Melindungi akaun pentadbir global Office 365

Important: Artikel ini diterjemahkan oleh mesin, lihatlah notis penafian. Sila dapatkan versi Bahasa Inggeris artikel ini di sini sebagai rujukan anda

Ringkasan: Melindungi akaun pentadbir global dengan langkah ini.

Untuk melindungi langganan Office 365 anda daripada serangan berdasarkan ansur akaun pentadbir global, anda mesti melakukan yang berikut sekarang:

  1. Cipta akaun pentadbir global Office 365 khusus dan menggunakannya hanya apabila perlu.

  2. Mengkonfigurasikan pengesahan berbilang faktor untuk akaun pentadbir global Office 365 anda khusus dan menggunakan borang kuat pengesahan sekunder.

  3. Mendayakan dan mengkonfigurasikan Office 365 awan aplikasi keselamatan untuk memantau aktiviti akaun pentadbir sejagat yang mencurigakan.

Pelanggaran keselamatan langganan Office 365, termasuk maklumat hasil dan serangan pemalsuan, biasanya dilakukan oleh menjejaskan kelayakan akaun pentadbir global Office 365. Keselamatan dalam awan adalah perkongsian antara anda dan Microsoft:

  • Perkhidmatan awan Microsoft dibina pada asas Amanah dan Keselamatan. Microsoft menyediakan kawalan keselamatan dan keupayaan untuk membantu anda melindungi data dan aplikasi.

  • Anda memiliki data anda dan identiti dan tanggungjawab untuk melindungi mereka, Keselamatan sumber pada premis anda dan Keselamatan komponen awan anda mengawal.

Melindungi diri anda, anda mesti menempatkan kawalan dan kemampuan yang menyediakan Microsoft.

Note: Walaupun artikel ini berfokus pada akaun pentadbir global, anda juga seharusnya mempertimbangkan sama ada tambahan akaun dengan julatnya keizinan untuk mencapai data dalam langganan anda, seperti pentadbir Epenemuan atau keselamatan atau pematuhan akaun pentadbir, harus dilindungi dengan cara yang sama.

Fasa 1. Mencipta akaun pentadbir global Office 365 khusus dan menggunakannya hanya apabila diperlukan

Terdapat agak beberapa tugas pentadbiran seperti memperuntukkan peranan akaun pengguna yang memerlukan keistimewaan pentadbir sejagat. Oleh itu, selain menggunakan akaun pengguna harian yang telah diperuntukkan peranan pentadbir sejagat, lakukan perkara berikut dengan segera:

  1. Menentukan set akaun pengguna yang telah diperuntukkan peranan pentadbir sejagat. Anda boleh melakukan ini dalam Office 365 PowerShell dengan perintah ini:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Daftar Masuk ke langganan Office 365 dengan akaun pengguna yang telah diuntukkan peranan pentadbir sejagat.

  3. Cipta sekurang-kurangnya satu dan sehingga maksimum lima berdedikasi akaun pengguna pentadbir sejagat. Gunakan kata laluan yang kukuh sekurang-kurangnya 12 aksara long. Simpan kata laluan untuk akaun baru di lokasi yang selamat.

  4. Memperuntukkan peranan pentadbir sejagat untuk setiap akaun pengguna baru khusus pentadbir sejagat.

  5. Daftar keluar dari Office 365.

  6. Daftar Masuk dengan salah satu akaun pengguna pentadbir global khusus yang baru.

  7. Untuk setiap akaun pengguna sedia ada yang telah diuntukkan peranan pentadbir sejagat daripada langkah 1:

    • Mengalih keluar peranan pentadbir sejagat.

    • Menguntukkan peranan pentadbir kepada akaun yang sesuai untuk fungsi kerja dan tanggungjawab pengguna tersebut. Untuk maklumat lanjut tentang pelbagai peranan pentadbir dalam Office 365, lihat peranan pentadbir tentang Office 365.

  8. Daftar keluar dari Office 365.

Hasil sepatutnya berikut:

  • Akaun pengguna hanya dalam langganan anda yang mempunyai peranan pentadbir sejagat adalah set baru akaun pentadbir sejagat yang khusus. Mengesahkan ini dengan perintah PowerShell berikut pada prom perintah Windows Azure Active Directory Module untuk Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Semua pengguna harian akaun lain yang menguruskan langganan anda mempunyai peranan pentadbir yang diperuntukkan yang berkaitan dengan tanggungjawab kerja mereka.

Daripada masa ini seterusnya, anda mendaftar masuk dengan akaun pentadbir sejagat khusus sahaja untuk tugas yang memerlukan keistimewaan pentadbir sejagat. Semua pentadbiran Office 365 lain mesti dilakukan oleh menguntukkan peranan pentadbiran lain kepada akaun pengguna.

Note: Ya, ini memerlukan langkah tambahan untuk mendaftar keluar sebagai akaun pengguna harian anda dan Daftar Masuk dengan akaun pentadbir sejagat yang khusus. Tetapi ini hanya perlu dilakukan sekali sekala untuk operasi pentadbir sejagat. Pertimbangkan yang pulih langganan Office 365 anda selepas perlanggaran akaun pentadbir sejagat memerlukan lebih banyak langkah.

Fasa 2. Mengkonfigurasikan pengesahan berbilang faktor untuk akaun pentadbir global Office 365 anda khusus dan menggunakan borang kuat pengesahan sekunder

Pengesahan berbilang faktor (MFA) untuk akaun pentadbir sejagat anda memerlukan maklumat tambahan melangkaui nama akaun dan kata laluan. Office 365 menyokong kaedah pengesahan yang berikut:

  • Panggilan telefon

  • Kod penghantaran yang dijanakan secara rawak

  • Kad pintar (maya atau fizikal)

  • Peranti biometrik

Jika anda perniagaan kecil yang menggunakan akaun pengguna yang disimpan dalam awan (model identiti awan) sahaja, lakukan perkara berikut dengan segera untuk mengkonfigurasikan MFA menggunakan panggilan telefon atau kod pengesahan teks mesej dihantar ke telefon pintar:

  1. Mendayakan MFA.

  2. Menyediakan pengesahan 2-langkah untuk Office 365 untuk mengkonfigurasikan setiap berdedikasi akaun pentadbir sejagat untuk panggilan telefon atau mesej teks sebagai kaedah pengesahan.

Jika anda organisasi besar yang menggunakan Office 365 identiti model yang disegerakkan atau bersekutu, anda mempunyai opsyen pengesahan yang lain. Jika anda telah infrastruktur keselamatan di tempat untuk kaedah pengesahan sekunder kukuh, lakukan perkara berikut dengan segera:

  1. Mendayakan MFA.

  2. Menyediakan pengesahan 2-langkah untuk Office 365 untuk mengkonfigurasikan setiap berdedikasi akaun pentadbir sejagat untuk kaedah pengesahan yang sesuai.

Jika infrastruktur Keselamatan untuk kaedah pengesahan kukuh yang diinginkan tidak berada dalam tempat dan berfungsi untuk Office 365 MFA, kami amat mengesyorkan bahawa anda dengan serta-merta mengkonfigurasikan akaun pentadbir sejagat khusus dengan MFA menggunakan panggilan telefon atau teks kod pengesahan mesej dihantar ke telefon pintar untuk akaun pentadbir sejagat sebagai ukuran Keselamatan interim. Biarkan akaun pentadbir sejagat khusus tanpa perlindungan tambahan yang disediakan oleh MFA.

Untuk maklumat lanjut, lihat merancang untuk pengesahan berbilang faktor untuk Office 365 penggunaan.

Untuk menyambung ke perkhidmatan Office 365 dengan MFA dan PowerShell, lihat artikel ini.

Fasa 3. Mendayakan dan mengkonfigurasikan Office 365 awan aplikasi keselamatan untuk memantau aktiviti akaun pentadbir sejagat yang mencurigakan

Office 365 awan aplikasi keselamatan membenarkan anda untuk mencipta dasar untuk memberitahu anda tentang kelakuan mencurigakan dalam langganan anda. Awan aplikasi keselamatan terbina dalam Office 365 E5, tetapi juga tersedia sebagai Perkhidmatan berasingan. Contohnya, jika anda tidak mempunyai Office 365 E5, anda boleh membeli lesen awan aplikasi keselamatan individu bagi akaun pengguna yang diperuntukkan pentadbir global, pentadbir Keselamatan dan pematuhan peranan pentadbir.

Jika anda mempunyai awan aplikasi keselamatan dalam langganan Office 365 anda, lakukan perkara berikut dengan segera:

  1. Daftar Masuk ke portal Office 365 dengan akaun yang diuntukkan peranan pentadbir keselamatan atau pentadbir pematuhan.

  2. Menghidupkan Office 365 awan aplikasi keselamatan.

  3. Cipta anomaly pengesanan dasar untuk memberitahu anda melalui e-mel ganjil corak aktiviti pentadbiran istimewa.

Untuk menambah akaun pengguna yang peranan pentadbir Keselamatan, menyambung ke Office 365 PowerShell dengan akaun pentadbir sejagat khusus dan MFA, isikan nama prinsipal pengguna akaun pengguna, dan kemudian menjalankan berikut perintah:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Untuk menambah akaun pengguna yang peranan pentadbir pematuhan, isikan nama prinsipal pengguna akaun pengguna, dan kemudian jalankan perintah berikut:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Perlindungan tambahan untuk akaun pentadbir sejagat

Selepas Fasa 1-3, gunakan kaedah ini tambahan untuk memastikan akaun pentadbir global dan konfigurasi yang anda laksanakan menggunakannya, adalah sebagai selamat yang mungkin.

Capaian istimewa stesen kerja (CAKAR)

Untuk memastikan pelaksanaan tugas sangat istimewa sebagai selamat yang mungkin, gunakan CAKAR yang. CAKAR yang adalah komputer khas yang hanya digunakan untuk tugas konfigurasi sensitif, seperti Office 365 konfigurasi yang memerlukan akaun pentadbir sejagat. Kerana komputer ini tidak harian digunakan untuk melayari Internet atau e-mel, ia lebih baik dilindungi daripada serangan Internet dan ancaman.

Untuk arahan tentang cara menyediakan CAKAR yang, lihat http://aka.ms/cyberpaw.

Pengurusan identiti Azure AD istimewa (udara)

Dan bukannya mempunyai akaun pentadbir sejagat secara kekal diperuntukkan peranan pentadbir global, anda boleh menggunakan Azure AD udara untuk mendayakan atas permintaan, hanya dalam masa penugasan peranan pentadbir sejagat apabila ia diperlukan.

Pada perkataan lain, dan bukannya akaun pentadbir sejagat yang sedang pentadbir kekal, ia akan menjadi pentadbir layak. Peranan pentadbir sejagat tidak aktif sehingga seseorang memerlukan. Anda kemudian lengkapkan proses pengaktifan untuk menambah peranan pentadbir sejagat untuk akaun pentadbir sejagat untuk jumlah masa yang dipratentukan. Apabila masa tamat tempoh, udara mengalih keluar peranan pentadbir sejagat daripada akaun pentadbir sejagat.

Menggunakan udara dan proses ini secara nyata mengurangkan jumlah masa yang akaun pentadbir sejagat terdedah kepada serangan dan gunakan oleh pengguna berniat jahat.

Untuk maklumat lanjut, lihat mengkonfigurasikan Azure AD istimewa Pengurusan identiti.

Note: UDARA adalah tersedia dengan Azure Active Directory Premium P2, yang disertakan dengan mobiliti Enterprise + E5 Keselamatan (EMS), atau anda boleh membeli lesen individu bagi akaun pentadbir sejagat.

Keselamatan Maklumat dan peristiwa perisian pengurusan (bercuti) untuk Office 365 pengelogan

Perisian bercuti dan pelayan yang menjalankan ia melaksanakan analisis masa nyata Amaran Keselamatan dan peristiwa yang dicipta oleh aplikasi dan perkakasan rangkaian. Untuk membenarkan pelayan bercuti anda untuk memasukkan Amaran Keselamatan Office 365 dan peristiwa dalam bahagian analisis dan pelaporan fungsi, menyepadukan berikut dalam sistem bercuti anda:

Langkah seterusnya

Lihat amalan terbaik Keselamatan untuk Office 365.

Note: Notis Penafian Penterjemahan Mesin: Artikel ini telah diterjemah oleh sistem komputer tanpa campur tangan manusia. Microsoft menawarkan penterjemahan mesin ini untuk membantu pengguna-pengguna yang tidak bertutur dalam Bahasa Inggeris supaya dapat menikmati kandungan mengenai produk, perkhidmatan dan teknologi Microsoft. Artikel ini mungkin mengandungi ralat perbendaharaan kata, sintaks atau tatabahasa kerana ia diterjemahkan oleh mesin.

Kembangkan kemahiran anda
Jelajahi latihan
Dapatkan ciri baru terlebih dahulu
Sertai Office Insiders

Adakah maklumat ini membantu?

Terima kasih atas maklum balas anda!

Terima kasih atas maklum balas anda! Nampaknya ia mungkin akan membantu untuk menyambungkan anda kepada salah seorang daripada ejen sokongan Office kami.

×