Proteja suas contas de administrador global do Office 365

Importante :  Este artigo foi traduzido por um sistema de tradução automática, leia o aviso de isenção de responsabilidade. Para sua referência, veja a versão em inglês deste artigo aqui.

Resumo: Proteja suas contas de administrador global com estas etapas.

Para proteger sua assinatura do Office 365 melhor contra ataques com base no compromisso de uma conta de administrador global, você deve fazer o seguinte agora:

  1. Criar contas de administrador global do Office 365 dedicadas e usá-los somente quando necessário.

  2. Configurar a autenticação multifator para suas contas de administrador global do Office 365 dedicadas e use a forma mais segura de autenticação secundária.

  3. Habilitar e configurar a segurança do aplicativo de nuvem do Office 365 para monitorar a atividade da conta de administrador global suspeito.

Violações de segurança de uma assinatura do Office 365, incluindo a coleta de informações e ataques de phishing, geralmente são feitas por comprometer as credenciais de uma conta de administrador global do Office 365. Segurança na nuvem é uma parceria entre você e a Microsoft:

  • Serviços de nuvem da Microsoft são criados em uma base de confiança e segurança. Microsoft fornece recursos para ajudar a proteger seus dados e aplicativos e controles de segurança.

  • Você possui seus dados e identidades e a responsabilidade por protegendo-los, a segurança dos recursos locais e a segurança dos componentes de nuvem que você controle.

Para se proteger, você deve colocar no lugar, os controles e recursos que a Microsoft fornece.

Observação : Embora este artigo é focado em contas de administrador global, você também deve considerar se adicionais contas com amplas permissões para acessar os dados em sua assinatura, como o administrador de descoberta eletrônica, segurança ou conformidade contas de administrador, devem ser protegidos da mesma maneira.

Fase 1. Criar contas de administrador global do Office 365 dedicadas e usá-los somente quando necessário

Há relativamente poucas tarefas administrativas, como atribuindo funções a contas de usuário, que exigem privilégios de administrador global. Portanto, em vez de usar contas de usuário diárias que foram atribuídas à função de administrador global, faça o seguinte imediatamente:

  1. Determine o conjunto de contas de usuário que foram atribuídas a função de administrador global. Você pode fazer isso no Office 365 PowerShell com este comando:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Entrar em sua assinatura do Office 365 com uma conta de usuário que foi atribuída a função de administrador global.

  3. Criar pelo menos um e até no máximo cinco dedicada contas de usuário de administrador global. Longo. de caracteres de senhas fortes pelo menos 12 de uso Armazene as senhas para as novas contas em um local seguro.

  4. Atribua a função de administrador global para cada uma das contas de usuário de administrador global novo dedicada.

  5. Saia do Office 365.

  6. Entrar com uma das novas contas de usuário de administrador global dedicada.

  7. Para cada conta de usuário existente que tinha sido atribuída a função de administrador global da etapa 1:

    • Remova a função de administrador global.

    • Atribua funções de administrador para a conta que são apropriadas para sua função e responsabilidade. Para obter mais informações sobre várias funções de administrador no Office 365, consulte funções de administrador sobre o Office 365.

  8. Saia do Office 365.

O resultado deve ser o seguinte:

  • As contas de usuário apenas em sua assinatura com a função de administrador global são o novo conjunto de contas de administrador global dedicada. Verificar isso com o seguinte comando do PowerShell no prompt de comando módulo Windows Azure Active Directory para Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Todas as outras contas de usuário diárias que gerenciar sua assinatura tem funções de administrador atribuídas que estão associadas a suas responsabilidades de trabalho.

A partir neste momento em diante, você entrar com as contas de administrador global dedicada somente para tarefas que exigem privilégios de administrador global. Todos os outro administração do Office 365 devem ser feito atribuindo outras funções de administração para contas de usuário.

Observação : Sim, isso requer etapas adicionais para sair da sua conta de usuário diárias e entre com uma conta de administrador global dedicada. Mas isso só precisa ser feito ocasionalmente para operações de administrador global. Considere a possibilidade de que recuperar sua assinatura do Office 365 após uma violação de conta de administrador global requerem etapas muito mais.

Fase 2. Configurar a autenticação multifator para suas contas de administrador global do Office 365 dedicadas e use a forma mais segura de autenticação secundária

Autenticação multifator (MFA) para suas contas de administrador global requer informações adicionais além do nome da conta e senha. O Office 365 oferece suporte para os seguintes métodos de verificação:

  • Uma chamada telefônica

  • Uma senha gerada aleatoriamente

  • Um cartão inteligente (físico ou virtual)

  • Um dispositivo biométrico

Se uma pequena empresa que está usando contas de usuário armazenadas somente na nuvem (o modelo de identidade de nuvem), faça o seguinte imediatamente para configurar MFA usando uma chamada telefônica ou um código de verificação de mensagem de texto enviada para um Smartphone:

  1. Habilitar MFA.

  2. Configurar a verificação de etapa 2 para o Office 365 para configurar cada dedicado conta de administrador global de telefonema ou mensagem de texto como o método de verificação.

Se você for uma organização maior que está usando os modelos de identidade sincronizados ou federados do Office 365, você tem mais opções de verificação. Se você já a infraestrutura de segurança no lugar para um método de autenticação secundária mais forte, faça o seguinte imediatamente:

  1. Habilitar MFA.

  2. Configurar a verificação de etapa 2 para o Office 365 para configurar cada dedicado conta de administrador global para o método de verificação apropriada.

Se a infraestrutura de segurança para o método de verificação mais forte desejado não estiver instalado e funcionando para MFA do Office 365, é altamente recomendável que você configure imediatamente contas de administrador global dedicada com MFA usando uma chamada telefônica ou um texto código de verificação de mensagens enviado para um Smartphone para suas contas de administrador global como uma medida de segurança provisório. Não deixe suas contas de administrador global dedicada sem a proteção adicional fornecida pelo MFA.

Para obter mais informações, consulte Planejar autenticação multifator para implantações do Office 365.

Para se conectar aos serviços do Office 365 com MFA e PowerShell, consulte Este artigo.

Fase 3. Habilitar e configurar a segurança do aplicativo de nuvem do Office 365 para monitorar a atividade da conta de administrador global suspeito

Segurança de aplicativo de nuvem do Office 365 permite que você criar políticas para notificá-lo de comportamento suspeito em sua assinatura. Segurança de aplicativo de nuvem interna do Office 365 E5, mas também está disponível como um serviço separado. Por exemplo, se você não tiver o Office 365 E5, você pode adquirir licenças individuais de segurança de aplicativo de nuvem para as contas de usuário que são atribuídas a administrador global, administrador de segurança e funções de administrador de conformidade.

Se você tiver segurança de aplicativo de nuvem em sua assinatura do Office 365, faça o seguinte imediatamente:

  1. Entrar no portal do Office 365 com uma conta que é atribuída a função de administrador de segurança ou administrador de conformidade.

  2. Ativar a segurança de aplicativo do Office 365 nuvem.

  3. Criar políticas de detecção de anomalias para notificá-lo por email de padrões anômalos de atividade administrativa privilegiada.

Para adicionar uma conta de usuário para a função de administrador de segurança, conectar-se para o Office 365 PowerShell com uma conta de administrador global dedicada e MFA, preencha o nome de usuário principal da conta de usuário e, em seguida, execute o seguinte comandos:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Para adicionar uma conta de usuário à função de administrador de conformidade, preencha o nome de usuário principal da conta de usuário e, em seguida, execute os seguintes comandos:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Proteção adicional para suas contas de administrador global

Depois de fases 1-3, usam esses métodos adicionais para garantir que a sua conta de administrador global e a configuração executada usá-lo, são tão seguros quanto possível.

Estação de trabalho do acesso privilegiado (PATA)

Para garantir que a execução de tarefas altamente privilegiadas é tão segura quanto possível, use uma PATA. Uma PATA é um computador dedicado que é usado somente para tarefas de configuração confidenciais, como configuração do Office 365 que requer uma conta de administrador global. Porque este computador não for usado diariamente para navegação na Internet ou email, é melhor protegido contra ameaças e ataques de Internet.

Para obter instruções sobre como configurar uma PATA, consulte http://aka.ms/cyberpaw.

Gerenciamento de identidades do Azure AD privilegiado (PIM)

Em vez de ter suas contas de administrador global ser atribuída permanentemente a função de administrador global, você pode usar o Gerenciador do Azure AD para habilitar a atribuição de sob demanda, em vez da função de administrador global quando for necessário.

Em outras palavras, em vez de suas contas de administrador global sendo um administrador permanente, elas se tornarão administradores qualificados. Função de administrador global está inativa até que alguém precisa dela. Você deve concluir um processo de ativação para adicionar a função de administrador global para a conta de administrador global para um período predeterminado de tempo. Quando o tempo expira, Gerenciador remove a conta de administrador global a função de administrador global.

Usando o Gerenciador e esse processo reduz significativamente a quantidade de tempo que suas contas de administrador global são vulneráveis atacar e usar por usuários mal-intencionados.

Para obter mais informações, consulte Configurar o Azure AD privilegiados gerenciamento de identidades.

Observação : Gerenciador está disponível com o Azure Active Directory Premium P2, que está incluído com mobilidade corporativos + E5 de segurança (EMS), ou você pode adquirir licenças individuais para suas contas de administrador global.

Software de gerenciamento (SIEM) eventos e informações de segurança para o Office 365 log

Software SIEM e um servidor que executa executa análise em tempo real de alertas de segurança e eventos criados por aplicativos e hardware de rede. Para permitir que o servidor SIEM incluir os alertas de segurança do Office 365 e eventos em sua análise e relatório de funções, integre o seguinte no seu sistema de SIEM:

Próxima etapa

Consulte práticas recomendadas de segurança para o Office 365.

Observação : Aviso de Isenção de Tradução Automática: Este artigo foi traduzido por computador, sem intervenção humana. A Microsoft oferece essas traduções automáticas para ajudar as pessoas que não falam inglês a aproveitar os textos escritos sobre produtos, serviços e tecnologias da Microsoft. Como este artigo foi traduzido automaticamente, é possível que contenha erros de vocabulário, sintaxe ou gramática.

Expanda suas habilidades
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Office Insider

Essas informações foram úteis?

Obrigado por seus comentários!

Agradecemos pelos seus comentários! Parece que pode ser útil conectar você a um de nossos agentes de suporte do Office.

×