmänvalvojatililtä.

PIM-sovelluksen käyttäminen tässä prosessissa lyhentää huomattavasti aikaa, jona yleiset järjestelmänvalvojatilit ovat alttiina hyökkäyksille ja tunkeilijoiden käytölle.

Lisätietoja on artikkelissa Azure AD Privileged Identity Management -sovelluksen määrittäminen (englanniksi).

Huomautus: PIM on käytettävissä Azure Active Directory Premium P2:ssa, joka sisältyy Enterprise Mobility + Security (EMS) E5 -pakettiin, tai voit ostaa yksittäiset käyttöoikeudet yleisiä järjestelmänvalvojatilejä varten.

Suojaustietojen ja -tapahtumien hallinnan (SIEM) ohjelmisto Office 365 -lokeja varten

Palvelimessa toimiva SIEM-ohjelmisto analysoi reaaliaikaisesti sovellusten ja verkkolaitteiden tuottamat suojausvaroitukset ja -tapahtumat. Jotta SIEM-palvelin voi sisällyttää analyysi- ja raportointitoimintoihinsa Office 365:n suojausvaroitukset ja -tapahtumat, integroi nämä käyttämääsi SIEM-järjestelmään:

Seuraava vaihe

Katso artikkeli Office 365:n parhaat suojauskäytännöt.

Kehitä Office-taitojasi
Tutustu koulutusmateriaaliin
Saat uudet ominaisuudet ensimmäisten joukossa
Liity Office Insider -käyttäjiin

Oliko näistä tiedoista hyötyä?

Kiitos palautteesta!

Kiitos palautteestasi! Näyttää siltä, että Office-tukiedustajamme avusta voi olla sinulle hyötyä.

×