Zaštita računa globalnog administratora sustava Office 365

Napomena:  Željeli bismo vam pružiti najnoviji sadržaj pomoći što je brže moguće i to na vašem jeziku. Ova je stranica strojno prevedena te može sadržavati gramatičke pogreške ili netočnosti. Naša je namjera da vam ovaj sadržaj bude koristan. Možete li nam pri dnu ove stranice javiti jesu li vam ove informacije bile korisne? Kao referencu možete pogledati i članak na engleskom jeziku .

Sažetak: Pretplatu na Office 365 zaštititi od napada na temelju narušena pouzdanost računa globalnog administratora.

Sigurnost breaches pretplatu na Office 365, uključujući informacije o harvesting i napadima krađe identiteta, obično obavljaju ugrozi vjerodajnice račun globalnog administratora sustava Office 365. Sigurnost u oblak je partnerstvo između vas i tvrtke Microsoft:

  • Na foundation sigurnosti i zaštite ugrađenih Microsoftovim servisima u oblaku. Microsoft pruža mogućnosti da biste zaštitili podataka i aplikacije i sigurnosne kontrole.

  • Vi ste vlasnik podataka i identiteta i odgovornost za zaštitu ih, sigurnost lokalnog resursa i sigurnost oblaka komponente omogućuje upravljanje.

Microsoft pruža mogućnosti da biste zaštitili vašoj tvrtki ili ustanovi, ali su učinkovitih samo ako ih koristiti. Ako ne koristite ih, možda ćete ranjivo. Da biste zaštitili računi globalni administrator, Microsoft je ovo će vam pomoći s detaljnim uputama za:

  1. Stvaranje namjenski globalni administrator računa za Office 365 i koristite ih samo kada je to potrebno.

  2. Konfiguriranje višestruke provjere autentičnosti za račune namjenski globalni administrator sustava Office 365 i korištenje Najveća oblik sekundarne provjere.

  3. Omogućivanje i konfiguriranje sustava Office 365 oblaka aplikacije sigurnost praćenje aktivnosti računa sumnjiva globalni administrator.

Napomena: Iako ovaj članak namijenjen je globalni administrator račune, valja uzeti li dodatne račune s wide-ranging dozvole za pristup podacima u vašoj pretplati, kao što je administrator za predočavanje elektroničkih dokumenata ili sigurnosti ili usklađenost administratorske račune mora biti zaštićene na isti način.

Korak 1. Stvaranje namjenski globalni administrator računa za Office 365 i pomoću njih samo kada je to potrebno

Postoje relativno nekoliko administrativne zadatke, kao što je Dodjela uloge korisničke račune koji zahtijeva globalnu administratorske ovlasti. Dakle, umjesto korištenja svakodnevne korisničke račune kojima je dodijeljena uloga globalnog administratora, učinite sljedeće korake:

  1. Odredite skup korisničke račune kojima je dodijeljena uloga globalnog administratora. To možete učiniti pomoću naredbi u naredbenom retku Microsoft Azure Active Directory Module za Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Prijavite se u pretplatu na Office 365 s korisničkim računom koji je dodijeljena uloga globalnog administratora.

  3. Stvaranje barem jedan, a najviše pet namjenski globalni administrator korisničke račune. Predug korištenje neprobojne lozinke barem 12 znakova. Dodatne informacije potražite u članku Stvaranje neprobojne lozinke . Pohrana lozinki za nove račune na sigurnom mjestu.

  4. Dodjeljivanje uloga globalnog administratora na svaki korisnički računi novu globalni administrator.

  5. Odjavite se iz sustava Office 365.

  6. Prijavite se pomoću nekog od novih korisničkih računa namjenski globalni administrator.

  7. Za svaki postojeći korisnički račun koji ste dodijeljena uloga globalnog administratora iz korak 1:

    • Uklanjanje uloga globalnog administratora.

    • Dodjela administratorskih uloga računa koje odgovaraju posao – opis funkcije i odgovornosti tog korisnika. Dodatne informacije o različitim administratorskih uloga u sustavu Office 365 potražite u članku o sustavu Office 365 administratorskih uloga.

  8. Odjavite se iz sustava Office 365.

Rezultat mora biti:

  • Samo korisnički računi u vašoj pretplati koji imaju uloga globalnog administratora su novi skup namjenski globalni administrator računa. Provjerite je li to pomoću sljedeće naredbe ljuske PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Sve druge svakodnevne korisničke račune koji upravljali pretplatom imati administratorske uloge koje su vezane uz njihove odgovornosti dodijeljeni.

Iz ovog ukratko nadalje prijavite računi namjenski globalni administrator samo za zadatke koje je potrebno globalni administratorske ovlasti. Sve ostale administracija sustava Office 365 morate učiniti tako da druge uloge Administracija dodijelite korisničke račune.

Napomena: Da, to su potrebne dodatne korake da biste odjavite kao svakodnevne korisnički račun, a zatim se prijavite pomoću računa namjenski globalni administrator. No to samo je potrebno učiniti povremeno za operacije globalni administrator. Razmislite o koje Obnova pretplate na Office 365 nakon kršenja za račun globalnog administratora zahtijeva puno dodatne korake.

Korak 2. Konfiguriranje višestruke provjere autentičnosti za račune namjenski globalni administrator sustava Office 365 i korištenje Najveća obrasca sekundarne provjere autentičnosti

Višestruka provjera autentičnosti (MFA) za račune globalni administrator zahtijeva dodatnim informacijama izvan naziv računa i lozinku. Office 365 podržava ovih metoda provjere valjanosti:

  • telefonski poziv

  • nasumično generiran pristupni izraz

  • pametna kartica (virtualna ili fizička)

  • biometrijski uređaj

Ako ste male tvrtke koji koristi korisnički računi pohraniti samo u oblaku (u oblaku identiteta model), pomoću ovih koraka da biste konfigurirali MFA pomoću telefonskog poziva ili tekst poruke koda za potvrdu poslane na Pametni telefon:

  1. Omogućivanje MFA.

  2. Postavljanje potvrdu 2 korak za Office 365 da biste konfigurirali svaki namjenski račun globalnog administratora za telefonski poziv ili tekstne poruke kao način potvrde.

Ako su veće ili ustanovom koja koristi model identiteta hibridnog programa sustava Office 365, imate više mogućnosti za potvrdu. Ako već imate sigurnost infrastrukture ovlasti za je jače sekundarne način provjere autentičnosti, poduzmite sljedeće korake:

  1. Omogućivanje MFA.

  2. Postavljanje potvrdu 2 korak za Office 365 da biste konfigurirali svaki namjenski globalni administrator računa za metodu odgovarajuću potvrdu.

Ako sigurnost infrastrukture za željeni način jači potvrde nije mjesto i da radi za Office 365 MFA, preporučujemo da konfigurirate namjenski globalni administrator računa s MFA pomoću telefonskog poziva ili tekstne poruke šalje Pametni telefon za račune globalni administrator kao mjeru privremeni Sigurnost kod za potvrdu. Bez dodatnih zaštite nudi MFA ostavite računa namjenski globalni administrator.

Dodatne informacije potražite u članku Planiranje višestruke provjere autentičnosti za Office 365 implementacije.

Da biste povezali servisima sustava Office 365 s MFA i PowerShell, pročitajte Ovaj članak.

Korak 3. Praćenje aktivnosti računa sumnjiva globalni administrator

Sigurnost aplikacije oblaka za Office 365 omogućuje stvaranje pravila koja vas obavještava o sumnjiva ponašanje u svoju pretplatu. Sigurnost aplikacije oblaka ugrađen u sustavu Office 365 E5, ali je dostupan i kao zasebnu servisa. Ako, na primjer, ako nemate Office 365 E5, možete kupiti licenci pojedinačnih sigurnost oblaka aplikacije za korisničke račune koji su vam dodijeljeni globalni administrator, administrator za sigurnost i usklađenost administratorskih uloga.

Ako imate oblaka aplikacije sigurnost u pretplatu na Office 365, poduzmite sljedeće korake:

  1. Prijavite se na portal sustava Office 365 pomoću računa koji je dodijeljen ulogu administratora sigurnosti ili Administrator za usklađenost.

  2. Uključivanje o sigurnosti aplikacije za Office 365 oblaka.

  3. Pregledajte značajkom prepoznavanja pravila obavijesti putem e-pošte od anomalous uzoraka povlaštene administratora aktivnosti.

Da biste dodali korisnički račun ulogu administratora sigurnosti, povezati Office 365 ljuske PowerShell s računom namjenski globalni administrator i MFA, unesite korisničko ime glavni korisničkog računa, a zatim pokrenite te naredbe:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Za dodavanje korisničkog računa ulogu administratora za usklađenost, unesite korisničko ime glavni korisničkog računa, a zatim pokrenite sljedeće naredbe:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Dodatni zaštiti za enterprise tvrtke ili ustanove

Nakon korake 1-3, upotrijebite te dodatne načine osigurava da vaš račun globalnog administratora i konfiguracije koji obavljaju ga koristiti, su kao sigurne.

Radne stanice povlaštene pristup (OTISCI)

Da biste bili sigurni da je izvršavanje zadataka korisnik s velikim ovlastima kao sigurne, koristite na OTISCI. Na OTISCI je Namjenska računalo koje koristi se samo za zadatke osjetljive konfiguracije, kao što je Office 365 konfiguracije koji je potreban je račun globalnog administratora. Budući da se računalo ne koristi se svakodnevno za pregledavanje Interneta ili e-pošte, bolje zaštićen od napada Internet i prijetnji.

Upute za postavljanje programa OTISCI, potražite u članku http://aka.ms/cyberpaw.

Upravljanje identitetom Azure AD povlaštene (PIM)

Umjesto problema računa globalnog administratora trajno biti dodijeljena uloga globalnog administratora, možete koristiti Azure AD PIM da biste omogućili dodjelu uloga globalnog administratora na zahtjev, samo-u – vrijeme kada je to potrebno.

Umjesto računa globalnog administratora se trajno administrator postanu uvjete administratori. Dok netko mora nije aktivna uloga globalnog administratora. Popunite aktivacija da biste dodali račun globalnog administratora uloga globalnog administratora unaprijed određenim vremenskog razdoblja. Po isteku vremena PIM uklanja uloga globalnog administratora s računa globalnog administratora.

Korištenje PIM i taj proces znatno smanjuje vremenskog razdoblja koje su opasnosti napasti i korištenje zlonamjernih korisnika računa globalnog administratora.

Dodatne informacije potražite u članku Konfiguriranje Azure AD povlaštene upravljanje identitetom.

Napomena: PIM nije dostupno u sklopu Azure Active Directory Premium P2, koji se isporučuje se uz mobilnost Enterprise + E5 sigurnost (EMS), ili možete kupiti pojedinačne licence za račune globalni administrator.

Sigurnost podataka i događaja (SIEM) softverom za upravljanje za Office 365

Softver SIEM pokreću se na poslužitelju izvodi u stvarnom vremenu analizu sigurnosnih upozorenja i događaje stvorio aplikacije i mrežnog hardvera. Da biste omogućili poslužitelj SIEM da biste obuhvatili sigurnosnih upozorenja za Office 365 i događaje njegov analizu i funkcije izvješćivanja, integrirati ih u sustav SIEM:

Sljedeći korak

U odjeljku Sigurnost najbolje prakse za Office 365.

Proširite svoje vještine korištenja sustava Office
Istražite osposobljavanje

Jesu li vam ove informacije bile korisne?

Hvala vam na povratnim informacijama!

Hvala vam na povratnim informacijama! Čini se da bi vam pomoglo kad bismo vas povezali s nekim od naših agenata podrške za Office.

×