Protéger vos comptes d’administrateur général Office 365

Résumé : Protéger vos comptes administrateur général en procédant comme suit.

Important :  Cet article a été traduit automatiquement, voir l’avertissement. Vous pouvez consulter la version en anglais de cet article ici.

Pour mieux protéger votre abonnement Office 365 contre les attaques en fonction de l’endommagement d’un compte d’administrateur général, vous devez effectuer la suivant immédiatement:

  1. Créer des comptes d’administrateur général Office 365 dédiés et utilisez-les uniquement lorsque cela est nécessaire.

  2. Configurer l’authentification multifacteur pour vos comptes d’administrateur général Office 365 dédiés et utilisez la plus puissante d’authentification secondaire.

  3. Activer et configurer Office 365 Cloud application sécurité pour contrôler l’activité de compte d’administrateur global suspect.

Violations de la sécurité d’un abonnement Office 365, y compris la collecte des informations et les attaques de phishing, sont généralement effectuées par compromettre les informations d’identification d’un compte d’administrateur général Office 365. Sécurité dans le cloud est un partenariat entre vous et Microsoft :

  • Services cloud Microsoft sont appuient sur une base de gestion de la confidentialité et sécurité. Microsoft fournit des contrôles de sécurité et des fonctions pour vous aider à protéger vos données et applications.

  • Vous êtes propriétaire de vos données et identités et la responsabilité de la protection, la sécurité de vos ressources en local et la sécurité des composants de cloud que vous contrôlez.

Pour vous protéger, vous devez mettre en place les contrôles et fonctionnalités fournis par Microsoft.

Remarque : Bien que cet article se concentre sur les comptes d’administrateur général, vous devez également envisager si supplémentaires comptes avec une large gamme d’autorisations pour accéder aux données dans votre abonnement, tels que l’administrateur de découverte électronique ou de sécurité ou de conformité comptes d’administrateur, doivent être protégés de la même façon.

Phase 1. Créer des comptes d’administrateur général Office 365 dédiés et utilisez-les uniquement lorsque cela est nécessaire

Il existe relativement peu tâches administratives, telles que l’affectation de rôles aux comptes d’utilisateurs, qui requièrent des privilèges d’administrateur général. Par conséquent, au lieu d’utiliser des comptes d’utilisateurs tous les jours qui ont reçu le rôle Administrateur général, procédez comme suit immédiatement:

  1. Déterminer l’ensemble des comptes d’utilisateurs qui ont reçu le rôle Administrateur général. Vous pouvez le faire dans Office 365 PowerShell avec cette commande :

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Connectez-vous à votre abonnement Office 365 avec un compte d’utilisateur qui a été affecté le rôle Administrateur général.

  3. Créer au moins une et avec un maximum de cinq dédié administrateurs globaux. Utiliser des mots de passe forts au moins 12 caractères long. Stocker les mots de passe pour les nouveaux comptes dans un emplacement sécurisé.

  4. Attribuer le rôle Administrateur général pour chacun des comptes d’utilisateur nouveau dédié administrateur général.

  5. Se déconnecter de Office 365.

  6. Connectez-vous à l’aide d’un des nouveaux comptes d’utilisateurs dédié administrateur général.

  7. Pour chaque compte d’utilisateur existant qui avait reçu le rôle Administrateur général de l’étape 1 :

    • Supprimer le rôle Administrateur général.

    • Affecter des rôles d’administrateur pour le compte qui sont adaptés à la fonction et la responsabilité de cet utilisateur. Pour plus d’informations sur les différents rôles d’administrateur dans Office 365, voir rôles d’administrateur sur Office 365.

  8. Se déconnecter de Office 365.

Le résultat doit être le suivant :

  • Les comptes d’utilisateurs uniquement dans votre abonnement ayant le rôle Administrateur général sont le nouvel ensemble de comptes d’administrateur global dédié. Vérifier ceci avec la commande PowerShell suivante à l’invite de Module Windows Azure Active Directory pour Windows PowerShell :

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Tous les autres comptes utilisateur courantes et gérer vos abonnements d’administration affecter disposent rôles qui sont associés à leurs responsabilités.

À partir de ce moment dès lors, vous connectez avec les comptes d’administrateur global dédié uniquement les tâches qui requièrent des privilèges d’administrateur général. Tous les autres administration d’Office 365 doit s’effectuer en attribuant des autres rôles d’administration aux comptes d’utilisateurs.

Remarque : Oui, cette fonctionnalité nécessite des étapes supplémentaires pour se déconnecter en tant que votre compte d’utilisateur courantes et connectez-vous avec un compte d’administrateur global dédié. Mais cette opération ne doit être effectuée il peut arriver que pour les opérations d’administrateur général. Tenez compte des points récupération de votre abonnement Office 365 après qu’une violation de compte d’administrateur global nécessite des étapes beaucoup plus.

Phase 2. Configurer l’authentification multifacteur pour vos comptes d’administrateur général Office 365 dédiés et utiliser la plus puissante d’authentification secondaire

L’authentification multifacteur (MFA) pour vos comptes administrateur global requiert des informations supplémentaires au-delà du nom du compte et le mot de passe. Office 365 prend en charge les méthodes de vérification suivantes :

  • appel téléphonique ;

  • code d’accès généré de façon aléatoire ;

  • carte à puce (virtuelle ou physique) ;

  • appareil biométrique.

Si vous êtes une petite entreprise qui utilise les comptes d’utilisateurs stockés uniquement dans le cloud (le modèle d’identité cloud), procédez comme suit immédiatement pour configurer l’authentification Multifacteur à l’aide d’un appel téléphonique ou un code de vérification de message texte envoyé à un Smartphone :

  1. Activer l’authentification Multifacteur.

  2. Configurer la vérification de l’étape 2 pour Office 365 pour configurer chacun dédié compte d’administrateur général pour un appel téléphonique ou message texte en tant que la méthode de vérification.

Si vous êtes une plus grande organisation qui utilise les modèles d’identité Office 365 synchronisés ou fédérés, vous avez plusieurs options de vérification. Si vous avez déjà l’infrastructure de sécurité en place pour une méthode d’authentification secondaire plus puissante, procédez comme suit immédiatement:

  1. Activer l’authentification Multifacteur.

  2. Configurer la vérification de l’étape 2 pour Office 365 pour configurer chacun dédié compte d’administrateur général pour la méthode de vérification approprié.

Si l’infrastructure de sécurité pour la méthode de vérification renforcée souhaité n’est pas en place et fonctionne pour l’authentification Multifacteur de Office 365, nous vous recommandons vivement de configurer immédiatement des comptes d’administrateur global dédié avec l’authentification Multifacteur à l’aide d’un appel téléphonique ou un texte code de vérification du message envoyé à un Smartphone pour vos comptes administrateur global comme une mesure de sécurité intermédiaires. Ne laissez pas vos comptes d’administrateur global dédié sans la protection supplémentaire fournie par l’authentification Multifacteur.

Pour plus d’informations, voir planifier de l’authentification multifacteur pour les déploiements Office 365.

Pour vous connecter aux services Office 365 avec l’authentification Multifacteur et PowerShell, voir cet article.

Phase 3. Activer et configurer Office 365 Cloud application sécurité pour contrôler l’activité de compte d’administrateur global suspect

Sécurité de l’application de Cloud Office 365 vous permet de créer des règles pour vous avertir d’un comportement suspect dans votre abonnement. Cloud application sécurité intégré à Office 365 E5, mais il est également disponible en tant que service séparé. Par exemple, si vous n’avez pas Office 365 E5, vous pouvez acheter des licences Cloud application sécurité individuels pour les comptes d’utilisateurs affectés l’administrateur général, administrateur de sécurité et les rôles d’administrateur conformité.

Si vous avez Cloud application sécurité dans votre abonnement Office 365, procédez comme suit immédiatement:

  1. Se connecter au portail Office 365 avec un compte du rôle d’administrateur de sécurité ou administrateur de conformité.

  2. Activer la sécurité de l’application Office 365 Cloud.

  3. Créer des stratégies de détection des anomalies afin de vous avertir par courrier électronique de modèles anormales d’activité hors projet dotés de privilèges.

Pour ajouter un compte d’utilisateur pour le rôle d’administrateur de sécurité, se connecter à Office 365 PowerShell avec un compte d’administrateur global dédié et l’authentification Multifacteur, renseignez le nom d’utilisateur principal du compte d’utilisateur, puis puis exécutez la commande suivante commandes :

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Pour ajouter un compte d’utilisateur pour le rôle d’administrateur de conformité, renseignez le nom d’utilisateur principal du compte d’utilisateur, puis exécutez les commandes suivantes :

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Autres moyens de protection pour vos comptes d’administrateur global

Une fois les Phases 1 à 3, utilisent ces méthodes supplémentaires pour vous assurer que votre compte d’administrateur général et la configuration que vous effectuez à l’utiliser, sont plus efficacement possible.

Accès privilégié poste de travail (patte)

Pour vous assurer que l’exécution de tâches hautement privilégiés est aussi sécurisée que possible, utilisez une patte. Une patte est un ordinateur dédié qui est utilisé uniquement pour les tâches de configuration sensibles, par exemple une configuration Office 365 qui nécessite un compte d’administrateur général. Étant donné que cet ordinateur n’est pas utilisé tous les jours pour la navigation sur Internet ou un message électronique, il est mieux protégée contre les menaces et attaques Internet.

Pour obtenir des instructions sur la façon de configurer une patte, voir http://aka.ms/cyberpaw.

Gestion des identités Azure AD privilégié (GIP)

Plutôt que vos comptes d’administrateur global définitivement attribuer le rôle Administrateur général, vous pouvez utiliser Azure AD PIM pour activer l’affectation à la demande, juste à temps du rôle d’administrateur global lorsqu’il est nécessaire.

Au lieu de vos comptes d’administrateur global en cours d’un administrateur permanent, ils deviennent des administrateurs éligibles. Le rôle Administrateur général est inactif jusqu'à ce qu’une personne a besoin. Vous devez ensuite compléter un processus d’activation pour ajouter le rôle Administrateur général pour le compte d’administrateur général pour un laps de temps prédéterminé. À la fin de l’heure, PIM supprime le rôle Administrateur général le compte d’administrateur général.

À l’aide de PIM et ce processus réduit considérablement la durée pendant laquelle vos comptes d’administrateur global sont concernés attaquer et l’utilisation par des utilisateurs malveillants.

Pour plus d’informations, voir Gestion des identités configurer Azure AD dotés de privilèges.

Remarque : PIM est disponible avec Azure Active Directory Premium P2, qui est inclus avec mobilité d’entreprise + E5 de sécurité (EMS), ou vous pouvez acheter des licences individuelles pour vos comptes d’administrateur général.

Logiciel de gestion (SIEM) des informations et événements sécurité pour la connexion Office 365

Logiciel SIEM s’exécutent sur un serveur effectue une analyse en temps réel des alertes de sécurité et événements créés par des applications et le matériel réseau. Pour permettre à votre serveur SIEM inclure les événements et les alertes de sécurité Office 365 dans son analyse et de fonctions de rapport, intégrer les éléments suivants dans votre système SIEM :

Étape suivante

Voir meilleures pratiques de sécurité pour Office 365.

Remarque : Avertissement traduction automatique : cet article a été traduit par un ordinateur, sans intervention humaine. Microsoft propose cette traduction automatique pour offrir aux personnes ne maîtrisant pas l’anglais l’accès au contenu relatif aux produits, services et technologies Microsoft. Comme cet article a été traduit automatiquement, il risque de contenir des erreurs de grammaire, de syntaxe ou de terminologie.

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoignez le programme Office Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×