Ochrona kont administratora globalnego usługi Office 365

Uwaga:  Staramy się udostępniać najnowszą zawartość Pomocy w Twoim języku tak szybko, jak to możliwe. Ta strona została przetłumaczona automatycznie i może zawierać błędy gramatyczne lub nieścisłości. Chcemy, aby ta zawartość była dla Ciebie przydatna. Prosimy o powiadomienie nas, czy te informacje były pomocne, u dołu tej strony. Oto angielskojęzyczny artykuł do wglądu.

Podsumowanie: Chroń subskrypcji usługi Office 365 atakami oparte na złamanie konta administratora globalnego.

Naruszenia zabezpieczeń subskrypcji usługi Office 365, w tym ataki związane z wyłudzaniem i gromadzeniem informacji, opierają się na ogół na naruszeniu poświadczeń konta administratora globalnego usługi Office 365. Bezpieczeństwo w chmurze opiera się na współpracy między Tobą a firmą Microsoft:

  • Fundamentem usług firmy Microsoft w chmurze jest zaufanie i bezpieczeństwo. Firma Microsoft udostępnia funkcje umożliwiające konfigurację zabezpieczeń oraz pomagające w ochronie danych i aplikacji.

  • Ty jesteś właścicielem danych i ponosisz odpowiedzialność za ich ochronę oraz za bezpieczeństwo swoich zasobów lokalnych i kontrolowanych przez siebie składników chmurowych.

Firma Microsoft udostępnia funkcje ułatwiające ochronę organizacji, ale są skuteczne tylko wtedy, gdy ich używać. Jeśli nie korzystasz z nich, mogą występować ataki. Aby chronić swoje konta administratora globalnego, Microsoft jest tutaj ułatwiają szczegółowe instrukcje:

  1. Utwórz dedykowane konta administratora globalnego usługi Office 365 i korzystaj z nich wyłącznie wówczas, gdy jest to konieczne.

  2. Skonfiguruj uwierzytelnianie wieloskładnikowe dla dedykowanych kont administratora globalnego usługi Office 365 i użyj najsilniejszej metody uwierzytelniania pomocniczego.

  3. Włączanie i konfigurowanie usługi Office 365 chmury aplikacji zabezpieczenia, aby monitorować aktywność konta administratora globalnego podejrzanych.

Uwaga: Mimo że w tym artykule jest ograniczony do konta administratora globalnego, należy również rozważyć, czy dodatkowe konta z szeroką uprawnienia dostępu do danych w ramach subskrypcji, takich jak administrator zbierania elektronicznych materiałów dowodowych lub zabezpieczeń lub zgodności konta administratora powinny być chronione w taki sam sposób.

Krok 1. Tworzenie konta administratora globalnego usługi Office 365 dedykowane i używać ich tylko wtedy, gdy jest to konieczne

Istnieje stosunkowo niewielką liczbą zadań administracyjnych, takie jak przypisywanie ról do kont użytkowników, które wymagają uprawnień administratora globalnego. W związku z tym zamiast codziennych konta, które zostały przypisane do roli administratora globalnego, wykonaj następujące czynności:

  1. Określanie zestawu kont użytkowników, które zostały przypisane do roli administratora globalnego. Można to zrobić przy użyciu tego polecenia w wierszu polecenia programu Microsoft Azure Active Directory modułu dla programu Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Zaloguj się do subskrypcji usługi Office 365 przy użyciu konta użytkownika z przypisaną rolą administratora globalnego.

  3. Utwórz co najmniej jeden i maksymalnie pięć dedykowane konta administratora globalnego. Używanie silnych haseł co najmniej 12 znaków długa Aby uzyskać więcej informacji, zobacz Tworzenie silnych haseł . Przechowywanie haseł do nowego konta w bezpiecznym miejscu.

  4. Przypisz rolę administratora globalnego do wszystkich nowych dedykowanych kont administratora globalnego.

  5. Wyloguj się z usługi Office 365.

  6. Zaloguj się przy użyciu jednego z nowych dedykowanych kont administratora globalnego.

  7. Wykonaj następujące czynności dla każdego znalezionego w ramach kroku 1. istniejącego konta użytkownika z przypisaną rolą administratora globalnego:

    • Usuń przypisanie roli administratora globalnego.

    • Przypisywanie ról administratora do konta, które są odpowiednie dla zadania, funkcja oraz zobowiązań tego użytkownika. Aby uzyskać więcej informacji na temat różnych ról administratora w usłudze Office 365 zobacz Role administratora o usłudze Office 365.

  8. Wyloguj się z usługi Office 365.

Wyniki powinny być:

  • Konta użytkowników tylko w ramach subskrypcji, którzy mają rolę administratora globalnego są nowy zestaw kont dedykowane administratora globalnego. Sprawdź to przy użyciu następującego polecenia programu PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Wszystkie zwykłe konta użytkowników z uprawnieniami do zarządzania subskrypcją powinny mieć przypisane role administratorów odpowiednie do zakresu obowiązków.

Od tego momentu będziesz logować się przy użyciu dedykowanych kont administratora globalnego tylko w celu wykonania zadań wymagających uprawnień administratora globalnego. Pozostałe czynności administracyjne w usłudze Office 365 muszą być wykonywane przy użyciu kont użytkowników z przypisanymi innymi rolami administratorów.

Uwaga: Faktycznie wymaga to wykonania dodatkowych czynności: wylogowania się ze zwykłego konta użytkownika i zalogowania się przy użyciu dedykowanego konta administratora globalnego. Jednak jest to konieczne wyłącznie od czasu do czasu, podczas wykonywania zadań administratora globalnego. Warto pamiętać, że odzyskanie subskrypcji usługi Office 365 w przypadku naruszenia zabezpieczeń konta administratora globalnego wymaga znacznie większego nakładu pracy.

Krok 2. Konfigurowanie uwierzytelniania wieloskładnikowego dla konta administratora globalnego usługi Office 365 dedykowane i formularz silnego uwierzytelniania pomocniczej

Uwierzytelnianie wieloskładnikowe (MFA) dla konta administratora globalnego wymaga dodatkowych informacji poza nazwę konta i hasło. Usługa Office 365 obsługuje tych metod weryfikacji:

  • Rozmowa telefoniczna

  • Losowo generowany kod

  • (Wirtualna lub fizyczna) karta inteligentna

  • Urządzenie biometryczne

Jeśli masz plan small business, który korzysta z kont użytkowników przechowywanych tylko w chmurze (model tożsamości chmury), wykonaj następujące kroki, aby skonfigurować MFA przy użyciu rozmowy telefonicznej lub kodu weryfikacyjnego tekstu wiadomości wysyłane do smartfonu:

  1. Włącz uwierzytelnianie wieloskładnikowe.

  2. Skonfiguruj weryfikację dwuetapową dla usługi Office 365 z użyciem połączenia telefonicznego lub wiadomości tekstowej jako metody weryfikacji na każdym z dedykowanych kont administratora globalnego.

W przypadku większych organizacji, która jest używany model tożsamości hybrydowego usługi Office 365, masz więcej opcji weryfikacji. Jeśli już infrastruktury zabezpieczeń w celu silniejsza metoda uwierzytelniania pomocniczym, wykonaj następujące kroki:

  1. Włącz uwierzytelnianie wieloskładnikowe.

  2. Skonfiguruj weryfikację dwuetapową dla usługi Office 365 z użyciem odpowiedniej metody weryfikacji na każdym z dedykowanych kont administratora globalnego.

Infrastruktura zabezpieczeń silniejsze metodę weryfikacji nie znajduje się w lokalizacji i działania dla usługi Office 365 MFA, Stanowczo zalecamy Konfigurowanie konta administratora globalnego dedykowane z MFA przy użyciu rozmowy telefonicznej lub wiadomości SMS kod weryfikacyjny wysyłane do smartfonu dla konta administratora globalnego jako środek pośredni zabezpieczeń. Nie opuścić konta administratora globalnego dedykowane bez dodatkowych ochrony dostarczony przez MFA.

Aby uzyskać więcej informacji zobacz Planowanie uwierzytelnianie wieloskładnikowe wdrożeniach usługi Office 365.

Jeśli chcesz łączyć się z usługami Office 365 przy użyciu funkcji uwierzytelniania wieloskładnikowego i programu PowerShell, zapoznaj się z tym artykułem.

Krok 3. Monitor do działania na koncie podejrzanych administratora globalnego

Zabezpieczenia aplikacji chmury usługi Office 365 pozwala na tworzenie zasad informujący o podejrzanych zachowanie w ramach subskrypcji. Zabezpieczenia aplikacji chmurze jest wbudowany w usługi Office 365 E5, ale jest również dostępne jako oddzielna usługa. Na przykład jeśli nie masz usługi Office 365 E5, możesz kupić licencji indywidualnych chmury aplikacji zabezpieczeń dla kont użytkowników, które są przypisywane administratora globalnego, administratora zabezpieczeń i role administratora zgodności.

Jeśli masz chmury aplikacji zabezpieczeń w ramach subskrypcji usługi Office 365, wykonaj następujące kroki:

  1. Zaloguj się do portalu usługi Office 365 przy użyciu konta jest przypisana rola administratora zabezpieczeń lub administratora zgodności.

  2. Włączanie zabezpieczenia aplikacji pakietu Office 365 chmury.

  3. Przejrzyj zasady wykrywania anomalii powiadomienia pocztą e-mail anomalous wzorców uprzywilejowanych czynności administracyjnych.

Aby dodać konto użytkownika do roli administratora zabezpieczeń, Nawiązywanie połączenia z usługi Office 365 PowerShell przy użyciu konta administratora globalnego dedykowane i MFA, wypełnij głównej nazwy użytkownika konta użytkownika, a następnie uruchom następujące polecenia:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Aby dodać konto użytkownika do roli administratora zgodności, wypełnij głównej nazwy użytkownika konta użytkownika, a następnie uruchom następujące polecenia:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Dodatkowe zabezpieczenia w przypadku organizacji przedsiębiorstwa

Po za pomocą metody te dodatkowe kroki 1-3, upewnij się, że Twoje konto administratora globalnego i konfiguracji, która wykonywania korzystania z niego, są tak samo bezpieczny, jak to możliwe.

Stacja uprzywilejowanych dostępu (ŁAPY)

W celu zapewnienia bezpieczeństwa wykonywaniu zadań wysoce uprzywilejowanych, za pomocą ŁAPY. ŁAPY jest dedykowane komputerze, na którym jest używany tylko do zadań konfiguracyjnych poufne, takie jak konfiguracji usługi Office 365, która wymaga konta administratora globalnego. Ponieważ ten komputer nie jest używany codziennie dla przeglądania Internetu lub poczty e-mail, lepiej jest chroniony przed atakami Internet i zagrożeniami.

Aby uzyskać instrukcje dotyczące konfigurowania ŁAPY zobacz http://aka.ms/cyberpaw.

Azure AD uprawnieniach tożsamości Zarządzanie

Za pomocą Azure AD PIM umożliwiające przypisanie roli administratora globalnego na żądanie, w czasie, gdy jest wymagana, zamiast konta administratora globalnego być trwale przypisana rola administratora globalnego.

Zamiast konta administratora globalnego jest administratorem trwały staje się uprawniony administratorów. Rola administratora globalnego jest nieaktywny, aż ktoś musi. Następnie wykonaj proces aktywacji, aby dodać roli administratora globalnego do konta administratora globalnego dla ustalonej czasu. Po wygaśnięciu czasu, PIM usuwa roli administratora globalnego konta administratora globalnego.

Za pomocą PIM i ten proces znacznie zmniejsza ilość czasu, które są podatne na ataki i złośliwych użytkowników za pomocą konta administratora globalnego.

Aby uzyskać więcej informacji zobacz Konfigurowanie uprzywilejowanych Azure AD Zarządzanie tożsamościami.

Uwaga: PIM są dostępne usługi Azure Active Directory Premium P2, dołączonego mobilności Enterprise + E5 zabezpieczeń (EMS), lub możesz kupić licencji indywidualnych dla konta administratora globalnego.

Oprogramowania zabezpieczającego informacji i zdarzeń zarządzania (SIEM) do logowania usługi Office 365

Oprogramowanie SIEM uruchomić na serwerze wykonuje w czasie rzeczywistym analizy alertów zabezpieczeń i zdarzeń utworzone przez aplikacje i sprzętu sieciowego. Aby zezwolić na serwerze SIEM uwzględnić alertów zabezpieczeń usługi Office 365 i zdarzeń w jego analizy i funkcje raportowania, integracja je w systemie SIEM:

Następny krok

Zobacz Najważniejsze wskazówki dotyczące zabezpieczeń dla usługi Office 365.

Rozwijaj umiejętności związane z pakietem Office
Poznaj szkolenia
Uzyskuj nowe funkcje w pierwszej kolejności
Dołącz do niejawnych testerów pakietu Office

Czy te informacje były pomocne?

Dziękujemy za opinię!

Dziękujemy za opinię! Wygląda na to, że połączenie Cię z jednym z naszych agentów pomocy technicznej pakietu Office może być pomocne.

×