Beskytte de globale administratorkontoene i Office 365

Viktig: Denne artikkelen er maskinoversatt, se ansvarsfraskrivelsen. Du finner den engelske versjonen av artikkelen her som referanse.

Sammendrag: Beskytte kontoene dine global administrator med disse trinnene.

Hvis du vil beskytte bedre Office 365-abonnementet fra angrep basert på skade på en global administratorkonto, må du gjøre det følgende akkurat nå:

  1. Opprett dedikerte globale administratorkontoer for Office 365, og bruk dem bare ved behov.

  2. Konfigurer godkjenning med flere faktorer for de dedikerte, globale administratorkontoene for Office 365, og bruk den sterkeste formen for sekundær godkjenning.

  3. Aktivere og konfigurere Office 365 skyen App sikkerhet for å overvåke for mistenkelige global administrator kontoaktivitet.

Sikkerhetsbrudd på et Office 365-abonnement, inkludert innsamling av informasjon og phishing-angrep, gjøres vanligvis ved å avsløre legitimasjonen til en global administratorkonto for Office 365. Sikkerheten i skyen er et partnerskap mellom deg og Microsoft:

  • Microsoft-skytjenestene er bygd på et grunnlag av tillit og sikkerhet. Microsoft tilbyr sikkerhetskontroller og muligheter til å beskytte dataene og programmene.

  • Du eier dataene og identitetene og ansvaret for å beskytte dem, du eier sikkerheten for de lokale ressursene og sikkerheten til skykomponentene du kontrollerer.

For å beskytte virksomheten må du sette på plass kontrollene og funksjonene som Microsoft tilbyr.

Merknad: Selv om denne artikkelen fokuserer på globale administratorkontoer, bør du også vurdere om flere kontoer med vidtrekkende tillatelse til å få tilgang til dataene i abonnementet ditt, for eksempel eDiscovery-administrator eller sikkerhet eller samsvar administratorkontoer, skal være beskyttet på samme måte.

Fase 1. Opprett dedikerte, globale administratorkontoer for Office 365, og bruk dem bare ved behov.

Det finnes forholdsvis få administrative oppgaver som krever globale administratorrettigheter, for eksempel å tilordne roller til brukerkontoer. Derfor, i stedet for å bruke vanlige brukerkontoer som har blitt tilordnet global administrator-rollen, gjør følgende umiddelbart:

  1. Bestem settet med brukerkontoer som skal tilordnes global administrator-rollen. Du kan gjøre dette i Office 365 PowerShell med denne kommandoen:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Logg på Office 365-abonnementet med en brukerkonto som er tilordnet rollen som global administrator.

  3. Opprett minst én og maksimalt fem dedikerte brukerkontoer for globale administratorer. Bruk sterke passord på minst 12 tegn. Lagre passordene for de nye kontoene på et sikkert sted.

  4. Tilordne rollen som global administrator til hver av de nye brukerkontoene som er dedikert til dette.

  5. Logg av Office 365.

  6. Logg på med en av de nye, dedikerte brukerkontoene for globale administratorer.

  7. Gjør følgende for hver eksisterende brukerkonto som var tilordnet rollen global administrator fra trinn 1:

    • Fjern global administrator-rollen.

    • Tilordne administratorroller til kontoen som gjelder for brukerens jobbfunksjonen og ansvar. Hvis du vil ha mer informasjon om ulike administratorroller i Office 365, kan du se administratorroller i Office 365.

  8. Logg av Office 365.

Resultatet skal være følgende:

  • De eneste brukerkontoene i abonnementet med global administrator-rollen er det nye settet med dedikerte, globale administratorkontoer. Kontroller dette med følgende PowerShell-kommando i ledeteksten Windows Azure Active Directory-modulen for Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Alle andre vanlige brukerkontoer som administrerer abonnementet, har tilordnet administratorroller som er knyttet til de tilhørende ansvarsområdene.

Fra nå av logger du på med de dedikerte, globale administratorkontoene bare for oppgaver som krever globale administratorrettigheter. All annen Office 365-administrasjon må gjøres ved å tilordne andre administrative roller til brukerkontoer.

Merknad: Ja, dette krever de ekstra trinnene å logge av den vanlige brukerkontoen og logge på med en dedikert, global administratorkonto. Men dette må kun gjøres av og til for globale administrasjonsoppgaver. Husk at å gjenopprette Office 365-abonnementet etter brudd på en global administratorkonto krever flere trinn.

Fase 2. Konfigurer godkjenning med flere faktorer for de dedikerte, globale administratorkontoene for Office 365, og bruk den sterkeste formen for sekundær godkjenning.

Godkjenning med flere faktorer (MFA) for de globale administratorkontoene krever tilleggsinformasjon utover kontonavnet og passordet. Office 365 støtter følgende bekreftelsesmetoder:

  • En telefonsamtale

  • Et tilfeldig generert passord

  • Et smartkort (virtuelt eller fysisk)

  • En biometrisk enhet

Små bedrifter som bruker brukerkontoer som er lagret i skyen (identitetsmodellen i skyen), bør gjøre følgende umiddelbart for å konfigurere MFA ved hjelp av en telefonsamtale eller en bekreftelseskode sendt som tekstmelding til en smarttelefon:

  1. Aktivere MFA.

  2. Konfigurer totrinnskontroll for Office 365 for å konfigurere hver dedikerte, globale administratorkonto med en telefonsamtale eller tekstmelding som bekreftelsesmetode.

Større organisasjoner som bruker de synkroniserte eller organisasjonsbaserte identitetsmodellene for Office 365, har flere bekreftelsesalternativer. Hvis sikkerhetsinfrastrukturen allerede er på plass for en sterkere, sekundær godkjenningsmetode, gjør følgende umiddelbart:

  1. Aktivere MFA.

  2. Konfigurer totrinnskontroll for Office 365 for å konfigurere hver dedikerte, globale administratorkonto med en egnet bekreftelsesmetode.

Hvis sikkerhetsinfrastrukturen for den ønskede, sterkere bekreftelsesmetoden ikke er på plass og ikke fungerer for Office 365 MFA, anbefaler vi på det sterkeste å konfigurere dedikerte, globale administratorkontoer med MFA umiddelbart ved hjelp av en telefonsamtale eller en bekreftelseskode sendt som tekstmelding til en smarttelefon for de globale administratorkontoene som et midlertidig sikkerhetstiltak. Ikke la de dedikerte, globale administratorkontoene være uten den ekstra beskyttelsen med MFA.

For mer informasjon, kan du se Planlegge for godkjenning med flere faktorer for Office 365 distribusjoner.

Se denne artikkelen for å koble til Office 365-tjenester med MFA og PowerShell.

Fase 3. Aktivere og konfigurere Office 365 skyen App sikkerhet for å overvåke for mistenkelige global administrator kontoaktivitet

Office 365 skyen App sikkerhet lar deg opprette policyer for å varsle deg om mistenkelige virkemåte i abonnementet. Skyen App sikkerhet er innebygd i Office 365 E5, men er også tilgjengelig som en separat tjeneste. Hvis du ikke har Office 365 E5, kan du for eksempel kjøpe lisenser for individuelle skyen App sikkerhet for brukerkontoer som er tilordnet global administrator, sikkerhetsansvarlige og samsvar administratorroller.

Hvis du har skyen App sikkerhet i Office 365-abonnementet, gjør du følgende umiddelbart:

  1. Logg deg på Office 365-portalen med en konto som er tildelt rollen sikkerhetsansvarlige eller samsvar Administrator.

  2. Aktivere Office 365 skyen App sikkerhet.

  3. Opprett feil gjenkjenning policyer for å varsle deg via e-post med anomalous mønstre over privilegerte administrative aktiviteten.

Hvis du vil legge til en brukerkonto til rollen sikkerhetsadministrator, kobler du til Office 365 PowerShell med en dedikert, global administratorkonto og MFA, fyller ut brukerhovednavn for brukerkontoen og kjører deretter følgende kommandoer:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Hvis du vil legge til en brukerkonto for rollen som samsvarsansvarlig, fyller du ut brukerhovednavn for brukerkontoen og kjører deretter følgende kommandoer:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Ytterligere beskyttelse for global administratorkontoer

Når faser 1-3, bruke disse flere metoder for å forsikre deg om at den globale administratorkontoen og konfigurasjonen du utfører ved hjelp av det, er så mye som mulig.

Rettigheter arbeidsstasjon (PAW)

Hvis du vil sikre at kjøring av svært privilegerte oppgaver er så mye som mulig, kan du bruke en PAW. En forlabb en dedikert datamaskin som brukes bare for sensitiv konfigurasjonsoppgaver, for eksempel Office 365-konfigurasjon som krever en global administratorkonto. Fordi denne datamaskinen ikke brukes daglig til Internett eller e-post, er det bedre beskyttet mot Internett-angrep og trusler.

Instruksjoner for hvordan du konfigurerer en PAW, kan du se http://aka.ms/cyberpaw.

Azure AD-rettigheter Identitetsbehandling (PIM)

I stedet for at de globale administratorkontoer tilordnes permanent rollen som global administrator, kan du bruke Azure AD PIM slik at ved behov, bare i tid tilordning av rollen som global administrator når det er nødvendig.

Andre ord, i stedet for global administrator kontoene som en administrator for permanent, blir de kvalifisert administratorer. Rollen som global administrator er inaktiv til noen trenger den. Du kan deretter fullføre en aktiveringsprosessen for å legge den globale administratorkontoen rollen som global administrator for en forhåndsdefinert periode. Når tiden er utløpt, fjerner PIM rollen som global administrator fra den globale administratorkontoen.

Bruke PIM og denne prosessen betydelig reduserer tiden som global administratorkontoer er utsatt for angrep og bruk av ondsinnede brukere.

For mer informasjon, kan du se konfigurere Azure AD privilegerte Identitetsbehandling.

Merknad: PIM er tilgjengelig med Azure Active Directory Premium P2, som er inkludert i Enterprise mobilitet + sikkerhet (EMS) E5, eller du kan kjøpe lisenser for individuelle for global administrator-kontoene.

Informasjon og hendelse management (SIEM) sikkerhetsprogramvare for Office 365-pålogging

SIEM programvare og en server som kjører den utfører sanntid analyse av sikkerhetsvarsler og hendelser som er opprettet av programmer og nettverksmaskinvaren. Hvis du vil tillate at SIEM-serveren for å ta med Office 365 sikkerhetsvarsler og hendelser i analysen og rapporteringsfunksjoner, integrere følgende i filsystemet SIEM:

Neste trinn

Se Sikkerhet beste praksis for Office 365.

Merknad: Ansvarsfraskrivelse for maskinoversettelse: Denne artikkelen er oversatt av et datasystem i stedet for en oversetter. Microsoft tilbyr disse maskinoversettelsene slik at brukere som ikke snakker engelsk, får tilgang til innhold om Microsoft-produkter, -tjenester og –teknologier. Ettersom artikkelen er maskinoversatt, kan den inneholde feil i vokabular, syntaks eller grammatikk.

Utvid ferdighetene dine
Utforsk opplæring
Vær først ute med de nye funksjonene
Bli med i Office Insiders

Var denne informasjonen nyttig?

Takk for tilbakemeldingen!

Takk for tilbakemeldingen! Det høres ut som det kan være lurt å sette deg i kontakt med én av våre Office-kundestøtteagenter.

×