Proteggere gli account di amministratore globale di Office 365

Nota:  Riteniamo importante fornire il contenuto della Guida più recente non appena possibile, nella lingua dell'utente. Questa pagina è stata tradotta automaticamente e potrebbe contenere errori di grammatica o imprecisioni. L'intento è quello di rendere fruibile il contenuto. Nella parte inferiore della pagina è possibile indicare se le informazioni sono risultate utili. Questo è l' articolo in lingua inglese per riferimento.

Riepilogo: Proteggere l'abbonamento a Office 365 da attacchi in violazione di un account di amministratore globale.

Le violazioni della sicurezza di un abbonamento a Office 365, tra cui la raccolta di informazioni e gli attacchi di phishing, sono generalmente rese possibili dalla compromissione delle credenziali di un account di amministratore globale di Office 365. La sicurezza nel cloud dipende dalla collaborazione tra l'utente e Microsoft:

  • I servizi cloud Microsoft si fondano su un principio di fiducia e sicurezza. Microsoft fornisce controlli e funzionalità di sicurezza che consentono di proteggere i dati e le applicazioni.

  • I dati e le identità dell'utente appartengono all'utente stesso, che è responsabile della loro protezione, della sicurezza delle risorse locali e della sicurezza dei componenti cloud sotto il suo controllo.

Microsoft offre funzionalità per proteggere l'organizzazione, ma sono efficienti solo se si utilizza. Se non si utilizza loro, potrebbe essere esposta ad attacchi. Per proteggere gli account di amministratore globale, Microsoft ha più facilmente le istruzioni dettagliate per:

  1. Creare account di amministratore globale di Office 365 dedicati e usarli solo quando necessario.

  2. Configurare l'autenticazione a più fattori per gli account di amministratore globale di Office 365 dedicati e usare il tipo più sicuro di autenticazione secondaria.

  3. Abilitare e configurare Office 365 Cloud App sicurezza per verificare la presenza di attività dell'account di amministratore globale sospetto.

Nota: Anche se in questo articolo è incentrato su account di amministratore globale, è necessario prendere in considerazione anche se altri account con autorizzazioni ampie per accedere ai dati nel proprio abbonamento, ad esempio eDiscovery amministratore o sicurezza o conformità nello stesso modo, è necessario proteggere gli account di amministratore.

Passaggio 1. Creare account di amministratore globale di Office 365 dedicato e utilizzarli solo quando necessario

Esistono poche attività amministrative, ad esempio l'assegnazione di ruoli agli account utente, che richiedono privilegi di amministratore globale. Di conseguenza, invece di usare gli account utente quotidiane che sono stati assegnati al ruolo amministratore globale, eseguire le operazioni seguenti:

  1. Determinare il set di account utente che sono stati assegnati al ruolo amministratore globale. È possibile eseguire questa operazione con questo comando al prompt dei comandi di Microsoft Azure Active Directory modulo per Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Accedere all'abbonamento a Office 365 con un account utente a cui è stato assegnato il ruolo di amministratore globale.

  3. Creare almeno un e fino a un massimo di cinque dedicato agli account utente di amministratore globale. Utilizzare password complesse almeno 12 caratteri lungo Per ulteriori informazioni, vedere creare una password complessa . Archiviare le password per i nuovi account in un percorso sicuro.

  4. Assegnare il ruolo di amministratore globale a tutti i nuovi account utente di amministratore globale dedicati.

  5. Disconnettersi da Office 365.

  6. Eseguire l'accesso con uno dei nuovi account utente di amministratore globale dedicati.

  7. Per ogni account utente esistente a cui era stato assegnato il ruolo di amministratore globale nel passaggio 1:

    • Rimuovere il ruolo di amministratore globale.

    • Assegnare ruoli di amministratore per l'account che sono appropriate per la funzione e responsabilità dell'utente. Per ulteriori informazioni sui vari ruoli di amministratore in Office 365, vedere i ruoli di amministratore su Office 365.

  8. Disconnettersi da Office 365.

Il risultato sarà:

  • Gli account utente solo nell'abbonamento che hanno il ruolo di amministratore globale sono il nuovo set di account di amministratore globale dedicato. Verificarlo con il comando PowerShell seguente:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • A tutti gli altri account utente quotidiani che consentono di gestire l'abbonamento sono assegnati ruoli di amministrazione appropriati in base ai ruoli professionali.

Da questo momento in avanti si eseguirà l'accesso con gli account di amministratore globale dedicati solo per le attività che richiedono i privilegi di amministratore globale. Tutte le altre attività amministrative di Office 365 devono essere effettuate assegnando altri ruoli di amministrazione agli account utente.

Nota: È vero che sono necessari alcuni passaggi supplementari per disconnettersi dall'account utente quotidiano e accedere con un account di amministratore globale dedicato, ma questa operazione deve essere effettuata solo raramente, per specifiche attività dell'amministratore globale. Si tenga presente che il ripristino di un abbonamento a Office 365 dopo una violazione dell'account di amministratore globale è una procedura decisamente più lunga.

Passaggio 2. Configurare l'autenticazione a più fattori per gli account di amministratore globale di Office 365 dedicati e usare la forma più avanzata di autenticazione secondaria

Autenticazione a più fattori (MFA) per gli account di amministratore globale richiede informazioni aggiuntive oltre il nome dell'account e la password. Office 365 supporta i metodi di verifica:

  • Una telefonata

  • Un passcode generato casualmente

  • Una smart card virtuale o fisica

  • Un dispositivo biometrico

Se si è una piccola azienda che utilizza account utente memorizzati solo nel cloud (il modello di identità cloud), utilizzare la procedura seguente per configurare MFA tramite un codice di verifica messaggio di testo inviato a uno Smartphone o una chiamata telefonica:

  1. Abilitare l'autenticazione a più fattori.

  2. Configurare la verifica in due passaggi per Office 365 per configurare ogni account di amministratore globale dedicato per la telefonata o l'SMS come metodo di verifica.

Se si è una più grande organizzazione che utilizza un modello di identità di Office 365 ibrido, si dispone di altre opzioni di verifica. Se si dispone già l'infrastruttura di protezione in posizione per un metodo di autenticazione secondaria avanzato, utilizzare la procedura seguente:

  1. Abilitare l'autenticazione a più fattori.

  2. Configurare la verifica in due passaggi per Office 365 per configurare ogni account di amministratore globale dedicato per il metodo di verifica appropriato.

Se l'infrastruttura di protezione per il metodo di verifica più complessa desiderato non è disponibile nella posizione e il funzionamento di Office 365 MFA, è consigliabile configurare gli account di amministratore globale dedicato con MFA con un messaggio di testo o una chiamata telefonica codice di verifica inviati a uno Smartphone per gli account di amministratore globale come una misura di sicurezza provvisorio. Non lasciare gli account di amministratore globale dedicato senza la protezione aggiuntiva fornita da MFA.

Per ulteriori informazioni, vedere pianificare l'autenticazione a più fattori per le installazioni di Office 365.

Per connettersi ai servizi di Office 365 con l'autenticazione a più fattori e PowerShell, vedere questo articolo.

Passaggio 3. Monitor per attività dell'account di amministratore globale sospetti

Sicurezza di Office 365 Cloud App consente di creare criteri per la notifica da comportamenti sospetti nell'abbonamento. Protezione App cloud integrata in Office 365 E5, ma è anche disponibile come servizio separato. Ad esempio, se non si dispone di Office 365 E5, è possibile acquistare le singole licenze Cloud App sicurezza per gli account utente che vengono assegnati l'amministratore globale, amministratore della sicurezza e i ruoli di amministratore di conformità.

Se si dispone di protezione App Cloud nell'abbonamento a Office 365, usare la procedura seguente:

  1. Accedere al portale di Office 365 con un account che viene assegnato il ruolo di amministratore di sicurezza o conformità.

  2. Attivare la sicurezza di Office 365 Cloud App.

  3. Esaminare i criteri di rilevamento anomalia per l'invio di una notifica tramite posta elettronica di anomali modelli dell'attività amministrative privilegi.

Per aggiungere un account utente per il ruolo di amministratore di sicurezza, connettersi a Office 365 PowerShell con un account di amministratore globale dedicato e MFA, inserire il nome dell'entità utente dell'account utente e quindi eseguire questi comandi:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Per aggiungere un account utente per il ruolo di amministratore di conformità, inserire il nome dell'entità utente dell'account utente e quindi eseguire questi comandi:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Altri tipi di protezione per le organizzazioni enterprise

Dopo i passaggi 1-3, utilizzano questi metodi aggiuntivi per assicurarsi che l'account di amministratore globale e la configurazione eseguita usarlo, è più possibile protetti.

Accesso con privilegi Workstation (IMPRONTE)

Per assicurarsi che l'esecuzione di attività privilegi elevati è più possibile sicuro, utilizzare un IMPRONTE. Un IMPRONTE è un computer dedicato viene utilizzato solo per le attività di configurazione riservate, ad esempio configurazione di Office 365 che richiede un account di amministratore globale. Poiché il computer non viene utilizzato ogni giorno per l'esplorazione di Internet o di posta elettronica, è più protetto da minacce e attacchi via Internet.

Per istruzioni su come configurare un IMPRONTE, vedere http://aka.ms/cyberpaw.

Gestione delle identità di Azure Active Directory privilegi (PIM)

Anziché gli account di amministratore globale in modo permanente venga assegnato il ruolo di amministratore globale, è possibile utilizzare PIM di Azure Active Directory per abilitare l'assegnazione in entrata, su richiesta del ruolo amministratore globale quando è necessario.

Invece gli account di amministratore globale da un amministratore permanente, diventano amministratori idonei. Il ruolo di amministratore globale è inattivo fino a un utente deve. È quindi completare il processo di attivazione per aggiungere il ruolo di amministratore globale per l'account di amministratore globale per un periodo di tempo predeterminato. Quando scade l'ora, il ruolo di amministratore globale PIM rimuove l'account di amministratore globale.

Uso PIM e questo processo riduce notevolmente la quantità di tempo che gli account di amministratore globale sono soggetti a attacchi e utilizzare da utenti malintenzionati.

Per ulteriori informazioni, vedere configurare Azure Active Directory privilegi di gestione delle identità.

Nota: PIM è disponibile con Azure Active Directory Premium P2, che viene fornito con mobilità aziendale + E5 di sicurezza (EMS), oppure è possibile acquistare licenze per singoli utenti per gli account di amministratore globale.

Sicurezza informazioni e l'evento (SIEM) software per la gestione per la registrazione di Office 365

Software SIEM eseguire su un server esegue l'analisi in tempo reale di avvisi di sicurezza e gli eventi creati da applicazioni e componenti hardware di rete. Per consentire il server SIEM includere gli avvisi di sicurezza di Office 365 ed eventi nell'analisi e report di funzioni, integrare questi elementi in sistema di SIEM:

Passaggio successivo

Vedere le procedure consigliate per Office 365.

Amplia le tue competenze su Office
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa al programma Office Insider

Queste informazioni sono risultate utili?

Grazie per il feedback!

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×