Apsaugokite savo "Office 365" visuotinio administratoriaus paskyros

Suvestinė: Apsaugoti jūsų visuotinio administratoriaus paskyros, atlikdami toliau nurodytus veiksmus.

Svarbu :  Šis straipsnis išverstas naudojant mašininį vertimą, žr. atsakomybės atsisakymą. Su šio straipsnio versija anglų kalba galite susipažinti čia .

Norėdami geriau apsaugoti nuo atakų pagal kompromisu viešojo administratoriaus abonementą, "Office 365" prenumeratą, turite atlikti į tokius dabar:

  1. Skirta "Office 365" visuotinio administratoriaus abonementų kūrimas ir naudokite juos tik tada, kai reikia.

  2. Kelių dalių autentifikavimo konfigūravimas skirta "Office 365" visuotinio administratoriaus paskyros ir naudokite labiausiai formos, antrinės autentifikavimą.

  3. Įgalinti ir konfigūruoti Office 365 debesies taikomosios programos saugos įtartinų visuotinio administratoriaus paskyros veiklai stebėti.

"Office 365" prenumeratą, informacijos surinkimo ir sukčiavimo apsimetant atakų, saugos pažeidimus paprastai atlieka grėsmės "Office 365" visuotinio administratoriaus abonemento kredencialus. Saugos debesyje – tai jūs ir "Microsoft":

  • "Microsoft" debesies tarnybų sukurtos ant pamatų patikimumo ir saugos. "Microsoft" teikia saugumo kontrolė ir funkcinės galimybės, kurie padės jums apsaugoti savo duomenis ir taikomąsias programas.

  • Galite savo duomenų ir tapatybės ir atsakomybę už jas, vietinių išteklių sauga ir saugos debesies komponentų galite valdyti.

Apsisaugoti, kuriuos turi įdiegti valdiklius ir galimybes, kad "Microsoft" teikia.

Pastaba : Nors šis straipsnis skirtas visuotinio administratoriaus paskyros, taip pat turėtumėte ar papildomas sąskaitų su plačiai teise pasiekti šiuos duomenis į jūsų prenumeratą, pvz., elektroninis administratoriaus arba saugos arba atitikties administratoriaus abonementus, turėtų būti apsaugoti taip pat.

1 etapas. Skirta "Office 365" visuotinio administratoriaus abonementų kūrimas ir naudokite juos tik tada, kai reikia

Šiuo metu palyginti nedaug administravimo užduotis, pvz., vartotojų abonementams, kuriems reikia visuotinio administratoriaus vaidmenų priskyrimas. Todėl vietoj kasdien vartotojų abonementai, priskirtų visuotinio administratoriaus vaidmenį, atlikite šiuos veiksmus iš karto:

  1. Nustatyti vartotojų abonementai, priskirtų bendrojo administravimo vaidmuo rinkinį. Tai galite padaryti "PowerShell" Office 365 "su šią komandą:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Prisijunkite prie "Office 365" prenumeratą, vartotojo abonementą, kuriam priskirta bendrojo administravimo vaidmuo.

  3. Sukurkite bent vieną ir ne daugiau kaip penkiuose skirta visuotinis administratorius vartotojų abonementai. Naudokite sudėtingus slaptažodžius bent 12 simbolių ilga Naujų paskyrų slaptažodžių saugojimas saugioje vietoje.

  4. Bendrojo administravimo vaidmuo priskirti kiekvienai naujas specialus visuotinis administratorius vartotojų paskyras.

  5. Atsijunkite nuo "Office 365".

  6. Prisijunkite naudodami vieną iš naujų specialus visuotinis administratorius vartotojo abonementų.

  7. Už kiekvieno vartotojo abonementą, buvo paskirtas bendrojo administravimo vaidmuo nuo 1-as žingsnis:

    • Pašalinkite bendrojo administravimo vaidmuo.

    • Administratoriaus vaidmenų priskyrimas abonementą, vartotojo darbo funkcijos ir atsakomybė. Daugiau informacijos apie įvairių "Office 365" administravimo vaidmenys, ieškokite apie "Office 365" administratoriaus vaidmenys.

  8. Atsijunkite nuo "Office 365".

Rezultatas turi atrodyti taip:

  • Tik vartotojų paskyras į jūsų prenumeratą, kuriuose yra bendrojo administravimo vaidmuo yra naujas specialus visuotinio administratoriaus paskyroms. Patikrinkite, ar tai naudojant komandą "PowerShell" Windows Azure Active Directory modulis for Windows PowerShell komandų eilutę:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Kitų kasdienio vartotojo abonementų, tvarkyti savo prenumeratą yra priskirtos administratoriaus vaidmenys, kurios susietos su savo darbo užduotys.

Iš šiuo metu pirmyn, prisijungiate naudodami specialią visuotinio administratoriaus paskyrą tik užduotis, kurioms reikia visuotinio administratoriaus teises. Kitų "Office 365" administravimo turi atlikti kitus administravimo Vaidmenų priskyrimas vartotojų abonementams.

Pastaba : Taip, tai reikalauja papildomų veiksmų, kaip kasdien vartotojo abonemento atsijunkite ir prisijunkite naudodami skirta visuotinio administratoriaus abonementą. Tačiau tai tik reikia atlikti kartais visuotinis administratorius operacijų. Mano, kad atkūrimas "Office 365" prenumeratą, kai visuotinio administratoriaus abonemento pažeidimą reikalauja daug daugiau veiksmų.

2 etapas. Kelių dalių autentifikavimo konfigūravimas skirta "Office 365" visuotinio administratoriaus paskyros ir labiausiai formos, antrinės autentifikavimo naudojimas

Kelių dalių autentifikavimas (MFP) visuotinio administratoriaus abonementams reikia papildomos informacijos be abonemento vardą ir slaptažodį. "Office 365" palaiko šių tikrinimo metodų:

  • Telefono skambutis

  • Atsitiktinai sugeneruotas kodas

  • Intelektualioji kortelė (virtuali arba fizinė)

  • Biometrinis įrenginys

Jei esate maža įmonė, kuri naudoja vartotojų abonementai, saugomi tik debesyje (cloud tapatybės modelis), atlikite šiuos veiksmus iš karto konfigūruoti kDa telefonu arba teksto pranešimų patvirtinimo kodą siunčiami išmaniajame telefone:

  1. Įgalinti MFP.

  2. Nustatyti "Office 365" 2 veiksmais sukonfigūruoti kiekvieno skirta viešojo administratoriaus abonementą telefonu ar tekstiniu pranešimu kaip tikrinimo metodą.

Jei esate didesnis organizacija, kuri naudoja sinchronizuota arba susietų "Office 365" tapatybės modelių, turite daugiau tikrinimo parinktys. Jei saugos infrastruktūra jau turite sukurti sudėtingesnį antrinės autentifikavimo metodą, atlikite šiuos veiksmus iš karto:

  1. Įgalinti MFP.

  2. Nustatyti "Office 365" 2 veiksmais sukonfigūruoti kiekvieno skirta atitinkamą tikrinimo metodą visuotinio administratoriaus abonementą.

Jei saugos infrastruktūra norimą sudėtingesnį tikrinimo metodą ir veikimo Office 365 kDa, rekomenduojame iš karto sukonfigūruoti skirta visuotinio administratoriaus paskyros su MFP telefonu arba teksto pranešimo patvirtinimo kodą siųsti išmaniajame telefone visuotinis administratorius paskyrų laikinai saugos priemonę. KDa teikiamos papildomos apsaugos nepalikite paskyrų specialus visuotinis administratorius.

Daugiau informacijos rasite "Office 365 diegti" kelių dalių autentifikavimo planas.

Norėdami prisijungti prie "Office 365" tarnybų MFP ir "PowerShell", ieškokite šio straipsnio.

3 etapas. Įgalinti ir konfigūruoti Office 365 debesies taikomosios programos saugos įtartinų visuotinio administratoriaus paskyros veiklai stebėti

"Office 365" debesies taikomosios programos sauga leidžia kurti strategijas apie įtartinų veikimas prenumeratą. Debesies taikomosios programos sauga yra įtaisytos Office 365 E5, tačiau taip pat galima naudoti kaip atskirą paslaugą. Pavyzdžiui, jei neturite Office 365 E5, galite įsigyti atskirų vartotojų paskyras, priskirtas visuotinis administratorius, saugos administratoriaus ir atitikimo administratoriaus vaidmenys debesies taikomosios programos saugos licencijų.

Jei turite "Office 365" prenumeratą, atlikite šiuos veiksmus iš kartodebesies taikomosios programos sauga:

  1. Prisijungimas prie "Office 365" portalo naudodami abonementą, priskirtą saugos administratoriaus ar atitikimo administratoriaus vaidmenį.

  2. Įjunkite taikomąją programą "Office 365 debesies" saugos.

  3. Kurti problemą aptikimo strategijų perspėtų jus paštu nenormalu privilegijuotu administravimo veiklos modelius.

Vartotojo abonemento įtraukimas į saugos administratoriaus vaidmenį, prisijungti prie "PowerShell" Office 365 " , skirta visuotinio administratoriaus abonementą ir MFP, įveskite vartotojo vardą, vartotojo abonementą ir tada vykdykite šias komandas komandos:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Vartotojo abonemento įtraukimas į atitikties administratoriaus vaidmenį, įveskite vartotojo vardą, vartotojo paskyra, ir tada vykdykite šias komandas:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Papildomo apsaugos visuotinis administratorius paskyrų

Po 1 – 3 etapus naudoti šių papildomų būdų užtikrinti, kad jūsų visuotinio administratoriaus abonementą ir konfigūraciją, kurį atliekate ją naudoti, yra kaip saugų įmanoma.

Privilegijos naudotis darbo vieta (PAW)

Siekiant užtikrinti, kad itin privilegijuotu užduočių vykdymo yra saugūs, kaip įmanoma, naudokite PAW. PAW yra specialus kompiuteryje, kuriame naudojama tik slaptos konfigūravimo užduotis, pvz., "Office 365" konfigūraciją, kuris reikalauja viešojo administratoriaus abonementą. Kadangi šio kompiuterio kasdien nenaudojama interneto ar elektroninio pašto, jį geriau apsaugoti nuo interneto atakų ir grėsmių.

Instrukcijos, kaip nustatyti, kad PAW, rasite http://aka.ms/cyberpaw.

Azure AD speciali vieta tapatybės valdymas (PIM)

Užuot "visuotinis administratorius" abonementus visam laikui priskiriamos visuotinio administratoriaus vaidmenį, galite naudoti Azure AD PIM įgalinti pareikalavus, tiesiog laiko priskyrimas visuotinio administratoriaus vaidmenį, kai reikia.

Vietoj "visuotinis administratorius" abonementus yra nuolatinį, jie tampa teisę administratoriai. Visuotinio administratoriaus vaidmenį neaktyvus, kol kas nors reikia. Jūs užbaigti aktyvinimo proceso metu pridėti visuotinio administratoriaus vaidmenį visuotinio administratoriaus abonementą už iš anksto nustatytą laiką. Kai laikas baigiasi, PIM pašalina visuotinio administratoriaus vaidmenį visuotinio administratoriaus abonementą.

Naudojant PIM ir šio proceso sumažina laikas, ataka ir naudoti kenkėjiškų vartotojų paskyrų visuotinis administratorius.

Daugiau informacijos ieškokite konfigūravimas Azure AD privilegijuotu tapatybės valdymas.

Pastaba : PIM pasiekiama naudojant Azure Active Directory Premium P2, kuri yra įtraukta į įmonės mobilumo + saugos (EMS) E5, arba galite įsigyti atskirą licencijų jūsų visuotinio administratoriaus abonementą.

Saugos informacijos ir renginių valdymo (SIEM) programinę įrangą "Office 365" registravimas

SIEM programinės įrangos paleisti serveryje atlieka realiuoju laiku saugos įspėjimų ir taikomųjų programų ir tinklo aparatūros įvykių analizė. Leisti savo SIEM serverio į "Office 365" saugos įspėjimų ir įvykių analizę ir ataskaitų funkcijos, SIEM sistemoje integruoti šiuos veiksmus:

Kitas veiksmas

Peržiūrėkite "Office 365" saugos geriausia praktika.

Pastaba : Mašininio vertimo atsakomybės atsisakymas: Šis straipsnis išverstas naudojant kompiuterinę sistemą be žmogaus įsikišimo. „Microsoft“ pateikia šiuos mašininius vertimus norėdama padėti anglų kalbos nesuprantantiems vartotojams perskaityti turinį apie „Microsoft“ produktus, paslaugas ir technologijas. Šis straipsnis išverstas mašininio vertimo būdu, todėl jame gali būti žodyno, sintaksės ar gramatikos klaidų.

Tobulinkite savo įgūdžius
Ieškoti mokymo
Pirmiausia gaukite naujų funkcijų
Prisijunkite prie „Office Insider“ dalyvių

Ar ši informacija buvo naudinga?

Dėkojame už jūsų atsiliepimus!

Dėkojame už jūsų atsiliepimą! Panašu, kad gali būti naudinga jus sujungti su vienu iš mūsų „Office“ palaikymo agentų.

×