Az Office 365-ös globális rendszergazdai fiókok védelme

Összefoglalása: A globális rendszergazdai fiókkal az alábbi lépésekkel védelme.

Fontos : Ez a cikk gépi fordítással lett lefordítva, lásd a jognyilatkozatot. A cikk angol változatát itt találhatja meg.

Jobb védelme az Office 365-előfizetéséhez támadások egy globális rendszergazdai fiókkal az visszafejtése alapján, hajtsa végre a következő pillanatban:

  1. Hozzon létre dedikált Office 365-ös globális rendszergazdai fiókokat, és csak akkor használja őket, amikor szükséges.

  2. Konfiguráljon többtényezős hitelesítést a dedikált Office 365-ös globális rendszergazdai fiókokhoz, és használja az elérhető legerősebb másodlagos hitelesítési módszert.

  3. Engedélyezése és beállítása az Office 365 felhő alkalmazás biztonsági figyelése a gyanús globális rendszergazdai fiókkal.

Az Office 365-előfizetéseket érintő biztonsági visszaélések, ideértve az adatgyűjtést és az adathalászatot, általában az Office 365-ös globális rendszergazdai fiók hitelesítő adatainak illetéktelen használatával történnek. A felhőszolgáltatások biztonságáért a Microsoft és Ön közösen felelős:

  • A Microsoft felhőszolgáltatásai a megbízhatóság és a biztonság stabil alapjára épültek. A Microsoft biztonsági funkciók és képességek nyújtásával segíti Önt az adatai és az alkalmazásai védelmében.

  • Az adatai és az identitásai az Ön tulajdonát képezik, és az Ön felelőssége, hogy megvédje ezeket, illetve hogy biztosítsa a helyszíni erőforrásai és a felügyelete alatt álló felhőbeli összetevők védelmét.

A védekezéshez aktívan ki kell használnia a Microsoft által nyújtott biztonsági funkciókat és képességeket.

Megjegyzés : Bár ez a cikk összpontosít globális rendszergazdai fiókkal, is érdemes megfontolni e további fiókok körű engedéllyel rendelkeznek az adatokat az előfizetésben, például elektronikus adatok feltárása rendszergazdai vagy biztonsági és megfelelőség rendszergazdai fiókkal, ugyanúgy kell védeni.

1. lépés: Dedikált Office 365-ös globális rendszergazdai fiókok létrehozása, és ezek használata csak akkor, ha szükséges

Viszonylag kevés olyan felügyeleti tevékenységet kell végeznie (mint amilyen például a szerepkörök felhasználói fiókokhoz való társítása), amely globális rendszergazdai engedélyeket igényel. Ezért ahelyett, hogy mindennapos jelleggel globális rendszergazdai jogosultságú fiókot használna, végezze el az alábbiakat haladéktalanul:

  1. Készítsen listát a globális rendszergazdai jogosultságú felhasználói fiókokról. Ezt az alábbi Office 365 PowerShell-parancs futtatásával teheti meg:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Jelentkezzen be az Office 365-előfizetésébe egy globális rendszergazdai jogosultságú felhasználói fiókkal.

  3. Hozzon létre legalább egy, de legfeljebb öt dedikált globális rendszergazdai felhasználói fiókot. Használjon erős, legalább 12 karakterből álló jelszavakat. Tárolja az új fiókokhoz beállított jelszót egy biztonságos helyen.

  4. Társítson globális rendszergazdai szerepkört a létrehozott új, dedikált globális rendszergazdai felhasználói fiókokhoz.

  5. Jelentkezzen ki az Office 365-ből.

  6. Jelentkezzen be az egyik új, dedikált globális rendszergazdai fiókkal.

  7. Az 1. lépésben megállapított összes, globális rendszergazdai jogosultságú fiók esetében:

    • Távolítsa el a globális rendszergazdai szerepkört.

    • Rendszergazdai szerepkörök hozzárendelése a megfelelő felhasználó számára feladat függvény és a felelős fiókot. Többet szeretne tudni az Office 365 különböző rendszergazdai szerepkörök olvassa el az Office 365-rendszergazdai szerepkörökcímű témakört.

  8. Jelentkezzen ki az Office 365-ből.

Az eredménynek az alábbihoz hasonlónak kell lennie:

  • A szervezetében kizárólag az újonnan létrehozott, dedikált globális rendszergazdai fiókok rendelkeznek globális rendszergazdai szerepkörrel. Ennek ellenőrzéséhez futtassa az alábbi PowerShell-parancsot a Windows PowerShellhez készült Windows Azure Active Directory-modul parancssorában:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Az előfizetés kezelésére szolgáló összes többi, mindennapos használatú felhasználói fiók az adott felhasználó munkakörének megfelelő rendszergazdai engedélyekkel rendelkezik.

Ettől a pillanattól kezdve a globális rendszergazdai fiókokkal csak akkor jelentkezik be, ha olyan feladatot kell végrehajtania, amely globális rendszergazdai jogosultságot igényel. Minden más Office 365-ös felügyeleti tevékenységet a többi fiókhoz társított rendszergazdai szerepkörökkel hajt végre.

Megjegyzés : Ez a megoldás további lépések végrehajtását igényli, hiszen ki kell jelentkeznie a mindennapos használatú fiókjából, és be kell jelentkeznie egy dedikált globális rendszergazdai fiókkal. De erre csak időnként lesz szükség, amikor globális rendszergazdai műveleteket végez. Gondoljon arra, hogy ha visszaélés történne a globális rendszergazdai fiókjával, akkor az Office 365-előfizetés helyreállítása jóval több időt venne igénybe.

2. lépés: Többtényezős hitelesítés konfigurálása a dedikált Office 365-ös globális rendszergazdai fiókokhoz, az elérhető legerősebb másodlagos hitelesítési módszer használatával

Ha többtényezős hitelesítést állít be a globális rendszergazdai fiókokhoz, akkor a bejelentkezéshez a név és a jelszó mellett további információkra is szükség lesz. Az Office 365 az alábbi hitelesítési módokat támogatja:

  • Telefonhívás

  • Véletlenszerűen létrehozott számkód

  • Intelligens kártya (virtuális vagy fizikai)

  • Biometrikus eszköz

Ha Ön kisvállalati felhasználóként kizárólag felhőben tárolt felhasználói fiókokat használ (felhőalapú identitásmodell), hajtsa végre az alábbiakat haladéktalanul a többtényezős hitelesítés telefonhívás vagy SMS-üzenetben küldött ellenőrzőkód használatához való konfigurálása céljából:

  1. Engedélyezze a többtényezős hitelesítést (MFA).

  2. Állítson be kétlépcsős azonosítást az Office 365-höz úgy, hogy az egyes dedikált globális rendszergazdai fiókok telefonhívást vagy SMS-üzenetet használjanak ellenőrzési módszerként.

Ha Ön egy nagyobb szervezet rendszergazdája, mely szinkronizált vagy összevont Office 365-identitásmodellt használ, több ellenőrzési megoldás közül választhat. Ha van már meglévő biztonsági architektúrája erősebb másodlagos hitelesítéshez, hajtsa végre az alábbiakat haladéktalanul:

  1. Engedélyezze a többtényezős hitelesítést (MFA).

  2. Állítson be kétlépcsős azonosítást az Office 365-höz úgy, hogy az egyes dedikált globális rendszergazdai fiókok a kívánt ellenőrzési módszert használják.

Ha még nincs erősebb ellenőrzési megoldást nyújtó és az Office 365 többtényezős hitelesítéséhez konfigurálható biztonsági architektúrája, erősen javasoljuk, hogy a dedikált globális rendszergazdai fiókokat haladéktalanul konfigurálja többtényezős hitelesítéssel úgy, hogy ideiglenes biztonsági megoldásként telefonhívást vagy SMS-ben küldött ellenőrzőkódot igényeljenek a bejelentkezéshez. Ne hagyja a dedikált globális rendszergazdai fiókjait a többtényezős hitelesítés által nyújtott nagyobb fokú védelem nélkül.

További tudnivalókért olvassa el a többtényezős hitelesítés Office 365 telepítési megtervezésecímű témakört.

Ha szeretné megtudni, hogyan csatlakozhat az Office 365-szolgáltatásokhoz többtényezős hitelesítés és PowerShell segítségével, olvassa el ezt a cikket.

3 fázis. Engedélyezése és beállítása az Office 365 felhő alkalmazás biztonsági gyanús globális rendszergazdai fiókkal figyelése

Az Office 365 felhő alkalmazás biztonsági lehetővé teszi, hogy értesítést küldjön, az előfizetés gyanús viselkedését házirendek létrehozása. Cloud App biztonsági az Office 365 E5 lyncbe, de is elérhető különálló szolgáltatásként. Például ha nem rendelkezik az Office 365 E5, a felhasználói fiókok a globális rendszergazda, a biztonsági rendszergazda és a megfelelőség rendszergazdai szerepkörök hozzárendelt egyéni Cloud App biztonsági licencek vásárolhat.

Az Office 365-előfizetéséhez, tegye a következőket azonnalCloud App biztonsági ha:

  1. Jelentkezzen be az olyan fiókkal van-e hozzárendelve a biztonsági vagy megfelelőségi rendszergazdája szerepkör az Office 365 portálon.

  2. Kapcsolja be az Office 365 felhő alkalmazás biztonsági.

  3. Létrehozás rendellenességet észlelési házirendek értesítést kap, e-mailek, a Yammerhez felügyeleti tevékenység anomalous mintákra.

Ha egy felhasználói fiókot fel kell vennie a Biztonsági rendszergazda szerepkörbe, csatlakozzon az Office 365-höz PowerShellen keresztül egy dedikált, többtényezős hitelesítést használó globális rendszergazdai fiókkal, helyettesítse be a felhasználói fiók nevét a következő parancsban, és futtassa a parancsot:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Ha egy felhasználói fiókot fel kell vennie a Megfelelőségi adminisztrátor szerepkörbe, helyettesítse be a felhasználói fiók nevét a következő parancsban, és futtassa a parancsot:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

A globális rendszergazdai fiókok további védelem

Után fázisok 1-3 látható, további módszerekről az alábbi annak biztosítására, hogy a globális rendszergazdai fiókkal, és a használat végrehajtott konfiguráció használatához a lehető legnagyobb biztonságban.

A hozzáférési jogosultsággal rendelkező munkaállomás (PAW)

Győződjön meg róla, hogy a kiemelt jogosultságokkal rendelkező feladatok végrehajtását lehető legnagyobb biztonságban, használja a PAW. Egy PAW olyan bizalmas konfigurációs feladatokat, például az Office 365-beállításokat, amelyek a globális rendszergazdai fiók szükséges csak használt dedikált számítógép. Ezen a számítógépen nem használatos naponta internetes böngészési vagy e-mailek, mert jobban védett Internet célú támadásokkal és a kockázatok.

Hogyan állíthat be egy PAW, tanulmányozza http://aka.ms/cyberpaw.

Azure Active Directory jogosultsággal rendelkező Identitáskezelés (személyes Információkezelő)

Ahelyett, hogy a globális rendszergazdai fiókkal véglegesen kiosztani a globális rendszergazdai szerep, Azure Active Directory személyes Információkezelő engedélyezése a globális rendszergazdai szerepkör az igény szerinti, közvetlenül az idő hozzárendelés, szükség esetén is használhatja.

A globális rendszergazdai fiókkal, éppen egy állandó felügyeleti, hanem jogosult rendszergazdák válnak. A globális rendszergazdai szerep nem aktív, amíg valaki van szüksége. Az aktiválási folyamat a globális rendszergazdai szerep felvenni a globális rendszergazdai fiókkal az idő hibaszám majd fejezze be. Az idő lejártakor személyes Információkezelő eltávolítja a globális rendszergazdai szerepkör a globális rendszergazdai fiókkal.

Személyes Információkezelő használ, és ezt a folyamatot jelentősen csökkenti a globális rendszergazdai fiókkal kitéve szemben és ártó szándékú felhasználók használni időtartamának.

További tudnivalókért lásd: az Azure Active Directory Yammerhez konfigurálása az Identitáskezelés.

Megjegyzés : Személyes Információkezelő érhető el az Azure Active Directory prémium P2, amely megtalálható a vállalati mobilitás + biztonsági (EMS) E5, vagy a globális rendszergazdai fiókkal az egyes licenceket is vásárolhat.

Biztonsági információk és esemény management (SIEM) szoftvert naplózás az Office 365-ben

Futtassa a kiszolgálón SIEM szoftver biztonsági figyelmeztetések és az alkalmazások és a hálózati eszközök kapacitása által létrehozott események valós idejű elemzésének hajt végre. Ha engedélyezni szeretné a SIEM-kiszolgálót, az Office 365-biztonsági figyelmeztetések és a események felvétele a saját elemzési és jelentéskészítési célra a függvények, integráció a következő SIEM rendszerben:

Következő lépés

Lásd: Biztonsággal kapcsolatos gyakorlati tanácsok az Office 365-höz.

Megjegyzés : Gépi fordítás jognyilatkozata: Ez a cikk számítógép által, emberi közreműködés nélkül lett lefordítva. A Microsoft ezeket a gépi fordításokat azért nyújtja, hogy az angol nyelvet nem beszélők minél több tartalomhoz tudjanak hozzáférni a Microsoft termékeivel, szolgáltatásaival és technológiáival kapcsolatban. A gépi fordítás miatt előfordulhat, hogy a szöveg szóhasználati, szintaktikai vagy helyesírási hibákat tartalmaz.

Ismeretek bővítése
Oktatóanyagok megismerése
Új szolgáltatások listájának lekérése
Részvétel az Office Insider programban

Hasznos volt az információ?

Köszönjük a visszajelzését!

Köszönjük visszajelzését. Jobbnak látjuk, ha az Office egyik támogatási szakemberéhez irányítjuk.

×