Apsaugokite savo "Office 365" visuotinio administratoriaus paskyros

Pastaba:  Norėtume jums kuo greičiau pateikti naujausią žinyno turinį jūsų kalba. Šis puslapis išverstas automatiškai, todėl gali būti gramatikos klaidų ar netikslumų. Mūsų tikslas – padaryti, kad šis turinys būtų jums naudingas. Gal galite šio puslapio apačioje mums pranešti, ar informacija buvo naudinga? Čia yra straipsnis anglų kalba , kuriuo galite pasinaudoti kaip patogia nuoroda.

Suvestinė: Apsaugoti "Office 365" prenumeratą iš atakų pagal kompromisu, viešojo administratoriaus abonementą.

"Office 365" prenumeratą, informacijos surinkimo ir sukčiavimo apsimetant atakų, saugos pažeidimus paprastai atlieka grėsmės "Office 365" visuotinio administratoriaus abonemento kredencialus. Saugos debesyje – tai jūs ir "Microsoft":

  • "Microsoft" debesies tarnybų sukurtos ant pamatų patikimumo ir saugos. "Microsoft" teikia saugumo kontrolė ir funkcinės galimybės, kurie padės jums apsaugoti savo duomenis ir taikomąsias programas.

  • Galite savo duomenų ir tapatybės ir atsakomybę už jas, vietinių išteklių sauga ir saugos debesies komponentų galite valdyti.

"Microsoft" teikia galimybes, siekdami apsaugoti jūsų organizacija, bet jos yra veiksmingas tik tada, jei juos naudoti. Jei naudoti juos, jums gali būti pažeisti ataka. Norėdami apsaugoti savo visuotinio administratoriaus paskyros, "Microsoft" yra čia padėti jums su išsamiomis instrukcijomis, kad:

  1. Skirta "Office 365" visuotinio administratoriaus abonementų kūrimas ir naudokite juos tik tada, kai reikia.

  2. Kelių dalių autentifikavimo konfigūravimas skirta "Office 365" visuotinio administratoriaus paskyros ir naudokite labiausiai formos, antrinės autentifikavimą.

  3. Įgalinti ir konfigūruoti Office 365 debesies taikomosios programos saugos įtartinų visuotinio administratoriaus paskyros veiklai stebėti.

Pastaba: Nors šis straipsnis skirtas visuotinio administratoriaus paskyros, taip pat turėtumėte ar papildomas sąskaitų su plačiai teise pasiekti šiuos duomenis į jūsų prenumeratą, pvz., elektroninis administratoriaus arba saugos arba atitikties administratoriaus abonementus, turėtų būti apsaugoti taip pat.

1 veiksmas. Skirta "Office 365" visuotinio administratoriaus abonementų kūrimas ir naudokite juos tik tada, kai reikia

Šiuo metu palyginti nedaug administravimo užduotis, pvz., vartotojų abonementams, kuriems reikia visuotinio administratoriaus vaidmenų priskyrimas. Todėl, užuot naudoję priskirtų bendrojo administravimo vaidmuo kasdien vartotojų abonementai, atlikite šiuos veiksmus:

  1. Nustatyti vartotojų abonementai, priskirtų bendrojo administravimo vaidmuo rinkinį. Tai galite atlikti naudodami šią komandą į "Microsoft Azure Active Directory Module for Windows PowerShell" komandų eilutę:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Prisijunkite prie "Office 365" prenumeratą, vartotojo abonementą, kuriam priskirta bendrojo administravimo vaidmuo.

  3. Sukurkite bent vieną ir ne daugiau kaip penkiuose skirta visuotinis administratorius vartotojų abonementai. Naudokite sudėtingus slaptažodžius bent 12 simbolių ilga Daugiau informacijos rasite kurti sudėtingą slaptažodį . Naujų paskyrų slaptažodžių saugojimas saugioje vietoje.

  4. Bendrojo administravimo vaidmuo priskirti kiekvienai naujas specialus visuotinis administratorius vartotojų paskyras.

  5. Atsijunkite nuo "Office 365".

  6. Prisijunkite naudodami vieną iš naujų specialus visuotinis administratorius vartotojo abonementų.

  7. Už kiekvieno vartotojo abonementą, buvo paskirtas bendrojo administravimo vaidmuo nuo 1-as žingsnis:

    • Pašalinkite bendrojo administravimo vaidmuo.

    • Administratoriaus vaidmenų priskyrimas abonementą, vartotojo darbo funkcijos ir atsakomybė. Daugiau informacijos apie įvairių "Office 365" administravimo vaidmenys, ieškokite apie "Office 365" administratoriaus vaidmenys.

  8. Atsijunkite nuo "Office 365".

Rezultatas turėtų būti:

  • Tik vartotojų paskyras į jūsų prenumeratą, kuriuose yra bendrojo administravimo vaidmuo yra naujas specialus visuotinio administratoriaus paskyroms. Patikrinkite, ar tai su "PowerShell" komandą:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Kitų kasdienio vartotojo abonementų, tvarkyti savo prenumeratą yra priskirtos administratoriaus vaidmenys, kurios susietos su savo darbo užduotys.

Iš šiuo metu pirmyn, prisijungiate naudodami specialią visuotinio administratoriaus paskyrą tik užduotis, kurioms reikia visuotinio administratoriaus teises. Kitų "Office 365" administravimo turi atlikti kitus administravimo Vaidmenų priskyrimas vartotojų abonementams.

Pastaba: Taip, tai reikalauja papildomų veiksmų, kaip kasdien vartotojo abonemento atsijunkite ir prisijunkite naudodami skirta visuotinio administratoriaus abonementą. Tačiau tai tik reikia atlikti kartais visuotinis administratorius operacijų. Mano, kad atkūrimas "Office 365" prenumeratą, kai visuotinio administratoriaus abonemento pažeidimą reikalauja daug daugiau veiksmų.

2 veiksmas. Kelių dalių autentifikavimo konfigūravimas skirta "Office 365" visuotinio administratoriaus paskyros ir labiausiai formos, antrinės autentifikavimo naudojimas

Kelių dalių autentifikavimas (MFP) visuotinio administratoriaus abonementams reikia papildomos informacijos be abonemento vardą ir slaptažodį. "Office 365" palaiko šių tikrinimo būdų:

  • Telefono skambutis

  • Atsitiktinai sugeneruotas kodas

  • Intelektualioji kortelė (virtuali arba fizinė)

  • Biometrinis įrenginys

Jei esate maža įmonė, kuri naudoja vartotojų abonementai, saugomi tik debesyje (cloud tapatybės modelis), atlikite šiuos veiksmus ir konfigūruoti kDa telefonu arba teksto pranešimų patvirtinimo kodą siųsti išmaniajame telefone:

  1. Įgalinti kDa.

  2. Nustatyti "Office 365" 2 veiksmais sukonfigūruoti kiekvieno skirta viešojo administratoriaus abonementą telefonu ar tekstiniu pranešimu kaip tikrinimo metodą.

Jei esate didesnis organizacija, kuri naudoja "Office 365" Hibridinis tapatybės modelį, turite daugiau tikrinimo parinktys. Jei saugos infrastruktūra jau turite sukurti sudėtingesnį antrinės autentifikavimo metodą, atlikite šiuos veiksmus:

  1. Įgalinti kDa.

  2. Nustatyti "Office 365" 2 veiksmais sukonfigūruoti kiekvieno skirta atitinkamą tikrinimo metodą visuotinio administratoriaus abonementą.

Jei saugos infrastruktūra norimą sudėtingesnį tikrinimo metodą ir Office 365 kDa veikimą, rekomenduojame, galite konfigūruoti skirta visuotinio administratoriaus abonementų kDa telefonu arba teksto pranešimus patvirtinimo kodą siųsti išmaniajame telefone visuotinis administratorius paskyrų laikinai saugos priemonę. KDa teikiamos papildomos apsaugos nepalikite paskyrų specialus visuotinis administratorius.

Daugiau informacijos rasite "Office 365 diegti" kelių dalių autentifikavimo planas.

Norėdami prisijungti prie "Office 365" tarnybų MFP ir "PowerShell", skaitykite šį straipsnį.

3 veiksmas. Monitorių įtartinų visuotinio administratoriaus paskyros veikla

"Office 365" debesies taikomosios programos sauga leidžia kurti strategijas apie įtartinų veikimas prenumeratą. Debesies taikomosios programos sauga yra įtaisytos Office 365 E5, tačiau taip pat galima naudoti kaip atskirą paslaugą. Pavyzdžiui, jei neturite Office 365 E5, galite įsigyti atskirų vartotojų paskyras, priskirtas visuotinis administratorius, saugos administratoriaus ir atitikimo administratoriaus vaidmenys debesies taikomosios programos saugos licencijų.

Jei turite "Office 365" prenumeratos debesies taikomosios programos sauga, atlikite šiuos veiksmus:

  1. Prisijungimas prie "Office 365" portalo naudodami abonementą, priskirtą saugos administratoriaus ar atitikimo administratoriaus vaidmenį.

  2. Įjunkite taikomąją programą "Office 365 debesies" saugos.

  3. Peržiūrėkite savo problemą aptikimo strategijų perspėtų jus paštu nenormalu modelius privilegijuotu administravimo veiklos.

Vartotojo abonemento įtraukimas į saugos administratoriaus vaidmenį, prisijungimas prie "PowerShell" Office 365 " skirta visuotinio administratoriaus abonementą ir MFP, įveskite vartotojo vardą, vartotojo paskyra, ir tada vykdykite šias komandas:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Vartotojo abonemento įtraukimas į atitikties administratoriaus vaidmenį, įveskite vartotojo vardą, vartotojo paskyra, ir tada vykdykite šias komandas:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Papildomo apsaugos įmonės organizacijoms

Po 1 – 3 veiksmus naudoti šių papildomų būdų užtikrinti, kad jūsų visuotinio administratoriaus abonementą ir konfigūraciją, kurį atliekate ją naudoti, yra kaip saugų įmanoma.

Privilegijos naudotis darbo vieta (PAW)

Siekiant užtikrinti, kad itin privilegijuotu užduočių vykdymo yra saugūs, kaip įmanoma, naudokite PAW. PAW yra specialus kompiuteryje, kuriame naudojama tik slaptos konfigūravimo užduotis, pvz., "Office 365" konfigūraciją, kuris reikalauja viešojo administratoriaus abonementą. Kadangi šio kompiuterio kasdien nenaudojama interneto ar elektroninio pašto, jį geriau apsaugoti nuo interneto atakų ir grėsmių.

Instrukcijos, kaip nustatyti, kad PAW, ieškokite http://aka.ms/cyberpaw.

Azure AD speciali vieta tapatybės valdymas (PIM)

Užuot "visuotinis administratorius" abonementus visam laikui priskiriamos visuotinio administratoriaus vaidmenį, galite naudoti Azure AD PIM įgalinti pareikalavus, tiesiog laiko priskyrimas visuotinio administratoriaus vaidmenį, kai reikia.

Vietoj "visuotinis administratorius" abonementus yra nuolatinį, jie tampa teisę administratoriams. Visuotinio administratoriaus vaidmenį neaktyvus, kol kas nors reikia. Jūs užbaigti aktyvinimo proceso metu pridėti visuotinio administratoriaus vaidmenį visuotinio administratoriaus abonementą už iš anksto nustatytą laiką. Kai laikas baigiasi, PIM pašalina visuotinio administratoriaus vaidmenį visuotinio administratoriaus abonementą.

Naudojant PIM ir šio proceso sumažina laikas, ataka ir naudoti kenkėjiškų vartotojų paskyrų visuotinis administratorius.

Daugiau informacijos ieškokite konfigūravimas Azure AD privilegijuotu tapatybės valdymas.

Pastaba: PIM pasiekiama naudojant Azure Active Directory Premium P2, kuri yra įtraukta į įmonės mobilumo + saugos (EMS) E5, arba galite įsigyti atskirą licencijų jūsų visuotinio administratoriaus abonementą.

Saugos informacijos ir renginių valdymo (SIEM) programinę įrangą "Office 365" registravimas

SIEM programinės įrangos paleisti serveryje atlieka realiuoju laiku saugos įspėjimų ir taikomųjų programų ir tinklo aparatūros įvykių analizė. Norėdami leisti savo SIEM serverio į "Office 365" saugos įspėjimų ir įvykių analizę ir ataskaitų funkcijos, integruoti jas į SIEM:

Kitas veiksmas

Peržiūrėkite "Office 365" saugos geriausia praktika.

Tobulinkite savo „Office“ įgūdžius
Ieškoti mokymo
Pirmiausia gaukite naujų funkcijų
Prisijunkite prie „Office Insider“ dalyvių

Ar ši informacija buvo naudinga?

Dėkojame už jūsų atsiliepimus!

Dėkojame už jūsų atsiliepimą! Panašu, kad gali būti naudinga jus sujungti su vienu iš mūsų „Office“ palaikymo agentų.

×