Melindungi akun global administrator Office 365

Ringkasan: Memproteksi akun global administrator dengan langkah-langkah ini.

Penting: Artikel ini adalah terjemahan mesin, lihat penafian. Temukan versi bahasa Inggris artikel di sini sebagai rujukan Anda.

Untuk lebih baik melindungi langganan Office 365 Anda berdasarkan pada kompromi akun global administrator, Anda harus melakukan berikut ini sekarang:

  1. Membuat akun global administrator Office 365 khusus dan menggunakannya hanya saat diperlukan.

  2. Mengonfigurasikan autentikasi multi faktor untuk akun global administrator Office 365 khusus dan menggunakan formulir kuat sekunder autentikasi.

  3. Mengaktifkan dan mengonfigurasikan keamanan aplikasi awan Office 365 untuk memantau aktivitas akun administrator global mencurigakan.

Pelanggaran keamanan langganan Office 365, termasuk informasi pengambilan dan serangan phising, biasanya dilakukan oleh mengorbankan kredensial akun global administrator Office 365. Keamanan di awan adalah kemitraan antara Anda dan Microsoft:

  • Layanan awan Microsoft yang dibangun di dasar kepercayaan dan keamanan. Microsoft memberi Anda kontrol keamanan dan kemampuan untuk membantu Anda melindungi data dan aplikasi.

  • Anda memiliki data Anda dan identitas dan tanggung jawab untuk memproteksi, keamanan sumber daya lokal Anda, dan keamanan awan komponen Anda mengontrol.

Untuk memproteksi diri Anda sendiri, Anda harus meletakkan di tempat kontrol dan kapabilitas yang disediakan Microsoft.

Catatan: Meskipun artikel ini difokuskan pada akun global administrator, Anda juga harus mempertimbangkan apakah tambahan akun dengan beragam izin untuk mengakses data dalam langganan Anda, seperti eDiscovery administrator atau keamanan atau kepatuhan akun administrator, harus diproteksi dengan cara yang sama.

Fase 1. Membuat akun global administrator Office 365 khusus dan menggunakannya hanya bila diperlukan

Ada relatif beberapa tugas administratif, seperti menetapkan peran ke akun pengguna yang memerlukan hak istimewa global administrator. Oleh karena itu, alih-alih menggunakan akun pengguna sehari-hari yang telah menetapkan peran global admin, lakukan hal berikut ini segera:

  1. Menentukan sekumpulan akun pengguna yang telah menetapkan peran global admin. Anda bisa melakukan ini di Office 365 PowerShell dengan perintah ini:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Masuk ke langganan Office 365 dengan akun pengguna yang telah ditetapkan peran global admin.

  3. Membuat setidaknya satu dan maksimal lima hingga didedikasikan akun pengguna global administrator. Gunakan kata sandi yang kuat setidaknya 12 karakter lama Menyimpan kata sandi untuk akun baru dalam lokasi aman.

  4. Menetapkan peran global admin untuk setiap akun pengguna baru khusus administrator global.

  5. Keluar dari Office 365.

  6. Masuk dengan salah satu akun pengguna administrator global khusus yang baru.

  7. Untuk setiap akun pengguna yang sudah ada yang ditetapkan peran global admin dari langkah 1:

    • Menghapus peran global admin.

    • Menetapkan peran admin untuk akun yang sesuai untuk pengguna itu fungsi pekerjaan dan tanggung jawab. Untuk informasi selengkapnya tentang berbagai peran admin di Office 365, lihat peran admin tentang Office 365.

  8. Keluar dari Office 365.

Hasil seharusnya hal berikut ini:

  • Akun pengguna hanya dalam langganan Anda yang memiliki peran global admin adalah kumpulan baru akun administrator global khusus. Memverifikasi ini dengan perintah PowerShell berikut ini di prompt perintah Windows Azure Active Directory Module untuk Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Semua akun pengguna sehari-hari lain yang mengelola langganan Anda memiliki peran admin yang ditetapkan yang terkait dengan tanggung jawab pekerjaan mereka.

Dari saat ini seterusnya, Anda masuk dengan akun administrator global khusus hanya untuk tugas yang memerlukan hak istimewa global administrator. Administrasi Office 365 lain yang harus dilakukan dengan menetapkan peran administrasi lainnya ke akun pengguna.

Catatan: Ya, ini mengharuskan langkah-langkah tambahan untuk keluar sebagai akun pengguna sehari-hari Anda dan masuk dengan akun administrator global khusus. Tapi ini hanya perlu dilakukan kadang-kadang untuk operasi global administrator. Pertimbangkan yang memulihkan langganan Office 365 setelah pelanggaran akun global administrator memerlukan lebih banyak langkah.

Fase 2. Mengonfigurasikan autentikasi multi faktor untuk akun global administrator Office 365 khusus dan menggunakan formulir kuat autentikasi sekunder

Autentikasi multi faktor (MFA) untuk akun global administrator Anda memerlukan informasi tambahan di luar nama akun dan kata sandi. Office 365 mendukung metode verifikasi berikut ini:

  • Panggilan telepon

  • Kode akses yang dihasilkan secara acak

  • Kartu pintar (fisik atau virtual)

  • Perangkat biometrik

Jika Anda adalah bisnis kecil yang menggunakan akun pengguna yang disimpan hanya di awan (awan identitas model), lakukan hal berikut ini segera untuk mengonfigurasi MFA menggunakan panggilan telepon atau kode verifikasi teks pesan dikirim ke ponsel cerdas:

  1. Mengaktifkan MFA.

  2. Menyiapkan verifikasi 2-langkah untuk Office 365 untuk mengonfigurasi masing-masing didedikasikan akun global administrator untuk panggilan telepon atau pesan teks sebagai metode verifikasi.

Jika Anda adalah sebuah organisasi yang lebih besar yang menggunakan Office 365 identitas model yang disinkronkan atau gabungan, Anda memiliki lebih banyak opsi verifikasi. Jika Anda sudah infrastruktur keamanan untuk metode autentikasi sekunder lebih kuat, lakukan hal berikut ini segera:

  1. Mengaktifkan MFA.

  2. Menyiapkan verifikasi 2-langkah untuk Office 365 untuk mengonfigurasi masing-masing didedikasikan akun global administrator untuk metode verifikasi yang sesuai.

Jika infrastruktur keamanan untuk metode verifikasi lebih kuat yang diinginkan tidak di tempat dan berfungsi untuk Office 365 MFA, kami menyarankan agar Anda segera mengonfigurasi akun administrator global khusus dengan MFA menggunakan panggilan telepon atau teks kode verifikasi pesan dikirim ke ponsel cerdas untuk akun global administrator sebagai pengukuran keamanan sementara. Jangan akun administrator global khusus tanpa proteksi tambahan yang disediakan oleh MFA.

Untuk informasi selengkapnya, lihat paket untuk autentikasi multi faktor untuk Office 365 penempatan.

Untuk menyambungkan ke layanan Office 365 dengan MFA dan PowerShell, lihat artikel ini.

Fase 3. Mengaktifkan dan mengonfigurasikan keamanan aplikasi awan Office 365 untuk memantau aktivitas akun administrator global mencurigakan

Keamanan aplikasi awan Office 365 memungkinkan Anda untuk membuat kebijakan untuk memberi tahu Anda mencurigakan perilaku dalam langganan Anda. Awan aplikasi keamanan terintegrasi dengan Office 365 E5, tetapi juga tersedia sebagai layanan terpisah. Misalnya, jika Anda tidak memiliki Office 365 E5, Anda bisa membeli lisensi awan aplikasi keamanan individual untuk akun pengguna yang ditetapkan global administrator, administrator keamanan dan kepatuhan peran administrator.

Jika Anda memiliki aplikasi awan keamanan dalam langganan Office 365 Anda, lakukan hal berikut ini segera:

  1. Masuk ke portal Office 365 dengan akun yang diberi Peran Administrator keamanan atau Administrator kepatuhan.

  2. Mengaktifkan Office 365 awan aplikasi keamanan.

  3. Buat anomali pendeteksian kebijakan untuk memberi tahu Anda melalui email anomali pola istimewa administratif aktivitas.

Untuk menambahkan akun pengguna untuk peran Administrator keamanan, menyambungkan ke Office 365 PowerShell dengan akun administrator global khusus dan MFA, masukkan nama utama pengguna akun pengguna, dan lalu jalankan langkah berikut perintah:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Untuk menambahkan akun pengguna untuk peran Administrator kepatuhan, masukkan nama utama pengguna akun pengguna, dan lalu jalankan perintah berikut ini:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Perlindungan tambahan untuk akun global administrator

Setelah fase 1-3, gunakan metode ini tambahan untuk memastikan bahwa akun global administrator dan konfigurasi yang Anda lakukan menggunakannya, aman mungkin.

Akses istimewa komputer (kaki)

Untuk memastikan bahwa pelaksanaan tugas sangat istimewa aman mungkin, gunakan kaki. KAKI adalah komputer khusus yang hanya digunakan untuk tugas konfigurasi sensitif, seperti Office 365 konfigurasi yang memerlukan akun global administrator. Karena komputer ini tidak digunakan sehari-hari untuk penelusuran Internet atau email, lebih baik diproteksi dari serangan Internet dan ancaman.

Untuk instruksi tentang cara menyetel kaki, lihat http://aka.ms/cyberpaw.

Manajemen identitas Azure AD istimewa (PIM)

Daripada memiliki akun global administrator Anda secara permanen diberi peran global administrator, Anda bisa menggunakan Azure AD PIM untuk mengaktifkan sesuai permintaan, hanya waktu penetapan peran global administrator saat diperlukan.

Alih-alih akun global administrator Anda menjadi admin permanen, mereka menjadi admin memenuhi syarat. Peran global administrator dimungkinkan sampai seseorang membutuhkannya. Anda lalu selesaikan proses aktivasi untuk menambahkan peran global administrator ke akun global administrator untuk jumlah waktu yang ditentukan sebelumnya. Saat waktu berakhir, PIM menghapus peran global administrator dari akun global administrator.

Menggunakan PIM dan proses ini secara signifikan mengurangi jumlah waktu yang akun global administrator terhadap serangan dan menggunakan oleh pengguna berbahaya.

Untuk informasi selengkapnya, lihat mengonfigurasi Azure AD istimewa manajemen identitas.

Catatan: PIM tersedia dengan Azure Active Directory Premium P2, yang disertakan dengan Enterprise mobilitas + E5 keamanan (EMS), atau Anda bisa membeli lisensi individual untuk akun global administrator.

Keamanan informasi dan acara manajemen (SIEM) perangkat lunak untuk Office 365 pembuatan log

Perangkat lunak SIEM dijalankan pada server yang menjalankan real-time analisis pemberitahuan keamanan dan acara yang dibuat oleh aplikasi dan perangkat keras jaringan. Untuk memperbolehkan server SIEM Anda untuk menyertakan pemberitahuan keamanan Office 365 dan acara dalam analisis dan pelaporan fungsi, mengintegrasikan hal berikut ini di sistem SIEM Anda:

Langkah berikutnya

Lihat praktik terbaik untuk Office 365.

Catatan: Penafian Terjemahan Mesin: Artikel ini telah diterjemahan oleh sistem komputer tanpa campur tangan manusia. Microsoft menawarkan terjemahan mesin ini untuk membantu pengguna yang bukan penutur bahasa Inggris agar dapat menikmati konten tentang produk, layanan, dan teknologi Microsoft. Karena artikel ini diterjemahkan oleh mesin, mungkin akan terdapat kesalahan kosa kata, sintaksis, atau tata bahasa.

Kembangkan keterampilan Anda
Jelajahi pelatihan
Dapatkan fitur baru terlebih dahulu
Gabung ke Office Insiders

Apakah informasi ini bermanfaat?

Terima kasih atas umpan balik Anda!

Terima kasih atas umpan balik Anda! Sepertinya menghubungkan Anda ke salah satu agen dukungan Office kami akan sangat membantu.

×