Melindungi akun global administrator Office 365

Ringkasan: Memproteksi langganan Office 365 Anda dari berdasarkan pada kompromi akun global administrator.

Catatan:  Kami ingin secepatnya menyediakan konten bantuan terbaru dalam bahasa Anda. Halaman ini diterjemahkan menggunakan mesin dan mungkin terdapat kesalahan tata bahasa atau masalah keakuratan. Kami bertujuan menyediakan konten yang bermanfaat untuk Anda. Dapatkah Anda memberi tahu kami apakah informasi ini bermanfaat untuk Anda di bagian bawah halaman ini? Berikut artikel dalam bahasa Inggris untuk referensi.

Pelanggaran keamanan langganan Office 365, termasuk informasi pengambilan dan serangan phising, biasanya dilakukan oleh mengorbankan kredensial akun global administrator Office 365. Keamanan di awan adalah kemitraan antara Anda dan Microsoft:

  • Layanan awan Microsoft yang dibangun di dasar kepercayaan dan keamanan. Microsoft memberi Anda kontrol keamanan dan kemampuan untuk membantu Anda melindungi data dan aplikasi.

  • Anda memiliki data Anda dan identitas dan tanggung jawab untuk memproteksi, keamanan sumber daya lokal Anda, dan keamanan awan komponen Anda mengontrol.

Microsoft menyediakan kapabilitas untuk membantu melindungi organisasi Anda, tapi mereka efektif hanya jika Anda menggunakannya. Jika Anda tidak menggunakannya, Anda mungkin akan terbuka kepada serangan. Untuk melindungi akun global administrator, Microsoft ada di sini untuk membantu Anda dengan instruksi detail untuk:

  1. Membuat akun global administrator Office 365 khusus dan menggunakannya hanya saat diperlukan.

  2. Mengonfigurasikan autentikasi multi faktor untuk akun global administrator Office 365 khusus dan menggunakan formulir kuat sekunder autentikasi.

  3. Mengaktifkan dan mengonfigurasikan keamanan aplikasi awan Office 365 untuk memantau aktivitas akun administrator global mencurigakan.

Catatan: Meskipun artikel ini difokuskan pada akun global administrator, Anda juga harus mempertimbangkan apakah tambahan akun dengan beragam izin untuk mengakses data dalam langganan Anda, seperti eDiscovery administrator atau keamanan atau kepatuhan akun administrator, harus diproteksi dengan cara yang sama.

Fase 1. Membuat akun global administrator Office 365 khusus dan menggunakannya hanya bila diperlukan

Ada relatif beberapa tugas administratif, seperti menetapkan peran ke akun pengguna yang memerlukan hak istimewa global administrator. Oleh karena itu, alih-alih menggunakan akun pengguna sehari-hari yang telah menetapkan peran global admin, lakukan langkah-langkah ini:

  1. Menentukan sekumpulan akun pengguna yang telah menetapkan peran global admin. Anda bisa melakukan ini dengan perintah ini di prompt perintah Microsoft Azure Active Directory Module untuk Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Masuk ke langganan Office 365 dengan akun pengguna yang telah ditetapkan peran global admin.

  3. Membuat setidaknya satu dan maksimal lima hingga didedikasikan akun pengguna global administrator. Gunakan kata sandi yang kuat setidaknya 12 karakter lama Menyimpan kata sandi untuk akun baru dalam lokasi aman.

  4. Menetapkan peran global admin untuk setiap akun pengguna baru khusus administrator global.

  5. Keluar dari Office 365.

  6. Masuk dengan salah satu akun pengguna administrator global khusus yang baru.

  7. Untuk setiap akun pengguna yang sudah ada yang ditetapkan peran global admin dari langkah 1:

    • Menghapus peran global admin.

    • Menetapkan peran admin untuk akun yang sesuai untuk pengguna itu fungsi pekerjaan dan tanggung jawab. Untuk informasi selengkapnya tentang berbagai peran admin di Office 365, lihat peran admin tentang Office 365.

  8. Keluar dari Office 365.

Hasil seharusnya ada:

  • Akun pengguna hanya dalam langganan Anda yang memiliki peran global admin adalah kumpulan baru akun administrator global khusus. Memverifikasi ini dengan perintah PowerShell berikut ini:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Semua akun pengguna sehari-hari lain yang mengelola langganan Anda memiliki peran admin yang ditetapkan yang terkait dengan tanggung jawab pekerjaan mereka.

Dari saat ini seterusnya, Anda masuk dengan akun administrator global khusus hanya untuk tugas yang memerlukan hak istimewa global administrator. Administrasi Office 365 lain yang harus dilakukan dengan menetapkan peran administrasi lainnya ke akun pengguna.

Catatan: Ya, ini mengharuskan langkah-langkah tambahan untuk keluar sebagai akun pengguna sehari-hari Anda dan masuk dengan akun administrator global khusus. Tapi ini hanya perlu dilakukan kadang-kadang untuk operasi global administrator. Pertimbangkan yang memulihkan langganan Office 365 setelah pelanggaran akun global administrator memerlukan lebih banyak langkah.

Fase 2. Mengonfigurasikan autentikasi multi faktor untuk akun global administrator Office 365 khusus dan menggunakan formulir kuat autentikasi sekunder

Autentikasi multi faktor (MFA) untuk akun global administrator Anda memerlukan informasi tambahan di luar nama akun dan kata sandi. Office 365 mendukung metode verifikasi berikut:

  • Panggilan telepon

  • Kode akses yang dihasilkan secara acak

  • Kartu pintar (fisik atau virtual)

  • Perangkat biometrik

Jika Anda adalah bisnis kecil yang menggunakan akun pengguna yang disimpan hanya di awan (awan identitas model), gunakan langkah-langkah ini untuk mengonfigurasi MFA menggunakan kode verifikasi pesan teks yang dikirimkan ke ponsel cerdas atau panggilan telepon:

  1. Mengaktifkan MFA.

  2. Menyiapkan verifikasi 2-langkah untuk Office 365 untuk mengonfigurasi masing-masing didedikasikan akun global administrator untuk panggilan telepon atau pesan teks sebagai metode verifikasi.

Jika Anda adalah sebuah organisasi yang lebih besar yang menggunakan Office 365 identitas model yang disinkronkan atau gabungan, Anda memiliki lebih banyak opsi verifikasi. Jika Anda telah infrastruktur keamanan untuk metode autentikasi sekunder lebih kuat, gunakan langkah-langkah ini:

  1. Mengaktifkan MFA.

  2. Menyiapkan verifikasi 2-langkah untuk Office 365 untuk mengonfigurasi masing-masing didedikasikan akun global administrator untuk metode verifikasi yang sesuai.

Jika infrastruktur keamanan untuk metode verifikasi lebih kuat yang diinginkan tidak di tempat dan berfungsi untuk Office 365 MFA, kami menyarankan Anda mengonfigurasi akun administrator global khusus dengan MFA menggunakan panggilan telepon atau pesan teks kode verifikasi yang dikirim ke ponsel cerdas untuk akun global administrator sebagai pengukuran keamanan sementara. Jangan akun administrator global khusus tanpa proteksi tambahan yang disediakan oleh MFA.

Untuk informasi selengkapnya, lihat paket untuk autentikasi multi faktor untuk Office 365 penempatan.

Untuk menyambungkan ke layanan Office 365 dengan MFA dan PowerShell, lihat artikel ini.

Fase 3. Mengaktifkan dan mengonfigurasikan keamanan aplikasi awan Office 365 untuk memantau aktivitas akun administrator global mencurigakan

Keamanan aplikasi awan Office 365 memungkinkan Anda untuk membuat kebijakan untuk memberi tahu Anda mencurigakan perilaku dalam langganan Anda. Awan aplikasi keamanan terintegrasi dengan Office 365 E5, tetapi juga tersedia sebagai layanan terpisah. Misalnya, jika Anda tidak memiliki Office 365 E5, Anda bisa membeli lisensi awan aplikasi keamanan individual untuk akun pengguna yang ditetapkan global administrator, administrator keamanan dan kepatuhan peran administrator.

Jika Anda memiliki aplikasi awan keamanan dalam langganan Office 365 Anda, gunakan langkah-langkah ini:

  1. Masuk ke portal Office 365 dengan akun yang diberi Peran Administrator keamanan atau Administrator kepatuhan.

  2. Mengaktifkan Office 365 awan aplikasi keamanan.

  3. Buat anomali pendeteksian kebijakan untuk memberi tahu Anda melalui email anomali pola istimewa administratif aktivitas.

Untuk menambahkan akun pengguna untuk peran Administrator keamanan, menyambungkan ke Office 365 PowerShell dengan akun administrator global khusus dan MFA, masukkan nama utama pengguna akun pengguna, dan lalu menjalankan perintah ini:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Untuk menambahkan akun pengguna untuk peran Administrator kepatuhan, masukkan nama utama pengguna akun pengguna, dan lalu menjalankan perintah ini:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Perlindungan tambahan untuk akun global administrator

Setelah fase 1-3, gunakan metode ini tambahan untuk memastikan bahwa akun global administrator dan konfigurasi yang Anda lakukan menggunakannya, aman mungkin.

Akses istimewa komputer (kaki)

Untuk memastikan bahwa pelaksanaan tugas sangat istimewa aman mungkin, gunakan kaki. KAKI adalah komputer khusus yang hanya digunakan untuk tugas konfigurasi sensitif, seperti Office 365 konfigurasi yang memerlukan akun global administrator. Karena komputer ini tidak digunakan sehari-hari untuk penelusuran Internet atau email, lebih baik diproteksi dari serangan Internet dan ancaman.

Untuk instruksi tentang cara menyetel kaki, lihat http://aka.ms/cyberpaw.

Manajemen identitas Azure AD istimewa (PIM)

Daripada memiliki akun global administrator Anda secara permanen diberi peran global administrator, Anda bisa menggunakan Azure AD PIM untuk mengaktifkan sesuai permintaan, hanya waktu penetapan peran global administrator saat diperlukan.

Alih-alih akun global administrator Anda menjadi admin permanen, mereka menjadi administrator memenuhi syarat. Peran global administrator dimungkinkan sampai seseorang membutuhkannya. Anda lalu selesaikan proses aktivasi untuk menambahkan peran global administrator ke akun global administrator untuk jumlah waktu yang ditentukan sebelumnya. Saat waktu berakhir, PIM menghapus peran global administrator dari akun global administrator.

Menggunakan PIM dan proses ini secara signifikan mengurangi jumlah waktu yang akun global administrator terhadap serangan dan menggunakan oleh pengguna berbahaya.

Untuk informasi selengkapnya, lihat mengonfigurasi Azure AD istimewa manajemen identitas.

Catatan: PIM tersedia dengan Azure Active Directory Premium P2, yang disertakan dengan Enterprise mobilitas + E5 keamanan (EMS), atau Anda bisa membeli lisensi individual untuk akun global administrator.

Keamanan informasi dan acara manajemen (SIEM) perangkat lunak untuk Office 365 pembuatan log

Perangkat lunak SIEM dijalankan pada server yang menjalankan real-time analisis pemberitahuan keamanan dan acara yang dibuat oleh aplikasi dan perangkat keras jaringan. Untuk memperbolehkan server SIEM Anda untuk menyertakan pemberitahuan keamanan Office 365 dan acara dalam analisis dan pelaporan fungsi, mengintegrasikan ini di sistem SIEM Anda:

Langkah berikutnya

Lihat praktik terbaik untuk Office 365.

Kembangkan keterampilan Anda
Jelajahi pelatihan
Dapatkan fitur baru terlebih dahulu
Gabung ke Office Insiders

Apakah informasi ini bermanfaat?

Terima kasih atas umpan balik Anda!

Terima kasih atas umpan balik Anda! Sepertinya menghubungkan Anda ke salah satu agen dukungan Office kami akan sangat membantu.

×