Office
Aanmelden

Uw globale beheerdersaccount in Office 365 beveiligen

Opmerking:  We willen u graag zo snel mogelijk de meest recente Help-inhoud in uw eigen taal bieden. Deze pagina is automatisch vertaald en kan grammaticale fouten of onnauwkeurigheden bevatten. Wij hopen dat deze inhoud nuttig voor u is. Kunt u ons onder aan deze pagina laten weten of de informatie nuttig voor u was? Hier is het Engelstalige artikel ter referentie.

Overzicht: Uw Office 365-abonnement beschermen tegen aanvallen op basis van de verhouding van een globale beheerder-account.

Beveiligingsschendingen van een Office 365-abonnement, waaronder phishingaanvallen en het verzamelen van gegevens, worden meestal uitgevoerd door de inloggegevens van een globale beheerdersaccount in Office 365 te onderscheppen. Beveiliging in de cloud is afhankelijk van een samenwerkingsverband tussen u en Microsoft:

  • Microsoft-cloudservices zijn gebouwd op basis van vertrouwen en beveiliging. Microsoft biedt u besturingselementen voor beveiliging en mogelijkheden om u te helpen uw gegevens en toepassingen te beveiligen.

  • U bent de eigenaar van uw gegevens en identiteiten, en u bent verantwoordelijk voor de beveiliging hiervan, en van uw on-premises resources en de cloudonderdelen die u beheert.

Microsoft biedt mogelijkheden om te helpen beveiligen van uw organisatie, maar ze zijn werkt alleen als u deze gebruiken. Als u deze niet gebruikt, is het mogelijk dat u vatbaar voor aanvallen. Als u wilt beveiligen uw globale beheerder-accounts, is de Microsoft hier om u te helpen met gedetailleerde instructies voor het:

  1. Maak toegewezen globale beheerdersaccounts in Office 365 en gebruik ze alleen indien nodig.

  2. Configureer meervoudige verificatie voor uw toegewezen globale beheerdersaccounts in Office 365 en gebruik de krachtigste vorm van secundaire verificatie.

  3. Inschakelen en configureren van beveiliging in Office 365 Cloud-App om te controleren op accountactiviteit verdachte globale beheerder.

Opmerking: Hoewel in dit artikel is gericht op accounts van de globale beheerder, kunt u ook overwegen of aanvullende accounts met brede machtigingen voor toegang tot de gegevens in uw abonnement, zoals eDiscovery-beheerder of beveiliging of naleving Administrator-accounts, moeten worden beveiligd op dezelfde manier.

Stap 1. Speciale hoofdbeheerder van Office 365-accounts maken en gebruiken alleen indien nodig

Er zijn relatief weinig beheertaken, zoals rollen toewijzen aan gebruikersaccounts, waarvoor bevoegdheden voor globale beheerder. Daarom in plaats van dagelijkse gebruikersaccounts die zijn toegewezen aan de globale beheerdersrol gebruikt, volgt u deze stappen:

  1. Hiermee bepaalt u de reeks gebruikersaccounts die zijn toegewezen aan de globale beheerdersrol. U kunt dit doen met deze opdracht bij de opdrachtprompt van Microsoft Azure Active Directory-Module voor Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Meld u aan bij uw Office 365-abonnement met een gebruikersaccount waaraan de globale beheerdersrol is toegewezen.

  3. Maak ten minste één en toegewezen tot een maximum van vijf gebruikersaccounts van de globale beheerder. Gebruik sterke wachtwoorden ten minste 12 tekens lang. Zie een sterk wachtwoord maken voor meer informatie. Sla de wachtwoorden opnieuw instellen voor de nieuwe accounts op een veilige locatie.

  4. Wijs de globale beheerdersrol toe aan elk nieuw toegewezen globale beheerdersaccount.

  5. Meld u af bij Office 365.

  6. Meld u aan met een van de nieuwe toegewezen globale beheerdersaccounts.

  7. Voor elk bestaand gebruikersaccount waaraan de globale beheerdersrol uit stap 1 is toegewezen, geldt:

    • Verwijder de globale beheerdersrol.

    • Beheerdersrollen toewijzen aan het account die geschikt zijn voor de, taakfunctie en de verantwoordelijkheid van die gebruiker. Zie voor meer informatie over de verschillende beheerdersrollen in Office 365, beheerdersrollen over Office 365.

  8. Meld u af bij Office 365.

Het resultaat moet zijn:

  • De enige gebruikersaccounts in uw abonnement waarvoor de rol van globale beheerder zijn de nieuwe set met speciale globale beheerder-accounts. Controleer of u dit met de volgende PowerShell-opdracht:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Aan alle andere gewone gebruikersaccounts waarmee uw abonnement wordt beheerd, zijn beheerdersrollen toegewezen die zijn gekoppeld aan de bijbehorende taakverantwoordelijkheden.

Vanaf dit moment meldt u zich alleen met de toegewezen globale beheerdersaccounts aan voor taken waarvoor globale beheerdersmachtigingen zijn vereist. Alle andere Office 365-beheertaken moeten worden uitgevoerd door andere beheerdersrollen toe te wijzen aan gebruikersaccounts.

Opmerking: Ja, hiervoor zijn extra stappen vereist om u af te melden bij uw gewone gebruikersaccount en u aan te melden met een toegewezen globale beheerdersaccount. Maar dit hoeft u slechts af en toe te doen, bij bewerkingen die moeten worden uitgevoerd door een globale beheerder. Vergeet niet dat voor het herstellen van uw Office 365-abonnement na een schending van een globale beheerdersaccount veel meer stappen zijn vereist.

Stap 2. Meervoudige verificatie voor uw Office 365-accounts voor speciale hoofdbeheerder configureren en gebruiken van de krachtigste secundaire verificatie

Meervoudige verificatie (MFA) voor uw globale beheerder-accounts is vereist voor aanvullende informatie naast de naam van het account en wachtwoord. Office 365 ondersteunt de volgende manieren verificatie:

  • Een telefonische oproep

  • Een willekeurig gegenereerde code

  • Een smartcard (al dan niet virtueel)

  • Een biometrisch apparaat

Als u een klein bedrijf waarin gebruikersaccounts alleen opgeslagen in de cloud (de cloud identiteitsmodel) wordt gebruikt, gebruikt u deze stappen voor het configureren van MFA een telefoongesprek of een verificatiecode van de tekst bericht verzonden naar een Smartphone gebruikt:

  1. Schakel MFA in.

  2. Stel verificatie in twee stappen in voor Office 365 om elk toegewezen globale beheerdersaccount te configureren voor een telefoongesprek of sms-bericht als verificatiemethode.

Als u een grotere organisatie die van een Office 365 hybride identiteitsmodel gebruikmaakt bent, hebt u meer opties voor verificatie. Als u de beveiligingsinfrastructuur al voor een sterker secundaire verificatiemethode hebt, gebruikt u deze stappen:

  1. Schakel MFA in.

  2. Stel verificatie in twee stappen in voor Office 365 om elk toegewezen globale beheerdersaccount te configureren voor de juiste verificatiemethode.

Als de beveiligingsinfrastructuur voor de gewenste sterker verificatiemethode zich niet in de locatie en de werking voor Office 365 MFA bevindt, wordt aangeraden dat u speciale globale beheerder-accounts configureren met MFA via een telefoongesprek of een SMS-bericht de verificatiecode verzonden naar een Smartphone voor uw accounts globale beheerder als een maateenheid voor de tussentijdse beveiliging. Laat uw accounts speciale globale beheerder niet zonder de extra beveiliging door MFA.

Zie voor meervoudige verificatie voor Office 365-implementaties plannenvoor meer informatie.

Zie dit artikel om verbinding te maken met Office 365-services met MFA en PowerShell.

Stap 3. Monitor voor accountactiviteit verdachte globale beheerder

Beveiliging in Cloud-App van Office 365 kunt u beleid maken om een melding van verdachte gedrag in uw abonnement. Cloud-App beveiliging is ingebouwd in Office 365 E5, maar het is ook beschikbaar als een afzonderlijke service. Als u nog geen Office 365 E5, kunt u bijvoorbeeld licenties voor individuele Cloud-App beveiliging voor de gebruikersaccounts die zijn toegewezen de globale beheerder, Beveiligingsbeheerder en naleving beheerdersrollen kopen.

Als u Cloud-App beveiliging in uw Office 365-abonnement hebt, gebruikt u deze stappen:

  1. Meld u aan bij de Office 365-portal met een account met de rol Beveiligingsbeheerder of naleving beheerder is toegewezen.

  2. Beveiliging in Office 365-Cloud-App inschakelen.

  3. Controleer uw afwijking detectie beleidsregels om u te waarschuwen door e-mailbericht met een afwijkende patronen van bevoegdheden administratieve activiteit.

Als u wilt een gebruikersaccount toevoegen aan de rol Beveiligingsbeheerder, verbinding maken met Office 365 PowerShell met een globaal beheerdersaccount voor speciale en MFA, vul de UPN van de gebruikersaccount en voer deze opdrachten:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Een gebruikersaccount toevoegen aan de beheerdersrol van naleving, de UPN van de gebruikersaccount invullen, en vervolgens deze opdrachten uitvoeren:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Extra beveiliging voor enterprise organisaties

Nadat u stap 1-3, gebruikt deze extra methoden om ervoor te zorgen dat uw account voor globale beheerder en de configuratie die u uitvoert met deze, zijn zo veilig mogelijk.

Bevoegdheden Access Workstation (PAW)

Om ervoor te zorgen dat de uitvoering van veel bevoegdheden taken zo veilig mogelijk is, gebruikt u een PAW. Een PAW is een speciale computer die alleen wordt gebruikt voor vertrouwelijke configuratietaken uit te voeren, zoals Office 365-configuratie waarvoor een globaal beheerdersaccount. Omdat deze computer niet dagelijks voor surfen op Internet of e-mail wordt gebruikt, is het beter beschermd tegen internetaanvallen en threats.

Zie voor instructies over het instellen van een PAW, http://aka.ms/cyberpaw.

Azure AD-rechten identiteitsbeheer (PIM)

In plaats van uw globale beheerder-accounts de globale beheerdersrol permanent worden toegewezen, kunt u Azure AD PIM om te schakelen op aanvraag, just-in-time toewijzing van de globale beheerdersrol wanneer dat nodig is.

In plaats van uw globale administrator-accounts wordt een permanente beheerder, worden in aanmerking komend beheerders. De rol van globale beheerder is niet actief totdat iemand nodig heeft. U voltooien een activeringsproces om de globale beheerdersrol toevoegen aan het account voor globale beheerder voor een vooraf ingestelde tijdsduur vervolgens. Als de tijd verloopt, worden de globale beheerdersrol in PIM verwijderd uit de globale beheerder-account.

Met PIM en dit proces aanzienlijk Hiermee reduceert u de hoeveelheid tijd die uw accounts globale beheerder vatbaar zijn voor aanvallen en gebruiken door kwaadwillende gebruikers.

Zie Azure AD bevoegdheden configureren identiteitsbeheervoor meer informatie.

Opmerking: PIM is beschikbaar met Azure Active Directory Premium P2, die deel uitmaakt van de Enterprise-mobiliteit + E5 beveiliging (EMS), of u kunt afzonderlijke licenties kopen voor uw globale beheerder-accounts.

Informatie en gebeurtenis management (SIEM) beveiligingssoftware voor Office 365-aanmelding

SIEM software uitvoeren op een server wordt uitgevoerd realtime analyse van beveiligingsmeldingen en gebeurtenissen die zijn gemaakt door toepassingen en netwerkhardware. Als u wilt dat uw server SIEM beveiligingsmeldingen voor Office 365 en gebeurtenissen opnemen in de analyse- en rapportagefuncties, integreren deze in het bestandssysteem SIEM:

Volgende stap

Zie Aanbevolen procedures voor beveiliging voor Office 365.

Uw Office-vaardigheden uitbreiden
Training verkennen
Als eerste nieuwe functies krijgen
Deelnemen aan Office Insiders

Was deze informatie nuttig?

Bedankt voor uw feedback.

Hartelijk dank voor uw feedback! Het lijkt ons een goed idee om u in contact te brengen met een van onze Office-ondersteuningsagents.

×