Beskytte de globale administratorkontoene i Office 365

Obs!:  Vi ønsker å gi deg det nyeste hjelpeinnholdet så raskt som mulig, på ditt eget språk. Denne siden er oversatt gjennom automatisering og kan inneholde grammatiske feil eller unøyaktigheter. Formålet vårt er at innholdet skal være nyttig for deg. Kan du fortelle oss om informasjonen var nyttig for deg nederst på denne siden? Her er den engelske artikkelen for enkel referanse.

Sammendrag: Beskytte Office 365-abonnementet fra angrep basert på skade på en global administratorkonto.

Sikkerhetsbrudd på et Office 365-abonnement, inkludert innsamling av informasjon og phishing-angrep, gjøres vanligvis ved å avsløre legitimasjonen til en global administratorkonto for Office 365. Sikkerheten i skyen er et partnerskap mellom deg og Microsoft:

  • Microsoft-skytjenestene er bygd på et grunnlag av tillit og sikkerhet. Microsoft tilbyr sikkerhetskontroller og muligheter til å beskytte dataene og programmene.

  • Du eier dataene og identitetene og ansvaret for å beskytte dem, du eier sikkerheten for de lokale ressursene og sikkerheten til skykomponentene du kontrollerer.

Microsoft tilbyr funksjoner til å beskytte organisasjonen, men de effektive bare hvis du bruker dem. Hvis du ikke bruker dem, kan du bli utsatt for angrep. Hvis du vil beskytte global administratorkontoer, er Microsoft her for å hjelpe deg med detaljerte instruksjoner til:

  1. Opprett dedikerte globale administratorkontoer for Office 365, og bruk dem bare ved behov.

  2. Konfigurer godkjenning med flere faktorer for de dedikerte, globale administratorkontoene for Office 365, og bruk den sterkeste formen for sekundær godkjenning.

  3. Aktivere og konfigurere Office 365 skyen App sikkerhet for å overvåke for mistenkelige global administrator kontoaktivitet.

Obs!: Selv om denne artikkelen fokuserer på globale administratorkontoer, bør du også vurdere om flere kontoer med vidtrekkende tillatelse til å få tilgang til dataene i abonnementet ditt, for eksempel eDiscovery-administrator eller sikkerhet eller samsvar administratorkontoer, skal være beskyttet på samme måte.

Trinn 1. Opprette dedikert globale Office 365-administratorkontoer og bruke dem bare når det er nødvendig

Det finnes forholdsvis få administrative oppgaver, for eksempel tilordne roller til brukerkontoer som krever globale administratorrettigheter. Derfor i stedet for å bruke hverdagsoppgaver brukerkontoer som er tilordnet rollen global administrator, gjør du disse trinnene:

  1. Bestem settet med brukerkontoer som er tilordnet rollen global administrator. Du kan gjøre med denne kommandoen i ledeteksten Microsoft Azure Active Directory-modulen for Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Logg på Office 365-abonnementet med en brukerkonto som er tilordnet rollen som global administrator.

  3. Opprett minst én og opptil maksimalt fem dedikert brukerkontoer for global administrator. Bruk sterke passord minst 12 tegn langt. Du finner mer informasjon, kan du se opprette et sterkt passord . Lagre passordene for de nye på en sikker plassering.

  4. Tilordne rollen som global administrator til hver av de nye brukerkontoene som er dedikert til dette.

  5. Logg av Office 365.

  6. Logg på med en av de nye, dedikerte brukerkontoene for globale administratorer.

  7. Gjør følgende for hver eksisterende brukerkonto som var tilordnet rollen global administrator fra trinn 1:

    • Fjern global administrator-rollen.

    • Tilordne administratorroller til kontoen som gjelder for brukerens jobbfunksjonen og ansvar. Hvis du vil ha mer informasjon om ulike administratorroller i Office 365, kan du se administratorroller i Office 365.

  8. Logg av Office 365.

Resultatet skal være:

  • De eneste brukerkontoene i abonnementet som har rollen global administrator er det nye settet med dedikert globale administratorkontoer. Kontrollere dette med følgende PowerShell-kommandoen:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Alle andre vanlige brukerkontoer som administrerer abonnementet, har tilordnet administratorroller som er knyttet til de tilhørende ansvarsområdene.

Fra nå av logger du på med de dedikerte, globale administratorkontoene bare for oppgaver som krever globale administratorrettigheter. All annen Office 365-administrasjon må gjøres ved å tilordne andre administrative roller til brukerkontoer.

Obs!: Ja, dette krever de ekstra trinnene å logge av den vanlige brukerkontoen og logge på med en dedikert, global administratorkonto. Men dette må kun gjøres av og til for globale administrasjonsoppgaver. Husk at å gjenopprette Office 365-abonnementet etter brudd på en global administratorkonto krever flere trinn.

Trinn 2. Konfigurere godkjenning med flere faktorer for global administrator kontoene dedikert Office 365 og bruke sterkeste form av sekundær godkjenning

Med flere faktorer godkjenning (MFA) for global administrator kontoene krever tilleggsinformasjon utover kontonavn og passord. Office 365 støtter disse metodene for bekreftelse:

  • En telefonsamtale

  • Et tilfeldig generert passord

  • Et smartkort (virtuelt eller fysisk)

  • En biometrisk enhet

Hvis du er en liten bedrift som bruker brukerkontoer som er lagret i skyen (skyen identitet model), bruker du denne fremgangsmåten til å konfigurere MFA ved hjelp av en telefonsamtale eller en tekst melding bekreftelseskode sendt til en smarttelefon:

  1. Aktivere MFA.

  2. Konfigurer totrinnskontroll for Office 365 for å konfigurere hver dedikerte, globale administratorkonto med en telefonsamtale eller tekstmelding som bekreftelsesmetode.

Hvis du er en større organisasjon som bruker en Office 365 hybrid identitet modell, har du flere alternativer for bekreftelse. Hvis du allerede har infrastruktur for sikkerhet i stedet for en sterkere sekundær godkjenningsmetode, bruker du disse trinnene:

  1. Aktivere MFA.

  2. Konfigurer totrinnskontroll for Office 365 for å konfigurere hver dedikerte, globale administratorkonto med en egnet bekreftelsesmetode.

Hvis infrastruktur for sikkerhet for den ønskede sterkere bekreftelsesmetode ikke er på plass og fungerer for Office 365 MFA, anbefaler vi at du konfigurerer dedikert globale administratorkontoer med MFA ved hjelp av en telefonsamtale eller en tekstmelding bekreftelseskoden sendt til en smarttelefon for global administratorkontoer som et midlertidig sikkerhetstiltak. Ikke la kontoene dine dedikert global administrator uten ekstra beskyttelsen som MFA.

For mer informasjon, kan du se Planlegge for godkjenning med flere faktorer for Office 365 distribusjoner.

Se denne artikkelen for å koble til Office 365-tjenester med MFA og PowerShell.

Trinn 3. Skjerm for mistenkelige global administrator kontoaktivitet

Office 365 skyen App sikkerhet lar deg opprette policyer for å varsle deg om mistenkelige virkemåte i abonnementet. Skyen App sikkerhet er innebygd i Office 365 E5, men er også tilgjengelig som en separat tjeneste. Hvis du ikke har Office 365 E5, kan du for eksempel kjøpe lisenser for individuelle skyen App sikkerhet for brukerkontoer som er tilordnet global administrator, sikkerhetsansvarlige og samsvar administratorroller.

Hvis du har skyen App sikkerhet i Office 365-abonnementet, bruker du disse trinnene:

  1. Logg deg på Office 365-portalen med en konto som er tildelt rollen sikkerhetsansvarlige eller samsvar Administrator.

  2. Aktivere Office 365 skyen App sikkerhet.

  3. Se gjennom din feil gjenkjenning policyer for å varsle deg via e-post med anomalous mønstre over privilegerte administrative aktiviteten.

Hvis du vil legge til en brukerkonto til administratorrollen sikkerhet, koble til Office 365 PowerShell med en dedikert global administratorkonto og MFA, fyller du ut brukerhovednavnet lokale brukerkontoer og kjører disse kommandoene:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Hvis du vil legge til en brukerkonto til samsvar administratorrollen, fyller du ut brukerhovednavnet på brukerkontoen, og kjør deretter disse kommandoene:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Ytterligere beskyttelse for bedrifter

Når trinn 1-3, bruke disse flere metoder for å forsikre deg om at den globale administratorkontoen og konfigurasjonen du utfører ved hjelp av det, er så mye som mulig.

Rettigheter arbeidsstasjon (PAW)

Hvis du vil sikre at kjøring av svært privilegerte oppgaver er så mye som mulig, kan du bruke en PAW. En forlabb en dedikert datamaskin som brukes bare for sensitiv konfigurasjonsoppgaver, for eksempel Office 365-konfigurasjon som krever en global administratorkonto. Fordi denne datamaskinen ikke brukes daglig til Internett eller e-post, er det bedre beskyttet mot Internett-angrep og trusler.

Instruksjoner for hvordan du konfigurerer en PAW, kan du se http://aka.ms/cyberpaw.

Azure AD-rettigheter Identitetsbehandling (PIM)

I stedet for at de globale administratorkontoer tilordnes permanent rollen som global administrator, kan du bruke Azure AD PIM slik at ved behov, bare i tid tilordning av rollen som global administrator når det er nødvendig.

I stedet for de globale administratorkontoer som en administrator for permanent, blir de kvalifisert administratorer. Rollen som global administrator er inaktiv til noen trenger den. Du kan deretter fullføre en aktiveringsprosessen for å legge den globale administratorkontoen rollen som global administrator for en forhåndsdefinert periode. Når tiden er utløpt, fjerner PIM rollen som global administrator fra den globale administratorkontoen.

Bruke PIM og denne prosessen betydelig reduserer tiden som global administratorkontoer er utsatt for angrep og bruk av ondsinnede brukere.

For mer informasjon, kan du se konfigurere Azure AD privilegerte Identitetsbehandling.

Obs!: PIM er tilgjengelig med Azure Active Directory Premium P2, som er inkludert i Enterprise mobilitet + sikkerhet (EMS) E5, eller du kan kjøpe lisenser for individuelle for global administrator-kontoene.

Informasjon og hendelse management (SIEM) sikkerhetsprogramvare for Office 365-pålogging

SIEM programvare kjøres på en server utfører sanntid analyse av sikkerhetsvarsler og hendelser som er opprettet av programmer og nettverksmaskinvaren. Hvis du vil tillate at SIEM-serveren for å ta med Office 365 sikkerhetsvarsler og hendelser i analysen og rapporteringsfunksjoner, integrere disse i SIEM programmet:

Neste trinn

Se Sikkerhet beste praksis for Office 365.

Bli bedre på Office
Utforsk opplæring
Vær først ute med de nye funksjonene
Bli med i Office Insiders

Var denne informasjonen nyttig?

Takk for tilbakemeldingen!

Takk for tilbakemeldingen! Det høres ut som det kan være lurt å sette deg i kontakt med én av våre Office-kundestøtteagenter.

×