הגנה על שלך חשבונות המנהל הכללי של Office 365

חשוב: מאמר זה תורגם בתרגום מכונה, ראה כתב ויתור. תוכל למצוא את הגרסה באנגלית של המאמר כאן לעיונך.

סיכום: הגן על חשבונות מנהל כללי שלך באמצעות שלבים אלה.

כדי לשפר את ההגנה על מנוי Office 365 התקפות בהתבסס על חשיפת של חשבון מנהל מערכת כללי, עליך לבצע את הפעולות הבאות כעת:

  1. יצירת חשבונות מנהל מערכת כללי של Office 365 ייעודי והשתמש בהם רק בעת הצורך.

  2. קביעת תצורה של אימות רב-גורמי עבור חשבונות Office 365 כמנהל מערכת כללי ייעודי והשתמש בסוג האימות משני החזקה ביותר.

  3. הפעלה וקביעת תצורה של אבטחה יישום של Office 365 ענן לניטור עבור פעילות חשבון מנהל מערכת כללי חשודים.

פרצות באבטחה של מנוי Office 365, כולל מידע ל"איסוף והתקפות דיוג, מתבצעות בדרך כלל על-ידי לחשוף את האישורים של חשבון מנהל מערכת כללי של Office 365. אבטחה בענן היא שותפות בינך לבין Microsoft:

  • שירותי ענן של Microsoft בנויים על יסודות של אמינות ואבטחה. Microsoft מספקת לך אבטחה חזקים ויכולות שיעזרו לך להגן על הנתונים והיישומים שלך.

  • אתה הבעלים של הנתונים שלך ואת זהויות האחריות להגנה על אותן, אבטחת המשאבים המקומי שלך ואבטחה את הרכיבים הענן שאתה שולט.

כדי להגן על עצמך, עליך להציב במקום את פקדי ויכולות ש- Microsoft מספקת.

הערה: למרות מאמר זה מתמקד חשבונות המנהל הכללי, עליך גם לשקול אם נוספים חשבונות עם הרשאות wide-ranging לגשת לנתונים במנוי שלך, כגון מנהל גילוי אלקטרוני או אבטחה או תאימות יש להגן על חשבונות המנהל, באותו אופן.

שלב 1. יצירת חשבונות מנהל מערכת כללי של Office 365 ייעודי ולהשתמש בהם רק בעת הצורך

קיימות משימות ניהול יחסית מעט, כגון הקצאת תפקידים חשבונות משתמשים, הדורשים הרשאות של מנהל מערכת כללי. לכן, במקום להשתמש חשבונות משתמשים יומיומיות שהוקצו תפקיד מנהל כללי, בצע את הפעולות הבאות באופן מיידי:

  1. קבע את סידרת חשבונות משתמשים שהוקצו תפקיד מנהל כללי. באפשרותך לעשות זאת ב- Office 365 PowerShell עם פקודה זו:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. היכנס ללמנוי Office 365 באמצעות חשבון משתמש שהוקצה לו תפקיד מנהל כללי.

  3. יצירת אחת לפחות והפיכת עד 5 לכל היותר ייעודי חשבונות משתמשים של מנהל מערכת כללי. השתמש סיסמאות חזקות 12 לכל הפחות תווים ארוך אחסן את הסיסמאות עבור חשבונות החדשים במיקום מאובטח.

  4. הקצאת תפקיד מנהל כללי לכל חשבונות המשתמש מנהל כללי ייעודי חדש.

  5. צא מ- Office 365.

  6. היכנס באמצעות אחת מהפעולות חשבונות המשתמש החדשים ייעודי מנהל מערכת כללי.

  7. עבור כל חשבון משתמש קיים שהוקצה היה תפקיד מנהל כללי משלב 1:

    • הסרת תפקיד מנהל כללי.

    • הקצאת תפקידי ניהול חשבון המשתמש משימת והפונקציה אחריות המתאימים. לקבלת מידע נוסף אודות תפקידי ניהול שונים ב- Office 365, ראה אודות Office 365 תפקידי מנהל מערכת.

  8. צא מ- Office 365.

התוצאה צריכה להיות הפעולות הבאות:

  • חשבונות המשתמשים רק במנוי שלך בעלי תפקיד מנהל כללי הם ערכת החדשה של חשבונות המנהל הכללי ייעודי. לוודא זאת באמצעות הפקודה PowerShell הבאה בשורת הפקודה במודול Windows Azure Active Directory עבור Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • כל חשבונות המשתמשים יומיומיות אחרים שלא לנהל את המנוי שלך יש תפקידי ניהול שהוקצו המשויכות התפקיד שלהם.

מתוך פירסון זו ואילך, עליך להיכנס באמצעות חשבונות המנהל הכללי ייעודי רק עבור פעילויות הדורשים הרשאות של מנהל מערכת כללי. כל ניהול Office 365 אחרים חייב להתבצע על-ידי הקצאת תפקידי ניהול אחרים חשבונות משתמשים.

הערה: כן, הדבר דורש שלבים נוספים כדי יוצא כחשבון משתמש יומיומיות שלך, היכנס באמצעות חשבון מנהל מערכת כללי ייעודי. אך רק על פעולה זו להתבצע לעיתים עבור פעולות מנהל מערכת כללי. שקול אשר שחזור למנוי Office 365 לאחר הפרה חשבון מנהל מערכת כללי דורש שלבים הרבה יותר.

שלב 2. קביעת תצורה של אימות רב-גורמי עבור חשבונות Office 365 כמנהל מערכת כללי ייעודי ולהשתמש בסוג האימות משני החזקה ביותר

אימות רב-גורמי (MFA) עבור חשבונות מנהל כללי דורש מידע נוסף מעבר שם החשבון והסיסמה שלך. Office 365 תומך בשיטות האימות הבאות:

  • שיחת טלפון

  • קוד סיסמה שנוצר באופן אקראי

  • כרטיס חכם (וירטואלי או פיזי)

  • התקן ביומטרי

אם אתה עסק קטן המשתמשת חשבונות משתמשים המאוחסן רק בענן (שמודל זהות של ענן), בצע את הפעולות הבאות באופן מיידי כדי לקבוע תצורה של MFA באמצעות שיחת טלפון או קוד אימות הודעת טקסט שנשלחו לטלפון חכם:

  1. הפיכת MFA.

  2. הגדרת אימות 2-שלב עבור Office 365 כדי לקבוע תצורה של כל מאמצים חשבון מנהל מערכת כללי עבור שיחת טלפון או הודעת טקסט כשיטת האימות.

אם אתה ארגון גדול יותר מסונכרן או מאוחדים Office 365 זהות המודלים של מה שמשתמש, עומדות בפניך אפשרויות נוספות של אימות. אם כבר יש לך את תשתית אבטחה במקום עבור שיטת אימות משני חזק יותר, בצע את הפעולות הבאות באופן מיידי:

  1. הפיכת MFA.

  2. הגדרת אימות 2-שלב עבור Office 365 כדי לקבוע תצורה של כל מאמצים חשבון מנהל מערכת כללי עבור שיטת האימות המתאים.

אם התשתית אבטחה עבור שיטת אימות חזק יותר הרצויה אינה במקומו והוא פועל עבור MFA של Office 365, אנו ממליצים להגדיר חשבונות המנהל הכללי ייעודי מיד עם MFA באמצעות שיחת טלפון או הודעת טקסט קוד אימות הודעות שנשלחו לטלפון חכם עבור חשבונות מנהל כללי כאמצעי של אבטחה ביניים. השאר את חשבונות המנהל הכללי הייעודי ללא ההגנה נוספים סופקו על-ידי MFA לא.

לקבלת מידע נוסף, ראה תכנון עבור אימות רב-גורמי עבור פריסות של Office 365.

כדי להתחבר אל שירותי Office 365 עם MFA ו- PowerShell, ראה מאמר זה.

שלב 3. הפעלה וקביעת תצורה של אבטחה יישום של Office 365 ענן לניטור עבור פעילות חשבון מנהל מערכת כללי חשודים

אבטחה App הענן של office 365 מאפשר לך ליצור מדיניות כדי ליידע אותך לגבי התנהגות חשודה במנוי שלך. אבטחה App ענן המוכללת ב- Office 365 E5, אך זמין גם כשירות נפרד. לדוגמה, אם ברשותך Office 365 E5, באפשרותך לרכוש רשיונות אבטחה App ענן בודדים עבור חשבונות המשתמשים המוקצים את מנהל כללי ממנהל האבטחה וכן תאימות תפקידי מנהל מערכת.

אם יש לך אבטחה App ענן במנוי Office 365 שלך, בצע את הפעולות הבאות באופן מיידי:

  1. היכנס לפורטל Office 365 באמצעות חשבון מוקצה לתפקיד מנהל אבטחה או מנהל תאימות.

  2. הפעל את Office 365 ענן App אבטחה.

  3. צור פריטי מדיניות של זיהוי בהתנהגות החריגה כך שתקבל הודעה באמצעות דואר אלקטרוני של תבניות anomalous של פעילות עם הרשאות ניהול.

כדי להוסיף חשבון משתמש תפקיד מנהל אבטחה, חיבור ל- Office 365 PowerShell עם חשבון מנהל מערכת כללי ייעודי לבין MFA, למלא את השם הראשי של המשתמש של חשבון המשתמש ולאחר מכן הפעל את הפקודות הבאות פקודות:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

כדי להוסיף חשבון משתמש תפקיד מנהל מערכת של תאימות, מלא את השם הראשי של המשתמש של חשבון המשתמש ולאחר מכן הפעל את הפקודות הבאות:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

הגנות נוספים עבור חשבונות מנהל מערכת כללי

לאחר שלבים 1-3, להשתמש בשיטות נוספות אלה כדי לוודא חשבון מנהל המערכת הכללי, את תצורת שאתה מבצע להשתמש בו, הם מאובטח ככל האפשר.

תחנות עבודה של Access מורשה (עקבות)

כדי להבטיח ביצוע משימות בעל רמת הרשאות גבוהה הוא מאובטח ככל האפשר, השתמש עקבות. עקבות הוא מחשב ייעודי המשמש רק עבור משימות קביעת תצורה רגיש, כגון קביעת תצורה של Office 365 הדורשת חשבון מנהל מערכת כללי. מאחר מחשב זה לא נעשה מדי יום עבור גלישה באינטרנט או דואר אלקטרוני, הוא טוב יותר מוגן מפני התקפות באינטרנט ואיומים.

לקבלת הוראות אודות אופן ההגדרה של עקבות, ראה http://aka.ms/cyberpaw.

ניהול הזהויות azure AD מורשה (PIM)

במקום את חשבונות מנהל כללי לצמיתות להקצות לתפקיד מנהל מערכת כללי, באפשרותך להשתמש Azure AD PIM כדי לאפשר הקצאה לפי דרישה, just-in-time של תפקיד מנהל מערכת כללי בעת הצורך.

מילים אחרים, במקום את חשבונות מנהל כללי כעת מנהל מערכת קבוע, כשהם הופכים זכאי מנהלי מערכת. תפקיד מנהל מערכת כללי אינה פעילה עד מישהו שאמור לקבל אותה. לאחר מכן השלמת תהליך ההפעלה כדי להוסיף את תפקיד מנהל מערכת כללי חשבון מנהל המערכת הכללי עבור פרק זמן קבוע מראש. בתום פרק הזמן, PIM מסירה את תפקיד מנהל מערכת כללי כחשבון מנהל מערכת כללי.

שימוש PIM והקטנת תהליך זה באופן משמעותי את משך הזמן שבו החשבונות שלך כמנהל מערכת כללי חשופים תקיפה ולהשתמש בהן משתמשים זדוניות.

לקבלת מידע נוסף, ראה קביעת התצורה של Azure AD עם הרשאות ניהול הזהויות.

הערה: PIM זמין עם Azure Active Directory Premium P2, הכלולה ניידות Enterprise + E5 אבטחה (EMS), או באפשרותך לרכוש רשיונות אישיים עבור חשבונות מנהל מערכת כללי.

מידע ואירוע ניהול (SIEM) תוכנות אבטחה עבור רישום של Office 365

שרת שבו הוא פועל ותוכנות SIEM מבצע ניתוח בזמן אמת של התראות אבטחה ואירועים שנוצר על-ידי החומרה ויישומים. כדי לאפשר שרת SIEM שייכללו התראות אבטחה של Office 365 ואירועים שלו ניתוח ודיווח פונקציות, לשלב הבא במערכת SIEM שלך:

השלב הבא

ראה אבטחה שיטות עבודה מומלצות עבור Office 365.

הערה: כתב ויתור בנוגע לתרגום מכונה: מאמר זה תורגם על-ידי מערכת מחשב, ללא התערבות אדם. Microsoft מציעה את תרגומי המכונה כדי לסייע למשתמשים שאינם דוברי אנגלית ליהנות מתוכן בנושא מוצרים, שירותים וטכנולוגיות של Microsoft. מכיוון שהמאמר תורגם על-ידי מכונה, הוא עלול להכיל שגיאות באוצר המילים, בתחביר או בדקדוק.

הרחב את הכישורים שלך
סייר בהדרכה
קבל תכונות חדשות לפני כולם
הצטרף למשתתפי Office Insider

האם מידע זה היה שימושי?

תודה על המשוב!

תודה על המשוב! נראה שכדאי לקשר אותך לאחד מנציגי התמיכה של Office.

×