Az Office 365-ös globális rendszergazdai fiókok védelme

Megjegyzés:  Szeretnénk, ha minél gyorsabban hozzáférhetne a saját nyelvén íródott súgótartalmakhoz. Ez az oldal gépi fordítással lett lefordítva, ezért nyelvtani hibákat és pontatlanságokat tartalmazhat. A célunk az, hogy ezek a tartalmak felhasználóink hasznára váljanak. Kérjük, hogy a lap alján írja meg, hogy hasznos volt-e az Ön számára az itt található információ. Az eredeti angol nyelvű cikket itt találja .

Összefoglalása: Az Office 365-előfizetéséhez védelme támadások egy globális rendszergazdai fiókkal az visszafejtése alapján.

Az Office 365-előfizetéseket érintő biztonsági visszaélések, ideértve az adatgyűjtést és az adathalászatot, általában az Office 365-ös globális rendszergazdai fiók hitelesítő adatainak illetéktelen használatával történnek. A felhőszolgáltatások biztonságáért a Microsoft és Ön közösen felelős:

  • A Microsoft felhőszolgáltatásai a megbízhatóság és a biztonság stabil alapjára épültek. A Microsoft biztonsági funkciók és képességek nyújtásával segíti Önt az adatai és az alkalmazásai védelmében.

  • Az adatai és az identitásai az Ön tulajdonát képezik, és az Ön felelőssége, hogy megvédje ezeket, illetve hogy biztosítsa a helyszíni erőforrásai és a felügyelete alatt álló felhőbeli összetevők védelmét.

Microsoft védelme a szervezet lehetőségeket biztosít, de azok hatékonyak csak akkor, ha használhatja őket. Ha nem használja őket, akkor támadásokkal szemben. A globális rendszergazdai fiókkal védelmét, Microsoft Itt a részletes útmutatást segítséget:

  1. Hozzon létre dedikált Office 365-ös globális rendszergazdai fiókokat, és csak akkor használja őket, amikor szükséges.

  2. Konfiguráljon többtényezős hitelesítést a dedikált Office 365-ös globális rendszergazdai fiókokhoz, és használja az elérhető legerősebb másodlagos hitelesítési módszert.

  3. Engedélyezése és beállítása az Office 365 felhő alkalmazás biztonsági figyelése a gyanús globális rendszergazdai fiókkal.

Megjegyzés: Bár ez a cikk összpontosít globális rendszergazdai fiókkal, is érdemes megfontolni e további fiókok körű engedéllyel rendelkeznek az adatokat az előfizetésben, például elektronikus adatok feltárása rendszergazdai vagy biztonsági és megfelelőség rendszergazdai fiókkal, ugyanúgy kell védeni.

Lépés: 1. Hozzon létre saját Office 365 globális rendszergazdai fiókkal és a segítségükkel csak szükség esetén

Nincsenek viszonylag kevés felügyeleti feladatokat, például a szerepkörök hozzárendelése felhasználói fiókokhoz, globális rendszergazdai jogosultságokkal igénylő. Ezért helyett használja a mindennapos felhasználói fiókokat, amelyek a globális rendszergazdai szerep rendelkezik, kövesse az alábbi lépéseket:

  1. Határozza meg a felhasználói fiókok a globális rendszergazdai szerep rendelt készlete. Ezzel a paranccsal a Microsoft Azure Active Directory modul Windows Powershellhez parancssorba teheti meg:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Jelentkezzen be az Office 365-előfizetésébe egy globális rendszergazdai jogosultságú felhasználói fiókkal.

  3. Hozzon létre közül legalább egyet, és a legfeljebb öt dedikált a globális rendszergazdai felhasználói fiókok. Használja az erős jelszavak legalább 12 karakter hosszú.Erős jelszó létrehozása talál további információt. Az új fiók jelszavának biztonságos helyen tárolja.

  4. Társítson globális rendszergazdai szerepkört a létrehozott új, dedikált globális rendszergazdai felhasználói fiókokhoz.

  5. Jelentkezzen ki az Office 365-ből.

  6. Jelentkezzen be az egyik új, dedikált globális rendszergazdai fiókkal.

  7. Az 1. lépésben megállapított összes, globális rendszergazdai jogosultságú fiók esetében:

    • Távolítsa el a globális rendszergazdai szerepkört.

    • Rendszergazdai szerepkörök hozzárendelése a megfelelő felhasználó számára feladat függvény és a felelős fiókot. Többet szeretne tudni az Office 365 különböző rendszergazdai szerepkörök olvassa el az Office 365-rendszergazdai szerepkörökcímű témakört.

  8. Jelentkezzen ki az Office 365-ből.

Az eredményt kell:

  • A csak felhasználói fiókokat, az előfizetését, amelyeket a globális rendszergazdai szerep az újonnan létrehozott dedikált globális rendszergazdai fiókkal. Az alábbi PowerShell paranccsal ennek ellenőrzéséhez:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Az előfizetés kezelésére szolgáló összes többi, mindennapos használatú felhasználói fiók az adott felhasználó munkakörének megfelelő rendszergazdai engedélyekkel rendelkezik.

Ettől a pillanattól kezdve a globális rendszergazdai fiókokkal csak akkor jelentkezik be, ha olyan feladatot kell végrehajtania, amely globális rendszergazdai jogosultságot igényel. Minden más Office 365-ös felügyeleti tevékenységet a többi fiókhoz társított rendszergazdai szerepkörökkel hajt végre.

Megjegyzés: Ez a megoldás további lépések végrehajtását igényli, hiszen ki kell jelentkeznie a mindennapos használatú fiókjából, és be kell jelentkeznie egy dedikált globális rendszergazdai fiókkal. De erre csak időnként lesz szükség, amikor globális rendszergazdai műveleteket végez. Gondoljon arra, hogy ha visszaélés történne a globális rendszergazdai fiókjával, akkor az Office 365-előfizetés helyreállítása jóval több időt venne igénybe.

Lépés: 2. Többtényezős hitelesítés, a saját Office 365-ös globális rendszergazdai fiókok konfigurálása és a legmagasabb szintű másodlagos hitelesítési mód használata

Többtényezős hitelesítés (MFA) a globális rendszergazdai fiókok további információt a fiók nevét, és a jelszó túl van szükség. Az Office 365 ellenőrzési módszer támogatja:

  • Telefonhívás

  • Véletlenszerűen létrehozott számkód

  • Intelligens kártya (virtuális vagy fizikai)

  • Biometrikus eszköz

Ha Ön a kisvállalati verzió, amely csak a felhőben tárolt (a felhőben identitás modell) felhasználói fiókokat használ, az alábbi lépések segítségével hívni vagy egy szöveges üzenet ellenőrzőkódot okostelefonon küldött MFA beállítása:

  1. Engedélyezze a többtényezős hitelesítést (MFA).

  2. Állítson be kétlépcsős azonosítást az Office 365-höz úgy, hogy az egyes dedikált globális rendszergazdai fiókok telefonhívást vagy SMS-üzenetet használjanak ellenőrzési módszerként.

Ha Ön egy Office 365 hibrid identitás adatmodellt használó nagyobb cég, ellenőrzési több lehetőség közül választhat. Már a biztonsági infrastruktúra már a helyükön erősebb másodlagos hitelesítési mód, ha használja az alábbi lépéseket:

  1. Engedélyezze a többtényezős hitelesítést (MFA).

  2. Állítson be kétlépcsős azonosítást az Office 365-höz úgy, hogy az egyes dedikált globális rendszergazdai fiókok a kívánt ellenőrzési módszert használják.

A biztonsági infrastruktúra kívánt erősebb hitelesítési mód még nem a hely és működik-e az Office 365 többtényezős, ha kifejezetten ajánljuk, hogy MFA dedikált globális rendszergazdai fiókok konfigurálása hívni vagy szöveges üzenet az ideiglenes biztonsági okokból, a globális rendszergazdai fiókkal okostelefonon küldött ellenőrzőkódot. Ne hagyja a dedikált globális rendszergazdai fiókok MFA által biztosított további védelem nélkül.

További tudnivalókért olvassa el a többtényezős hitelesítés Office 365 telepítési megtervezésecímű témakört.

Ha szeretné megtudni, hogyan csatlakozhat az Office 365-szolgáltatásokhoz többtényezős hitelesítés és PowerShell segítségével, olvassa el ezt a cikket.

3 a lépést. A gyanús globális rendszergazdai fiókkal tevékenység monitor

Az Office 365 felhő alkalmazás biztonsági lehetővé teszi, hogy értesítést küldjön, az előfizetés gyanús viselkedését házirendek létrehozása. Cloud App biztonsági az Office 365 E5 lyncbe, de is elérhető különálló szolgáltatásként. Például ha nem rendelkezik az Office 365 E5, a felhasználói fiókok a globális rendszergazda, a biztonsági rendszergazda és a megfelelőség rendszergazdai szerepkörök hozzárendelt egyéni Cloud App biztonsági licencek vásárolhat.

Az Office 365-előfizetés esetén Cloud App biztonsági használja ezeket a lépéseket:

  1. Jelentkezzen be az olyan fiókkal van-e hozzárendelve a biztonsági vagy megfelelőségi rendszergazdája szerepkör az Office 365 portálon.

  2. Kapcsolja be az Office 365 felhő alkalmazás biztonsági.

  3. Tekintse át a rendellenességet észlelési házirendek értesítést kap, e-mailek, a Yammerhez felügyeleti tevékenység anomalous mintákra.

Felhasználói fiók hozzáadása a biztonság rendszergazdai szerepkörből, csatlakoztatása az Office 365 PowerShell egy dedikált globális rendszergazdai fiókkal és MFA, töltse ki a felhasználói fiók egyszerű felhasználónév, és futtassa az alábbi parancsokat:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Felhasználói fiók felvétele a megfelelőségi rendszergazdai szerepkört, és töltse ki a felhasználói fiók egyszerű felhasználónév futtassa az alábbi parancsokat:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

A vállalati szervezetek további védelem

Után lépéseket 1-3 látható, további módszerekről az alábbi annak biztosítására, hogy a globális rendszergazdai fiókkal, és a használat végrehajtott konfiguráció használatához a lehető legnagyobb biztonságban.

A hozzáférési jogosultsággal rendelkező munkaállomás (PAW)

Győződjön meg róla, hogy a kiemelt jogosultságokkal rendelkező feladatok végrehajtását lehető legnagyobb biztonságban, használja a PAW. Egy PAW olyan bizalmas konfigurációs feladatokat, például az Office 365-beállításokat, amelyek a globális rendszergazdai fiók szükséges csak használt dedikált számítógép. Ezen a számítógépen nem használatos naponta internetes böngészési vagy e-mailek, mert jobban védett Internet célú támadásokkal és a kockázatok.

Hogyan állíthat be egy PAW, tanulmányozza http://aka.ms/cyberpaw.

Azure Active Directory jogosultsággal rendelkező Identitáskezelés (személyes Információkezelő)

Ahelyett, hogy a globális rendszergazdai fiókkal véglegesen kiosztani a globális rendszergazdai szerep, Azure Active Directory személyes Információkezelő engedélyezése a globális rendszergazdai szerepkör az igény szerinti, közvetlenül az idő hozzárendelés, szükség esetén is használhatja.

A globális rendszergazdai fiókkal, éppen egy állandó felügyeleti, hanem jogosult rendszergazdák válnak. A globális rendszergazdai szerep nem aktív, amíg valaki van szüksége. Az aktiválási folyamat a globális rendszergazdai szerep felvenni a globális rendszergazdai fiókkal az idő hibaszám majd fejezze be. Az idő lejártakor személyes Információkezelő eltávolítja a globális rendszergazdai szerepkör a globális rendszergazdai fiókkal.

Személyes Információkezelő használ, és ezt a folyamatot jelentősen csökkenti a globális rendszergazdai fiókkal kitéve szemben és ártó szándékú felhasználók használni időtartamának.

További tudnivalókért lásd: az Azure Active Directory Yammerhez konfigurálása az Identitáskezelés.

Megjegyzés: Személyes Információkezelő érhető el az Azure Active Directory prémium P2, amely megtalálható a vállalati mobilitás + biztonsági (EMS) E5, vagy a globális rendszergazdai fiókkal az egyes licenceket is vásárolhat.

Biztonsági információk és esemény management (SIEM) szoftvert naplózás az Office 365-ben

Futtassa a kiszolgálón SIEM szoftver biztonsági figyelmeztetések és az alkalmazások és a hálózati eszközök kapacitása által létrehozott események valós idejű elemzésének hajt végre. Ha engedélyezni szeretné a SIEM-kiszolgálót, az Office 365-biztonsági figyelmeztetések és a események felvétele a saját elemzési és jelentéskészítési célra a függvények, integráció ezek SIEM rendszerben:

Következő lépés

Lásd: Biztonsággal kapcsolatos gyakorlati tanácsok az Office 365-höz.

Office-jártasság bővítése
Oktatóanyagok megismerése
Új szolgáltatások listájának lekérése
Részvétel az Office Insider programban

Hasznos volt az információ?

Köszönjük a visszajelzését!

Köszönjük visszajelzését. Jobbnak látjuk, ha az Office egyik támogatási szakemberéhez irányítjuk.

×