Office
Se connecter

Protéger vos comptes d’administrateur général Office 365

Remarque :  Nous faisons de notre mieux pour vous fournir le contenu d’aide le plus récent aussi rapidement que possible dans votre langue. Cette page a été traduite automatiquement et peut donc contenir des erreurs grammaticales ou des imprécisions. Notre objectif est de faire en sorte que ce contenu vous soit utile. Pouvez-vous nous indiquer en bas de page si ces informations vous ont aidé ? Voici l’article en anglais à des fins de référence aisée.

Résumé : Protéger votre abonnement Office 365 contre les attaques basées sur le risque sur un compte d’administrateur général.

Violations de la sécurité d’un abonnement Office 365, y compris la collecte des informations et les attaques de phishing, sont généralement effectuées par compromettre les informations d’identification d’un compte d’administrateur général Office 365. Sécurité dans le cloud est un partenariat entre vous et Microsoft :

  • Services cloud Microsoft sont appuient sur une base de gestion de la confidentialité et sécurité. Microsoft fournit des contrôles de sécurité et des fonctions pour vous aider à protéger vos données et applications.

  • Vous êtes propriétaire de vos données et identités et la responsabilité de la protection, la sécurité de vos ressources en local et la sécurité des composants de cloud que vous contrôlez.

Microsoft fournit des fonctions pour protéger votre organisation, mais ils sont effectives uniquement si vous les utilisez. Vous n’utilisez pas les, vous pouvez s’expose à s’attaquer aux. Pour protéger vos comptes d’administrateur général, Microsoft est là pour vous aider à obtenir des instructions détaillées pour :

  1. Créer des comptes d’administrateur général Office 365 dédiés et utilisez-les uniquement lorsque cela est nécessaire.

  2. Configurer l’authentification multifacteur pour vos comptes d’administrateur général Office 365 dédiés et utilisez la plus puissante d’authentification secondaire.

  3. Activer et configurer Office 365 Cloud application sécurité pour contrôler l’activité de compte d’administrateur global suspect.

Remarque : Bien que cet article se concentre sur les comptes d’administrateur général, vous devez également envisager si supplémentaires comptes avec une large gamme d’autorisations pour accéder aux données dans votre abonnement, tels que l’administrateur de découverte électronique ou de sécurité ou de conformité comptes d’administrateur, doivent être protégés de la même façon.

Étape 1. Créer des comptes d’administrateur général Office 365 dédiés et utilisez-les uniquement lorsque cela est nécessaire

Il existe relativement peu tâches administratives, telles que l’affectation de rôles aux comptes d’utilisateurs, qui requièrent des privilèges d’administrateur général. Par conséquent, au lieu d’utiliser des comptes d’utilisateurs tous les jours qui ont reçu le rôle Administrateur général, procédez comme suit :

  1. Déterminer l’ensemble des comptes d’utilisateurs qui ont reçu le rôle Administrateur général. Vous pouvez le faire avec cette commande à l’invite de commande Microsoft Azure Active Directory Module pour Windows PowerShell :

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Connectez-vous à votre abonnement Office 365 avec un compte d’utilisateur qui a été affecté le rôle Administrateur général.

  3. Créer au moins une et avec un maximum de cinq dédié administrateurs globaux. Utiliser des mots de passe forts au moins 12 caractères long. Pour plus d’informations, voir créer un mot de passe . Stocker les mots de passe pour les nouveaux comptes dans un emplacement sécurisé.

  4. Attribuer le rôle Administrateur général pour chacun des comptes d’utilisateur nouveau dédié administrateur général.

  5. Se déconnecter de Office 365.

  6. Connectez-vous à l’aide d’un des nouveaux comptes d’utilisateurs dédié administrateur général.

  7. Pour chaque compte d’utilisateur existant qui avait reçu le rôle Administrateur général de l’étape 1 :

    • Supprimer le rôle Administrateur général.

    • Affecter des rôles d’administrateur pour le compte qui sont adaptés à la fonction et la responsabilité de cet utilisateur. Pour plus d’informations sur les différents rôles d’administrateur dans Office 365, voir rôles d’administrateur sur Office 365.

  8. Se déconnecter de Office 365.

Le résultat doit être :

  • Les comptes d’utilisateurs uniquement dans votre abonnement ayant le rôle Administrateur général sont le nouvel ensemble de comptes d’administrateur global dédié. Vérifier ceci avec la commande PowerShell suivante :

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Tous les autres comptes utilisateur courantes et gérer vos abonnements d’administration affecter disposent rôles qui sont associés à leurs responsabilités.

À partir de ce moment dès lors, vous connectez avec les comptes d’administrateur global dédié uniquement les tâches qui requièrent des privilèges d’administrateur général. Tous les autres administration d’Office 365 doit s’effectuer en attribuant des autres rôles d’administration aux comptes d’utilisateurs.

Remarque : Oui, cette fonctionnalité nécessite des étapes supplémentaires pour se déconnecter en tant que votre compte d’utilisateur courantes et connectez-vous avec un compte d’administrateur global dédié. Mais cette opération ne doit être effectuée il peut arriver que pour les opérations d’administrateur général. Tenez compte des points récupération de votre abonnement Office 365 après qu’une violation de compte d’administrateur global nécessite des étapes beaucoup plus.

Étape 2. Configurer l’authentification multifacteur pour vos comptes d’administrateur général Office 365 dédiés et utiliser la plus puissante d’authentification secondaire

L’authentification multifacteur (MFA) pour vos comptes administrateur global requiert des informations supplémentaires au-delà du nom du compte et le mot de passe. Office 365 prend en charge ces méthodes de vérification :

  • appel téléphonique ;

  • code d’accès généré de façon aléatoire ;

  • carte à puce (virtuelle ou physique) ;

  • appareil biométrique.

Si vous êtes une petite entreprise qui utilise les comptes d’utilisateurs stockés uniquement dans le cloud (le modèle d’identité cloud), utilisez ces étapes pour configurer l’authentification Multifacteur à l’aide d’un appel téléphonique ou un code de vérification de message texte envoyé à un Smartphone :

  1. Activer l’authentification Multifacteur.

  2. Configurer la vérification de l’étape 2 pour Office 365 pour configurer chacun dédiés compte d’administrateur général pour un appel téléphonique ou message texte en tant que la méthode de vérification.

Si vous êtes une plus grande organisation qui utilise un modèle d’identité Office 365 hybride, vous avez plusieurs options de vérification. Si vous avez déjà l’infrastructure de sécurité en place pour une méthode d’authentification secondaire plus puissante, utilisez comme suit :

  1. Activer l’authentification Multifacteur.

  2. Configurer la vérification de l’étape 2 pour Office 365 pour configurer chacun dédiés compte d’administrateur général pour la méthode de vérification approprié.

Si l’infrastructure de sécurité pour la méthode de vérification renforcée souhaité n’est pas en place et fonctionne pour l’authentification Multifacteur de Office 365, nous vous recommandons vivement de configurer des comptes d’administrateur global dédié avec l’authentification Multifacteur à l’aide d’un appel téléphonique ou un message texte code de vérification envoyé à un Smartphone pour vos comptes administrateur global comme une mesure de sécurité intermédiaires. Ne laissez pas vos comptes d’administrateur global dédié sans la protection supplémentaire fournie par l’authentification Multifacteur.

Pour plus d’informations, voir planifier de l’authentification multifacteur pour les déploiements Office 365.

Pour vous connecter aux services Office 365 avec l’authentification Multifacteur et PowerShell, voir cet article.

Étape 3. Moniteur d’activité des comptes d’administrateur global suspect

Sécurité de l’application de Cloud Office 365 vous permet de créer des règles pour vous avertir d’un comportement suspect dans votre abonnement. Cloud application sécurité intégré à Office 365 E5, mais il est également disponible en tant que service séparé. Par exemple, si vous n’avez pas Office 365 E5, vous pouvez acheter des licences Cloud application sécurité individuels pour les comptes d’utilisateurs affectés l’administrateur général, administrateur de sécurité et les rôles d’administrateur conformité.

Si vous avez Cloud application sécurité dans votre abonnement Office 365, utilisez comme suit :

  1. Se connecter au portail Office 365 avec un compte du rôle d’administrateur de sécurité ou administrateur de conformité.

  2. Activer la sécurité de l’application Office 365 Cloud.

  3. Passez en revue vos stratégies de détection des anomalies pour vous avertir par courrier électronique de modèles anormales d’activité hors projet dotés de privilèges.

Pour ajouter un compte d’utilisateur pour le rôle d’administrateur de sécurité, se connecter à Office 365 PowerShell avec un compte d’administrateur global dédié et l’authentification Multifacteur, renseignez le nom d’utilisateur principal du compte d’utilisateur, puis exécutez ces commandes :

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Pour ajouter un compte d’utilisateur pour le rôle d’administrateur de conformité, renseignez le nom d’utilisateur principal du compte d’utilisateur, puis exécutez ces commandes :

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Autres moyens de protection pour les entreprises

Une fois les étapes 1 à 3, utilisent ces méthodes supplémentaires pour vous assurer que votre compte d’administrateur général et la configuration que vous effectuez à l’utiliser, sont plus efficacement possible.

Accès privilégié poste de travail (patte)

Pour vous assurer que l’exécution de tâches hautement privilégiés est aussi sécurisée que possible, utilisez une patte. Une patte est un ordinateur dédié qui est utilisé uniquement pour les tâches de configuration sensibles, par exemple une configuration Office 365 qui nécessite un compte d’administrateur général. Étant donné que cet ordinateur n’est pas utilisé tous les jours pour la navigation sur Internet ou un message électronique, il est mieux protégée contre les menaces et attaques Internet.

Pour obtenir des instructions sur la façon de configurer une patte, voir http://aka.ms/cyberpaw.

Gestion des identités Azure AD privilégié (GIP)

Plutôt que vos comptes d’administrateur global définitivement attribuer le rôle Administrateur général, vous pouvez utiliser Azure AD PIM pour activer l’affectation à la demande, juste à temps du rôle d’administrateur global lorsqu’il est nécessaire.

Au lieu de vos comptes d’administrateur global en cours d’un administrateur permanent, ils deviennent des administrateurs éligibles. Le rôle Administrateur général est inactif jusqu'à ce qu’une personne a besoin. Vous devez ensuite compléter un processus d’activation pour ajouter le rôle Administrateur général pour le compte d’administrateur général pour un laps de temps prédéterminé. À la fin de l’heure, PIM supprime le rôle Administrateur général le compte d’administrateur général.

À l’aide de PIM et ce processus réduit considérablement la durée pendant laquelle vos comptes d’administrateur global sont concernés attaquer et l’utilisation par des utilisateurs malveillants.

Pour plus d’informations, voir Gestion des identités configurer Azure AD dotés de privilèges.

Remarque : PIM est disponible avec Azure Active Directory Premium P2, qui est inclus avec mobilité d’entreprise + E5 de sécurité (EMS), ou vous pouvez acheter des licences individuelles pour vos comptes d’administrateur général.

Logiciel de gestion (SIEM) des informations et événements sécurité pour la connexion Office 365

Logiciel SIEM s’exécutent sur un serveur effectue une analyse en temps réel des alertes de sécurité et événements créés par des applications et le matériel réseau. Pour permettre à votre serveur SIEM inclure les événements et les alertes de sécurité Office 365 dans son analyse et de fonctions de rapport, intégrer ces éléments dans votre système SIEM :

Étape suivante

Voir meilleures pratiques de sécurité pour Office 365.

Développez vos compétences dans Office
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoignez le programme Office Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×