Ochrona kont administratora globalnego usługi Office 365

Podsumowanie: Chronić swoje konta administratora globalnego, wykonując następujące kroki.

Ważne : Ten artykuł został przetłumaczony maszynowo, zobacz zastrzeżenie. Angielskojęzyczną wersję tego artykułu można znaleźć tutaj .

Aby lepiej zabezpieczyć subskrypcji usługi Office 365 atakami oparte na złamanie konta administratora globalnego, należy wykonać następujące czynności teraz:

  1. Utwórz dedykowane konta administratora globalnego usługi Office 365 i korzystaj z nich wyłącznie wówczas, gdy jest to konieczne.

  2. Skonfiguruj uwierzytelnianie wieloskładnikowe dla dedykowanych kont administratora globalnego usługi Office 365 i użyj najsilniejszej metody uwierzytelniania pomocniczego.

  3. Włączanie i konfigurowanie usługi Office 365 chmury aplikacji zabezpieczenia, aby monitorować aktywność konta administratora globalnego podejrzanych.

Naruszenia zabezpieczeń subskrypcji usługi Office 365, w tym ataki związane z wyłudzaniem i gromadzeniem informacji, opierają się na ogół na naruszeniu poświadczeń konta administratora globalnego usługi Office 365. Bezpieczeństwo w chmurze opiera się na współpracy między Tobą a firmą Microsoft:

  • Fundamentem usług firmy Microsoft w chmurze jest zaufanie i bezpieczeństwo. Firma Microsoft udostępnia funkcje umożliwiające konfigurację zabezpieczeń oraz pomagające w ochronie danych i aplikacji.

  • Ty jesteś właścicielem danych i ponosisz odpowiedzialność za ich ochronę oraz za bezpieczeństwo swoich zasobów lokalnych i kontrolowanych przez siebie składników chmurowych.

Aby zapewnić sobie bezpieczeństwo, należy stosować funkcje i elementy sterujące udostępniane przez firmę Microsoft.

Uwaga : Mimo że w tym artykule jest ograniczony do konta administratora globalnego, należy również rozważyć, czy dodatkowe konta z szeroką uprawnienia dostępu do danych w ramach subskrypcji, takich jak administrator zbierania elektronicznych materiałów dowodowych lub zabezpieczeń lub zgodności konta administratora powinny być chronione w taki sam sposób.

Etap 1. Tworzenie dedykowanych kont administratora globalnego usługi Office 365 i korzystanie z nich wyłącznie wówczas, gdy jest to konieczne

Istnieje stosunkowo niewiele zadań administracyjnych, takich jak przypisywanie ról do kont użytkowników, które wymagają uprawnień administratora globalnego. Nie należy więc korzystać ze zwykłych kont użytkowników z przypisaną rolą administratora globalnego — zamiast tego natychmiast wykonaj następujące czynności:

  1. Określ zbiór kont użytkowników, do których przypisano rolę administratora globalnego. W tym celu możesz użyć następującego polecenia w programie PowerShell dla usługi Office 365:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Zaloguj się do subskrypcji usługi Office 365 przy użyciu konta użytkownika z przypisaną rolą administratora globalnego.

  3. Utwórz od jednego do pięciu dedykowanych kont administratora globalnego. Użyj silnych haseł o długości co najmniej 12 znaków. Przechowuj hasła do nowych kont w bezpiecznym miejscu.

  4. Przypisz rolę administratora globalnego do wszystkich nowych dedykowanych kont administratora globalnego.

  5. Wyloguj się z usługi Office 365.

  6. Zaloguj się przy użyciu jednego z nowych dedykowanych kont administratora globalnego.

  7. Wykonaj następujące czynności dla każdego znalezionego w ramach kroku 1. istniejącego konta użytkownika z przypisaną rolą administratora globalnego:

    • Usuń przypisanie roli administratora globalnego.

    • Przypisywanie ról administratora do konta, które są odpowiednie dla zadania, funkcja oraz zobowiązań tego użytkownika. Aby uzyskać więcej informacji na temat różnych ról administratora w usłudze Office 365 zobacz Role administratora o usłudze Office 365.

  8. Wyloguj się z usługi Office 365.

Wynik powinien być następujący:

  • Nowe dedykowane konta administratora globalnego powinny być jedynymi kontami użytkowników w ramach subskrypcji, które mają przypisaną rolę administratora globalnego. Sprawdź to, uruchamiając następujące polecenie programu PowerShell w wierszu polecenia Modułu Windows Azure Active Directory dla programu Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Wszystkie zwykłe konta użytkowników z uprawnieniami do zarządzania subskrypcją powinny mieć przypisane role administratorów odpowiednie do zakresu obowiązków.

Od tego momentu będziesz logować się przy użyciu dedykowanych kont administratora globalnego tylko w celu wykonania zadań wymagających uprawnień administratora globalnego. Pozostałe czynności administracyjne w usłudze Office 365 muszą być wykonywane przy użyciu kont użytkowników z przypisanymi innymi rolami administratorów.

Uwaga : Faktycznie wymaga to wykonania dodatkowych czynności: wylogowania się ze zwykłego konta użytkownika i zalogowania się przy użyciu dedykowanego konta administratora globalnego. Jednak jest to konieczne wyłącznie od czasu do czasu, podczas wykonywania zadań administratora globalnego. Warto pamiętać, że odzyskanie subskrypcji usługi Office 365 w przypadku naruszenia zabezpieczeń konta administratora globalnego wymaga znacznie większego nakładu pracy.

Etap 2. Konfigurowanie uwierzytelniania wieloskładnikowego dla dedykowanych kont administratora globalnego usługi Office 365 przy użyciu najsilniejszej metody uwierzytelniania pomocniczego

Uwierzytelnianie wieloskładnikowe na koncie administratora globalnego wymaga użycia dodatkowych informacji oprócz nazwy użytkownika i hasła. W usłudze Office 365 są obsługiwane następujące metody weryfikacji:

  • Rozmowa telefoniczna

  • Losowo generowany kod

  • (Wirtualna lub fizyczna) karta inteligentna

  • Urządzenie biometryczne

W przypadku małej firmy korzystającej wyłącznie z kont użytkowników przechowywanych w chmurze (model tożsamości w chmurze) natychmiast wykonaj następujące czynności w celu skonfigurowania uwierzytelniania wieloskładnikowego z użyciem połączenia telefonicznego lub wiadomości tekstowej z kodem weryfikacyjnym wysyłanej na smartfon:

  1. Włącz uwierzytelnianie wieloskładnikowe.

  2. Skonfiguruj weryfikację dwuetapową dla usługi Office 365 z użyciem połączenia telefonicznego lub wiadomości tekstowej jako metody weryfikacji na każdym z dedykowanych kont administratora globalnego.

W przypadku większych organizacji korzystających z modelu tożsamości synchronizowanej lub federacyjnej w usłudze Office 365 dostępnych jest więcej opcji weryfikacji. Jeśli dysponujesz już infrastrukturą zabezpieczeń odpowiednią do obsługi silniejszej metody uwierzytelniania pomocniczego, natychmiast wykonaj następujące czynności:

  1. Włącz uwierzytelnianie wieloskładnikowe.

  2. Skonfiguruj weryfikację dwuetapową dla usługi Office 365 z użyciem odpowiedniej metody weryfikacji na każdym z dedykowanych kont administratora globalnego.

Jeśli infrastruktura zabezpieczeń odpowiednia do obsługi wybranej silniejszej metody weryfikacji na potrzeby uwierzytelniania wieloskładnikowego w usłudze Office 365 nie została jeszcze wdrożona i uruchomiona, zalecamy natychmiastowe skonfigurowanie uwierzytelniania wieloskładnikowego z użyciem połączenia telefonicznego lub wiadomości tekstowej z kodem weryfikacyjnym wysyłanej na smartfon jako tymczasowego zabezpieczenia na dedykowanych kontach administratora globalnego. Nie należy korzystać z dedykowanych kont administratora globalnego bez dodatkowej ochrony, jaką zapewnia funkcja uwierzytelniania wieloskładnikowego.

Aby uzyskać więcej informacji zobacz Planowanie uwierzytelnianie wieloskładnikowe wdrożeniach usługi Office 365.

Jeśli chcesz łączyć się z usługami Office 365 przy użyciu funkcji uwierzytelniania wieloskładnikowego i programu PowerShell, zapoznaj się z tym artykułem.

Faza 3. Włączanie i konfigurowanie usługi Office 365 chmury aplikacji zabezpieczenia, aby monitorować aktywność konta administratora globalnego podejrzanych

Zabezpieczenia aplikacji chmury usługi Office 365 pozwala na tworzenie zasad informujący o podejrzanych zachowanie w ramach subskrypcji. Zabezpieczenia aplikacji chmurze jest wbudowany w usługi Office 365 E5, ale jest również dostępne jako oddzielna usługa. Na przykład jeśli nie masz usługi Office 365 E5, możesz kupić licencji indywidualnych chmury aplikacji zabezpieczeń dla kont użytkowników, które są przypisywane administratora globalnego, administratora zabezpieczeń i role administratora zgodności.

Jeśli masz chmury aplikacji zabezpieczeń w ramach subskrypcji usługi Office 365, natychmiast wykonaj następujące czynności:

  1. Zaloguj się do portalu usługi Office 365 przy użyciu konta jest przypisana rola administratora zabezpieczeń lub administratora zgodności.

  2. Włączanie zabezpieczenia aplikacji pakietu Office 365 chmury.

  3. Tworzenie anomalii wykrywania zasady powiadomienia pocztą e-mail anomalous wzorców uprzywilejowanych czynności administracyjnych.

Aby przypisać do konta użytkownika rolę Administratora zabezpieczeń, połącz się z programem PowerShell dla usługi Office 365 przy użyciu dedykowanego konta administratora globalnego i funkcji uwierzytelniania wieloskładnikowego, uzupełnij główną nazwę użytkownika (UPN) dla konta użytkownika, a następnie uruchom następujące polecenia:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Aby przypisać do konta użytkownika rolę Administratora zgodności, uzupełnij główną nazwę użytkownika (UPN) dla konta użytkownika, a następnie uruchom następujące polecenia:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Dodatkowe zabezpieczenia dla konta administratora globalnego

Po za pomocą tych dodatkowych metod fazy 1-3, upewnij się, że Twoje konto administratora globalnego i konfiguracji, która wykonywania korzystania z niego, są tak samo bezpieczny, jak to możliwe.

Stacja uprzywilejowanych dostępu (ŁAPY)

W celu zapewnienia bezpieczeństwa wykonywaniu zadań wysoce uprzywilejowanych, za pomocą ŁAPY. ŁAPY jest dedykowane komputerze, na którym jest używany tylko do zadań konfiguracyjnych poufne, takie jak konfiguracji usługi Office 365, która wymaga konta administratora globalnego. Ponieważ ten komputer nie jest używany codziennie dla przeglądania Internetu lub poczty e-mail, lepiej jest chroniony przed atakami Internet i zagrożeniami.

Aby uzyskać instrukcje dotyczące konfigurowania ŁAPY zobacz http://aka.ms/cyberpaw.

Azure AD uprawnieniach tożsamości Zarządzanie

Za pomocą Azure AD PIM umożliwiające przypisanie roli administratora globalnego na żądanie, w czasie, gdy jest wymagana, zamiast konta administratora globalnego być trwale przypisana rola administratora globalnego.

Zamiast konta administratora globalnego jest administratorem trwały staje się uprawniony administratorów. Rola administratora globalnego jest nieaktywny, aż ktoś musi. Następnie wykonaj proces aktywacji, aby dodać roli administratora globalnego do konta administratora globalnego dla ustalonej czasu. Po wygaśnięciu czasu, PIM usuwa roli administratora globalnego konta administratora globalnego.

Za pomocą PIM i ten proces znacznie zmniejsza ilość czasu, które są podatne na ataki i złośliwych użytkowników za pomocą konta administratora globalnego.

Aby uzyskać więcej informacji zobacz Konfigurowanie uprzywilejowanych Azure AD Zarządzanie tożsamościami.

Uwaga : PIM są dostępne usługi Azure Active Directory Premium P2, dołączonego mobilności Enterprise + E5 zabezpieczeń (EMS), lub możesz kupić licencji indywidualnych dla konta administratora globalnego.

Oprogramowania zabezpieczającego informacji i zdarzeń zarządzania (SIEM) do logowania usługi Office 365

Oprogramowanie SIEM uruchomić na serwerze wykonuje w czasie rzeczywistym analizy alertów zabezpieczeń i zdarzeń utworzone przez aplikacje i sprzętu sieciowego. Aby zezwolić na serwerze SIEM uwzględnić alertów zabezpieczeń usługi Office 365 i zdarzeń w jego analizy i funkcje raportowania, integracja poniższe czynności w systemie SIEM:

Następny krok

Zobacz Najważniejsze wskazówki dotyczące zabezpieczeń dla usługi Office 365.

Uwaga : Zrzeczenie dotyczące tłumaczenia maszynowego: Ten artykuł został przetłumaczony przez system komputerowy bez interwencji człowieka. Firma Microsoft udostępnia te tłumaczenia maszynowe, aby ułatwić użytkownikom, którzy nie znają języka angielskiego, korzystanie z zawartości dotyczącej produktów, usług i technologii firmy Microsoft. Ponieważ ten artykuł został przetłumaczony maszynowo, może zawierać błędy w słownictwie, składniowe lub gramatyczne.

Rozwijaj swoje umiejętności
Poznaj szkolenia
Uzyskuj nowe funkcje w pierwszej kolejności
Dołącz do niejawnych testerów pakietu Office

Czy te informacje były pomocne?

Dziękujemy za opinię!

Dziękujemy za opinię! Wygląda na to, że połączenie Cię z jednym z naszych agentów pomocy technicznej pakietu Office może być pomocne.

×