Zaštita računa globalnog administratora sustava Office 365

Sažetak: Zaštita računa globalnog administratora pomoću ovih koraka.

Važno :  Ovaj je članak strojno preveden. Pogledajteizjavu o odricanju od odgovornosti. Verziju ovog članka na engleskom potražite ovdje.

Da biste bolje zaštitili pretplate na Office 365 od napada na temelju narušena pouzdanost računa globalni administrator, morate učiniti na sljedeći odmah:

  1. Stvaranje namjenski globalni administrator računa za Office 365 i koristite ih samo kada je to potrebno.

  2. Konfiguriranje višestruke provjere autentičnosti za račune namjenski globalni administrator sustava Office 365 i korištenje Najveća oblik sekundarne provjere.

  3. Omogućivanje i konfiguriranje sustava Office 365 oblaka aplikacije sigurnost praćenje aktivnosti računa sumnjiva globalni administrator.

Sigurnost breaches pretplatu na Office 365, uključujući informacije o harvesting i napadima krađe identiteta, obično obavljaju ugrozi vjerodajnice račun globalnog administratora sustava Office 365. Sigurnost u oblak je partnerstvo između vas i tvrtke Microsoft:

  • Na foundation sigurnosti i zaštite ugrađenih Microsoftovim servisima u oblaku. Microsoft pruža mogućnosti da biste zaštitili podataka i aplikacije i sigurnosne kontrole.

  • Vi ste vlasnik podataka i identiteta i odgovornost za zaštitu ih, sigurnost lokalnog resursa i sigurnost oblaka komponente omogućuje upravljanje.

Da biste zaštitili sami, morate staviti na mjestu kontrole i mogućnosti koje pruža Microsoft.

Napomena : Iako ovaj članak namijenjen je globalni administrator račune, valja uzeti li dodatne račune s wide-ranging dozvole za pristup podacima u vašoj pretplati, kao što je administrator za predočavanje elektroničkih dokumenata ili sigurnosti ili usklađenost administratorske račune mora biti zaštićene na isti način.

Faza 1. Stvaranje namjenski globalni administrator računa za Office 365 i pomoću njih samo kada je to potrebno

Postoje relativno nekoliko administrativne zadatke, kao što je Dodjela uloge korisničke račune koji zahtijeva globalnu administratorske ovlasti. Dakle, umjesto korištenja svakodnevne korisničke račune kojima je dodijeljena uloga globalnog administratora, odmah učinite sljedeće:

  1. Odredite skup korisničke račune kojima je dodijeljena uloga globalnog administratora. To možete u Office 365 ljuske PowerShell s sljedeću naredbu:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Prijavite se u pretplatu na Office 365 s korisničkim računom koji je dodijeljena uloga globalnog administratora.

  3. Stvaranje barem jedan, a najviše pet namjenski globalni administrator korisničke račune. Predug korištenje neprobojne lozinke barem 12 znakova. Pohrana lozinki za nove račune na sigurnom mjestu.

  4. Dodjeljivanje uloga globalnog administratora na svaki korisnički računi novu globalni administrator.

  5. Odjavite se iz sustava Office 365.

  6. Prijavite se pomoću nekog od novih korisničkih računa namjenski globalni administrator.

  7. Za svaki postojeći korisnički račun koji ste dodijeljena uloga globalnog administratora iz korak 1:

    • Uklanjanje uloga globalnog administratora.

    • Dodjela administratorskih uloga računa koje odgovaraju posao – opis funkcije i odgovornosti tog korisnika. Dodatne informacije o različitim administratorskih uloga u sustavu Office 365 potražite u članku o sustavu Office 365 administratorskih uloga.

  8. Odjavite se iz sustava Office 365.

Rezultat mora biti sljedeće:

  • Samo korisnički računi u vašoj pretplati koji imaju uloga globalnog administratora su novi skup namjenski globalni administrator računa. Provjerite je li to pomoću sljedeće naredbe ljuske PowerShell sustava Windows Azure Active Directory Module za Windows PowerShell naredbeni redak:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Sve druge svakodnevne korisničke račune koji upravljali pretplatom imati administratorske uloge koje su vezane uz njihove odgovornosti dodijeljeni.

Iz ovog ukratko nadalje prijavite računi namjenski globalni administrator samo za zadatke koje je potrebno globalni administratorske ovlasti. Sve ostale administracija sustava Office 365 morate učiniti tako da druge uloge Administracija dodijelite korisničke račune.

Napomena : Da, to su potrebne dodatne korake da biste odjavite kao svakodnevne korisnički račun, a zatim se prijavite pomoću računa namjenski globalni administrator. No to samo je potrebno učiniti povremeno za operacije globalni administrator. Razmislite o koje Obnova pretplate na Office 365 nakon kršenja za račun globalnog administratora zahtijeva puno dodatne korake.

Faza 2. Konfiguriranje višestruke provjere autentičnosti za račune namjenski globalni administrator sustava Office 365 i korištenje Najveća obrasca sekundarne provjere autentičnosti

Višestruka provjera autentičnosti (MFA) za račune globalni administrator zahtijeva dodatnim informacijama izvan naziv računa i lozinku. Office 365 podržava sljedećih metoda provjere valjanosti:

  • telefonski poziv

  • nasumično generiran pristupni izraz

  • pametna kartica (virtualna ili fizička)

  • biometrijski uređaj

Ako ste male tvrtke koji koristi korisnički računi pohraniti samo u oblaku (u oblaku identiteta model), odmah učinite sljedeće da biste konfigurirali MFA pomoću telefonskog poziva ili tekst kod za potvrdu poruke poslane Pametni telefon:

  1. Omogućivanje MFA.

  2. Postavljanje potvrdu 2 korak za Office 365 da biste konfigurirali svaki namjenski račun globalnog administratora za telefonski poziv ili tekstne poruke kao način potvrde.

Ako su veće tvrtki ili ustanovi koja koristi modelima identiteta sustava Office 365 sinkronizirane ili pridruženim, imate više mogućnosti za potvrdu. Ako već imate sigurnost infrastrukture ovlasti za je jače sekundarne način provjere autentičnosti, odmah učinite sljedeće:

  1. Omogućivanje MFA.

  2. Postavljanje potvrdu 2 korak za Office 365 da biste konfigurirali svaki namjenski globalni administrator računa za metodu odgovarajuću potvrdu.

Ako sigurnost infrastrukture za željeni način jači potvrde nije mjesto i da radi za Office 365 MFA, preporučujemo da odmah konfiguriranje računa namjenski globalni administrator s MFA pomoću telefonskog poziva ili tekst kod provjere poruke poslane Pametni telefon za račune globalni administrator kao mjeru privremeni sigurnost. Bez dodatnih zaštite nudi MFA ostavite računa namjenski globalni administrator.

Dodatne informacije potražite u članku Planiranje višestruke provjere autentičnosti za Office 365 implementacije.

Da biste povezali servisima sustava Office 365 s MFA i PowerShell, potražite u članku članak.

Faza 3. Omogućivanje i konfiguriranje sustava Office 365 oblaka aplikacije sigurnost praćenje aktivnosti računa sumnjiva globalni administrator

Sigurnost aplikacije oblaka za Office 365 omogućuje stvaranje pravila koja vas obavještava o sumnjiva ponašanje u svoju pretplatu. Sigurnost aplikacije oblaka ugrađen u sustavu Office 365 E5, ali je dostupan i kao zasebnu servisa. Ako, na primjer, ako nemate Office 365 E5, možete kupiti licenci pojedinačnih sigurnost oblaka aplikacije za korisničke račune koji su vam dodijeljeni globalni administrator, administrator za sigurnost i usklađenost administratorskih uloga.

Ako imate oblaka aplikacije sigurnost u pretplatu na Office 365, odmah učinite sljedeće:

  1. Prijavite se na portal sustava Office 365 pomoću računa koji je dodijeljen ulogu administratora sigurnosti ili Administrator za usklađenost.

  2. Uključivanje o sigurnosti aplikacije za Office 365 oblaka.

  3. Stvaranje značajkom prepoznavanja pravila obavijesti putem e-pošte od anomalous uzoraka povlaštene administratora aktivnosti.

Da biste dodali korisnički račun ulogu administratora sigurnosti, Povezivanje sustava Office 365 PowerShell s računom namjenski globalni administrator i MFA, unesite korisničko ime glavni korisničkog računa, a zatim pokrenite sljedeće naredbe:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Da biste dodali ulogu administratora za usklađenost korisnički račun, unesite korisničko ime glavni korisničkog računa, a zatim pokrenite sljedeće naredbe:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Dodatni zaštiti za račune globalni administrator

Nakon faze 1-3, koristite ove dodatne metode osigurava da vaš račun globalnog administratora i konfiguracije koji obavljaju ga koristiti, su kao sigurne.

Radne stanice povlaštene pristup (OTISCI)

Da biste bili sigurni da je izvršavanje zadataka korisnik s velikim ovlastima kao sigurne, koristite na OTISCI. Na OTISCI je Namjenska računalo koje koristi se samo za zadatke osjetljive konfiguracije, kao što je Office 365 konfiguracije koji je potreban je račun globalnog administratora. Budući da se računalo ne koristi se svakodnevno za pregledavanje Interneta ili e-pošte, bolje zaštićen od napada Internet i prijetnji.

Upute za postavljanje programa OTISCI, potražite u članku http://aka.ms/cyberpaw.

Upravljanje identitetom Azure AD povlaštene (PIM)

Umjesto problema računa globalnog administratora trajno biti dodijeljena uloga globalnog administratora, možete koristiti Azure AD PIM da biste omogućili dodjelu uloga globalnog administratora na zahtjev, samo-u – vrijeme kada je to potrebno.

Umjesto računa globalnog administratora se trajno administrator postanu uvjete administratori. Dok netko mora nije aktivna uloga globalnog administratora. Popunite aktivacija da biste dodali račun globalnog administratora uloga globalnog administratora unaprijed određenim vremenskog razdoblja. Po isteku vremena PIM uklanja uloga globalnog administratora s računa globalnog administratora.

Korištenje PIM i taj proces znatno smanjuje vremenskog razdoblja koje su opasnosti napasti i korištenje zlonamjernih korisnika računa globalnog administratora.

Dodatne informacije potražite u članku Konfiguriranje Azure AD povlaštene upravljanje identitetom.

Napomena : PIM nije dostupno u sklopu Azure Active Directory Premium P2, koji se isporučuje se uz mobilnost Enterprise + E5 sigurnost (EMS), ili možete kupiti pojedinačne licence za račune globalni administrator.

Sigurnost podataka i događaja (SIEM) softverom za upravljanje za Office 365

Softver SIEM pokreću se na poslužitelju izvodi u stvarnom vremenu analizu sigurnosnih upozorenja i događaje stvorio aplikacije i mrežnog hardvera. Da biste omogućili poslužitelj SIEM da biste obuhvatili sigurnosnih upozorenja za Office 365 i događaje njegov analizu i funkcije izvješćivanja, u sustavu SIEM integrirati na sljedeći način:

Sljedeći korak

U odjeljku Sigurnost najbolje prakse za Office 365.

Napomena : Izjava o odricanju od odgovornosti za strojni prijevod: ovaj je članak preveo računalni sustav bez ljudske intervencije. Microsoft nudi strojne prijevode da bi korisnicima koji ne razumiju engleski omogućio čitanje sadržaja o Microsoftovim proizvodima, uslugama i tehnologijama. Budući da je preveden strojno, članak možda sadrži pogreške u vokabularu, sintaksi ili gramatici.

Proširite svoje vještine
Istražite osposobljavanje

Jesu li vam ove informacije bile korisne?

Hvala vam na povratnim informacijama!

Hvala vam na povratnim informacijama! Čini se da bi vam pomoglo kad bismo vas povezali s nekim od naših agenata podrške za Office.

×