Aizsargājiet savu Office 365 globālā administratora kontu

Piezīme.:  Mēs vēlamies sniegt jums visjaunāko palīdzības saturu jūsu valodā, cik vien ātri to varam. Šī lapa ir tulkota automatizēti, un tajā var būt gramatiskas kļūdas un neprecizitātes. Mūsu nolūks ir šo saturu padarīt jums noderīgu. Vai lapas lejasdaļā varat mums pavēstīt, vai informācija jums noderēja? Ērtai atsaucei šeit ir šis raksts angļu valodā .

Kopsavilkums: Aizsargāt savu Office 365 abonementu no pamatā ir globālā administratora kontu kompromisa uzbrukumi.

Drošības pārkāpumiem, pikšķerēšanas uzbrukumi un Office 365 abonementu, ieskaitot informāciju novākšanas parasti veic negatīvi akreditācijas datus no Office 365 globālo administratora kontu. Drošības mākonī ir partnerība starp jums un Microsoft:

  • Microsoft mākoņpakalpojumiem tiek veidoti, par pamatu uzticības un drošības. Microsoft nodrošina drošības kontroles un iespējas, lai palīdzētu aizsargāt jūsu datus un lietojumprogrammas.

  • Jums pieder jūsu datus un identitātes un pienākumus tos ar lokālo resursu drošības un mākoņa komponenti, jūs varat vadīt drošības aizsardzībai.

Microsoft nodrošina iespējas, lai palīdzētu aizsargāt jūsu organizācijā, bet tie ir spēkā tikai tad, ja jūs tos izmantot. Ja nelietojat tos, iespējams, neaizsargāta uzbrukums. Lai aizsargātu globālā administratora kontiem, Microsoft ir šeit, lai palīdzētu jums detalizētus norādījumus, lai:

  1. Izveidojiet īpašu Office 365 globālā administratora kontu un izmantot tos tikai tad, kad tas ir nepieciešams.

  2. Daudzfaktoru autentifikācijas atvēlēts Office 365 globālā administratora kontu konfigurēšana un izmantojiet sekundāro autentifikācijas lielākais formu.

  3. Iespējotu un konfigurētu Office 365 mākonis App drošības pārraudzīt aizdomīgu globālā administratora konta darbības.

Piezīme.: Lai gan šajā rakstā galvenā uzmanība ir pievērsta globālā administratora kontiem, apsveriet arī vai papildu kontus ar plašu atļauju, lai piekļūtu datiem jūsu abonementā, piemēram, e-datu atklāšanas administratoru vai drošības vai atbilstība administratora kontiem vajadzētu aizsargā tādā pašā veidā.

1. darbība. Izveidot īpašu Office 365 globālā administratora kontu un izmantot tos tikai tad, kad tas ir nepieciešams

Pastāv salīdzinoši maz administratīvos uzdevumus, piemēram, lomas piešķiršana lietotāju kontiem, kas ir nepieciešamas globālā administratora tiesības. Tāpēc, nevis izmantojot ikdienas lietotāju kontiem, kas ir piešķirtas globālā administratora lomai, veiciet šīs darbības:

  1. Nosakiet lietotāju kontiem, kas ir piešķirtas globālā administratora lomai kopu. To var izdarīt ar Microsoft Azure Active Directory moduļa čaulai Windows PowerShell komandu uzvednē šo komandu:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Pierakstieties pakalpojumā Office 365 abonementa ar lietotāja kontu, kuram ir piešķirts globālā administratora lomai.

  3. Izveidojiet vismaz viens un līdz piektajai darbībai veltīta globālais administrators lietotāju kontus. Izmantojiet stipras paroles vismaz 12 rakstzīmes ilgi Lai iegūtu papildinformāciju, skatiet Izveidojiet stipru paroli . Glabājiet jaunu kontu paroles drošā vietā.

  4. Piešķirt globālā administratora lomai katras jaunas atvēlēts globālais administrators lietotāju kontus.

  5. Izrakstieties no Office 365.

  6. Pierakstieties, izmantojot kādu no jauna atvēlēts globālais administrators lietotāju kontiem.

  7. Par katru esošu lietotāja kontu, kas bija piešķirtas globālā administratora lomai no 1. darbība:

    • Noņemiet globālā administratora lomai.

    • Administratora lomu piešķiršana kontu, kas ir piemērotas, viņam darba funkciju un pienākumus. Lai iegūtu papildinformāciju par dažādiem Office 365 administratoru lomas, skatiet rakstā par Office 365 administratoru lomas.

  8. Izrakstieties no Office 365.

Rezultāts ir jābūt:

  • Tikai lietotāju konti jūsu abonementā, kuriem ir globālā administratora lomai ir jaunu kopu atvēlēts globālā administratora kontu. Pārliecinieties, vai tas, izpildiet tālāk norādīto PowerShell komandu:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Visiem pārējiem ikdienas lietotāju kontiem, kas pārvalda jūsu abonements ir administratora lomu piešķirts, kas ir saistīti ar savu darba pienākumus.

No šī brīža uz priekšu, esat pierakstījies, izmantojot atvēlēts globālā administratora kontiem tikai par uzdevumiem, kas ir nepieciešamas globālā administratora tiesības. Citas Office 365 administrēšana jāveic citas administrēšanas lomu piešķiršana lietotāju kontus.

Piezīme.: Jā, tas ir jāveic papildu darbības, lai izrakstieties kā ikdienas lietotāja kontu un pierakstieties ar atvēlēts globālā administratora kontu. Taču tas tikai jādara reizēm globālais administrators operācijām. Uzskata, ka atgūt savu Office 365 abonementu, pēc globālā administratora kontu pārkāpumiem, ir jāveic daudz darbības.

2. darbība. Daudzfaktoru autentifikācijas atvēlēts Office 365 globālā administratora kontiem konfigurēt un izmantot sekundāro autentifikācijas lielākais formu

Daudzfaktoru autentifikācijas (MFA) globālā administratora kontiem nepieciešama papildinformācija ne tikai konta nosaukumu un paroli. Office 365 atbalsta šīs pārbaudes metodes:

  • Tālruņa zvans

  • Nejauši ģenerēts ieejas kods

  • Viedkarte (virtuāla vai fiziska)

  • Biometriska ierīce

Ja jums ir mazs uzņēmums, kas izmanto lietotāju kontiem, kas saglabāti tikai mākonī (mākoņa identitātes modelis), veiciet šīs darbības, lai konfigurētu MFA, izmantojot tālruņa zvanu vai teksta ziņojumu pārbaudes kodu, kas nosūtīti uz viedtālruni:

  1. Iespējot MFA.

  2. 2. darbībā pārbaudes Office 365 iestatīšana , lai konfigurētu katru veltīts globālā administratora kontu tālruņa zvanu vai teksta ziņojumu kā pārbaudes metodi.

Ja esat lielāku organizācija, kas izmanto Office 365 hibrīda identitātes modelis, jums ir vairāk verifikācijas opcijas. Ja jums ir drošības infrastruktūra jau spēcīgāku sekundāro autentifikācijas metodes vietā, veiciet šīs darbības:

  1. Iespējot MFA.

  2. 2. darbībā pārbaudes Office 365 iestatīšana , lai konfigurētu katru veltīts atbilstošo pārbaudes metodi globālā administratora kontu.

Ja drošības infrastruktūra vēlamo spēcīgāku pārbaudes metodi nav vietā un darbību, Office 365 MFA, mēs iesakām atvēlēts globālā administratora kontu konfigurēšana ar MFA, izmantojot tālruņa zvanu vai teksta ziņojumu globālā administratora kontiem nosūtīti viedtālruni kā pagaidu drošības līdzeklis pārbaudes kodu. Neatstājiet bez papildu aizsardzību, MFA atvēlēts globālā administratora kontu.

Lai iegūtu papildinformāciju, skatiet rakstu Office 365 izvietojumu daudzfaktoru autentifikācijas plānošana.

Lai izveidotu savienojumu ar Office 365 pakalpojumus ar MFA un PowerShell, skatiet šajā rakstā.

3. darbība. Monitora aizdomīgu globālā administratora konta darbības

Office 365 mākoņa lietojumprogrammu drošība ļauj izveidot politiku, lai paziņotu par aizdomīgiem izturēšanās abonementa. Mākoņa lietojumprogrammu drošības ir iebūvēta Office 365 E5, bet ir pieejama arī kā atsevišķs pakalpojums. Piemēram, ja jums nav Office 365 E5, var iegādāties atsevišķas mākoņa lietojumprogrammu drošības licences lietotāju kontiem, kas tiek piešķirtas globālais administrators, drošības administratora un atbilstība administratoru lomas.

Ja jums ir Office 365 abonementa mākoņa lietojumprogrammu drošības, veiciet šīs darbības:

  1. Pierakstieties pakalpojumā Office 365 portālā ar kontu, kuram tiek piešķirts drošības administratora vai atbilstības administratoru lomas.

  2. Ieslēdziet Office 365 mākoņa lietojumprogrammu drošība.

  3. Pārskatiet savu novirze noteikšanas politiku , lai paziņotu pa e-pastu nenormālā modeļus priviliģētu administratīvo darbību.

Lietotāja konta pievienošana ar drošības administratoru lomas, Office 365 PowerShell savienošana ar atvēlēts globālā administratora kontu un MFA, ievadiet lietotāja pamatnosaukums lietotāja kontu un pēc tam palaidiet šīs komandas:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Lietotāja konta pievienošana atbilstību administratora loma, ievadiet lietotāja pamatnosaukums lietotāja kontu un pēc tam palaidiet šo komandu:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Papildu aizsardzību uzņēmumiem

Pēc darbības 1. – 3. Izmantojiet šīs papildu metodes, lai nodrošinātu, ka globālā administratora kontu un konfigurācijas, ko veicat to izmantot, ir pēc iespējas drošāku.

Priviliģētu darbstacijas (ĶEPA)

Lai nodrošinātu, ka augstu privilēģiju līmeni uzdevumu izpildes pēc iespējas drošāku, izmantojiet ĶEPU. ĶEPU ir atvēlēts dators, kurā tiek izmantots tikai sensitīvu konfigurēšanas uzdevumus, piemēram, Office 365 konfigurāciju, kas pieprasa globālā administratora kontu. Tā kā šī datora netiek lietots katru dienu interneta pārlūkošana vai e-pastu, tā ir labāk aizsargāta no interneta uzbrukumi un draudu.

Norādījumus par to, kā iestatīt ĶEPU skatiet rakstā http://aka.ms/cyberpaw.

Azure AD priviliģētu identitātes pārvaldība (PIM)

Tā vietā tiek neatgriezeniski piešķirti globālā administratora lomai globālā administratora konti, Azure AD PIM var izmantot, lai iespējotu pēc pieprasījuma, vienkārši laika globālā administratora lomu piešķiršana, ja tas ir nepieciešams.

Vietā tiek pastāvīgi administrēšanas globālā administratora konti, tie kļūst piemērots administratori. Globālā administratora lomai ir neaktīvs līdz brīdim, kad kāds tas ir nepieciešams. Veiciet aktivizācijas procesu, lai pievienotu globālā administratora lomai globālā administratora kontā iepriekš noteiktajam reižu skaitu. Kad laiks beidzas, PIM globālā administratora lomai noņem globālā administratora kontu.

Izmantojot PIM un šis process ievērojami samazina laiku, kas ir aizsargāti uzbrukums un izmantot ļaunprātīgi lietotāji globālā administratora kontu.

Lai iegūtu papildinformāciju, skatiet rakstu konfigurēšana Azure AD priviliģētu identitātes pārvaldība.

Piezīme.: PIM ir pieejams ar Azure Active Directory Premium P2, kas ir iekļauti uzņēmuma Mobility + drošības (EMS) E5, vai varat iegādāties atsevišķu licenču globālā administratora kontu.

Drošības informācija un notikumu pārvaldības (SIEM) programmatūras Office 365 reģistrēšana

Reāllaika analīzes drošības brīdinājumus un notikumu izstrādāto lietojumprogrammas un tīkla aparatūras veic SIEM programmatūras palaist serverī. Lai atļautu SIEM servera Office 365 drošības brīdinājumus un notikumu iekļaut tās analizēšanai un pārskatu funkcijas, integrēt šos SIEM sistēmā:

Nākamās darbības

Skatiet rakstu Office 365 drošības labākās prakses.

Paplašiniet savas Office prasmes
Iepazīties ar apmācību
Esiet pirmais, kas saņem jaunās iespējas
Pievienoties Office Insider programmai

Vai šī informācija bija noderīga?

Paldies par jūsu atsauksmēm!

Paldies par atsauksmēm! Šķiet, ka varētu būt noderīgi sazināties ar kādu no mūsu Office atbalsta aģentiem.

×