Proteja suas contas de administrador global do Office 365

Observação:  Desejamos fornecer o conteúdo da Ajuda mais recente no seu idioma da forma mais rápida possível. Esta página foi traduzida de forma automatizada e pode conter imprecisões ou erros gramaticais. Nosso objetivo é que este conteúdo seja útil para você. As informações foram úteis? Dê sua opinião no final desta página. Aqui está o artigo em inglês para facilitar a referência.

Resumo: Proteja sua assinatura do Office 365 ataques com base no compromisso de uma conta de administrador global.

Violações de segurança de uma assinatura do Office 365, incluindo a coleta de informações e ataques de phishing, geralmente são feitas por comprometer as credenciais de uma conta de administrador global do Office 365. Segurança na nuvem é uma parceria entre você e a Microsoft:

  • Serviços de nuvem da Microsoft são criados em uma base de confiança e segurança. Microsoft fornece recursos para ajudar a proteger seus dados e aplicativos e controles de segurança.

  • Você possui seus dados e identidades e a responsabilidade por protegendo-los, a segurança dos recursos locais e a segurança dos componentes de nuvem que você controle.

A Microsoft fornece recursos para ajudar a proteger sua organização, mas elas são eficazes apenas se você usá-los. Se você não usá-los, você pode estar vulnerável a ataques. Para proteger suas contas de administrador global, a Microsoft está aqui para ajudá-lo com instruções detalhadas para:

  1. Criar contas de administrador global do Office 365 dedicadas e usá-los somente quando necessário.

  2. Configurar a autenticação multifator para suas contas de administrador global do Office 365 dedicadas e use a forma mais segura de autenticação secundária.

  3. Habilitar e configurar a segurança do aplicativo de nuvem do Office 365 para monitorar a atividade da conta de administrador global suspeito.

Observação: Embora este artigo é focado em contas de administrador global, você também deve considerar se adicionais contas com amplas permissões para acessar os dados em sua assinatura, como o administrador de descoberta eletrônica, segurança ou conformidade contas de administrador, devem ser protegidos da mesma maneira.

Etapa 1. Criar contas de administrador global do Office 365 dedicadas e usá-los somente quando necessário

Há relativamente poucas tarefas administrativas, como atribuindo funções a contas de usuário, que exigem privilégios de administrador global. Portanto, em vez de usar contas de usuário diárias que foram atribuídas a função de administrador global, siga estas etapas:

  1. Determine o conjunto de contas de usuário que foram atribuídas a função de administrador global. Você pode fazer isso com este comando no prompt de comando de módulo do Microsoft Azure Active Directory para Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Entrar em sua assinatura do Office 365 com uma conta de usuário que foi atribuída a função de administrador global.

  3. Criar pelo menos um e até no máximo cinco dedicada contas de usuário de administrador global. Longo. de caracteres de senhas fortes pelo menos 12 de uso Consulte criar uma senha forte para obter mais informações. Armazene as senhas para as novas contas em um local seguro.

  4. Atribua a função de administrador global para cada uma das contas de usuário de administrador global novo dedicada.

  5. Saia do Office 365.

  6. Entrar com uma das novas contas de usuário de administrador global dedicada.

  7. Para cada conta de usuário existente que tinha sido atribuída a função de administrador global da etapa 1:

    • Remova a função de administrador global.

    • Atribua funções de administrador para a conta que são apropriadas para sua função e responsabilidade. Para obter mais informações sobre várias funções de administrador no Office 365, consulte funções de administrador sobre o Office 365.

  8. Saia do Office 365.

O resultado deve ser:

  • As contas de usuário apenas em sua assinatura com a função de administrador global são o novo conjunto de contas de administrador global dedicada. Verificar isso com o seguinte comando do PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Todas as outras contas de usuário diárias que gerenciar sua assinatura tem funções de administrador atribuídas que estão associadas a suas responsabilidades de trabalho.

A partir neste momento em diante, você entrar com as contas de administrador global dedicada somente para tarefas que exigem privilégios de administrador global. Todos os outro administração do Office 365 devem ser feito atribuindo outras funções de administração para contas de usuário.

Observação: Sim, isso requer etapas adicionais para sair da sua conta de usuário diárias e entre com uma conta de administrador global dedicada. Mas isso só precisa ser feito ocasionalmente para operações de administrador global. Considere a possibilidade de que recuperar sua assinatura do Office 365 após uma violação de conta de administrador global requerem etapas muito mais.

Etapa 2. Configurar a autenticação multifator para suas contas de administrador global do Office 365 dedicadas e use a forma mais segura de autenticação secundária

Autenticação multifator (MFA) para suas contas de administrador global requer informações adicionais além do nome da conta e senha. O Office 365 oferece suporte a esses métodos de verificação:

  • Uma chamada telefônica

  • Uma senha gerada aleatoriamente

  • Um cartão inteligente (físico ou virtual)

  • Um dispositivo biométrico

Se uma pequena empresa que está usando contas de usuário armazenadas somente na nuvem (o modelo de identidade de nuvem), use estas etapas para configurar MFA usando uma chamada telefônica ou um código de verificação de mensagem de texto enviada para um Smartphone:

  1. Habilitar MFA.

  2. Configurar a verificação de etapa 2 para o Office 365 para configurar cada dedicados conta de administrador global de telefonema ou mensagem de texto como o método de verificação.

Se você for uma organização maior que está usando um modelo de identidade do Office 365 híbrido, você tem mais opções de verificação. Se você ainda tiver a infraestrutura de segurança no lugar de um método de autenticação secundária mais forte, siga estas etapas:

  1. Habilitar MFA.

  2. Configurar a verificação de etapa 2 para o Office 365 para configurar cada dedicados conta de administrador global para o método de verificação apropriada.

Se a infraestrutura de segurança para o método de verificação mais forte desejado não estiver instalado e funcionando para MFA do Office 365, é altamente recomendável que você configure contas de administrador global dedicada com MFA usando uma chamada telefônica ou uma mensagem de texto código de verificação enviado para um Smartphone para suas contas de administrador global como uma medida de segurança provisório. Não deixe suas contas de administrador global dedicada sem a proteção adicional fornecida pelo MFA.

Para obter mais informações, consulte Planejar autenticação multifator para implantações do Office 365.

Para se conectar aos serviços do Office 365 com MFA e PowerShell, consulte Este artigo.

Etapa 3. Monitor de atividades da conta de administrador global suspeito

Segurança de aplicativo de nuvem do Office 365 permite que você criar políticas para notificá-lo de comportamento suspeito em sua assinatura. Segurança de aplicativo de nuvem interna do Office 365 E5, mas também está disponível como um serviço separado. Por exemplo, se você não tiver o Office 365 E5, você pode adquirir licenças individuais de segurança de aplicativo de nuvem para as contas de usuário que são atribuídas a administrador global, administrador de segurança e funções de administrador de conformidade.

Se você tiver segurança de aplicativo de nuvem em sua assinatura do Office 365, use estas etapas:

  1. Entrar no portal do Office 365 com uma conta que é atribuída a função de administrador de segurança ou administrador de conformidade.

  2. Ativar a segurança de aplicativo do Office 365 nuvem.

  3. Examine suas políticas de detecção de anomalias para notificá-lo por email de padrões anômalos de atividade administrativa privilegiada.

Para adicionar uma conta de usuário à função de administrador de segurança, conectar-se para o Office 365 PowerShell com uma conta de administrador global dedicada e MFA, preencha o nome de usuário principal da conta de usuário e, em seguida, executar esses comandos:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Para adicionar uma conta de usuário à função de administrador de conformidade, preencha o nome de usuário principal da conta de usuário e, em seguida, execute esses comandos:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Proteção adicional para empresas

Depois que as etapas 1 a 3, usam esses métodos adicionais para garantir que sua conta de administrador global e a configuração executada usá-lo, são tão seguros quanto possível.

Estação de trabalho do acesso privilegiado (PATA)

Para garantir que a execução de tarefas altamente privilegiadas é tão segura quanto possível, use uma PATA. Uma PATA é um computador dedicado que é usado somente para tarefas de configuração confidenciais, como configuração do Office 365 que requer uma conta de administrador global. Porque este computador não for usado diariamente para navegação na Internet ou email, é melhor protegido contra ameaças e ataques de Internet.

Para obter instruções sobre como configurar uma PATA, consulte http://aka.ms/cyberpaw.

Gerenciamento de identidades do Azure AD privilegiado (PIM)

Em vez de ter suas contas de administrador global ser atribuída permanentemente a função de administrador global, você pode usar o Gerenciador do Azure AD para habilitar a atribuição de sob demanda, em vez da função de administrador global quando for necessário.

Em vez de suas contas de administrador global sendo um administrador permanente, elas se tornarão administradores qualificados. Função de administrador global está inativa até que alguém precisa dela. Você deve concluir um processo de ativação para adicionar a função de administrador global para a conta de administrador global para um período predeterminado de tempo. Quando o tempo expira, Gerenciador remove a conta de administrador global a função de administrador global.

Usando o Gerenciador e esse processo reduz significativamente a quantidade de tempo que suas contas de administrador global são vulneráveis atacar e usar por usuários mal-intencionados.

Para obter mais informações, consulte Configurar o Azure AD privilegiados gerenciamento de identidades.

Observação: Gerenciador está disponível com o Azure Active Directory Premium P2, que está incluído com mobilidade corporativos + E5 de segurança (EMS), ou você pode adquirir licenças individuais para suas contas de administrador global.

Software de gerenciamento (SIEM) eventos e informações de segurança para o Office 365 log

Software SIEM executado em um servidor executa análise em tempo real de alertas de segurança e eventos criados por aplicativos e hardware de rede. Para permitir que o servidor SIEM incluir os alertas de segurança do Office 365 e eventos em sua análise e relatório de funções, integre esses elementos no seu sistema SIEM:

Próxima etapa

Consulte práticas recomendadas de segurança para o Office 365.

Expanda suas habilidades no Office
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Office Insider

Essas informações foram úteis?

Obrigado por seus comentários!

Agradecemos pelos seus comentários! Parece que pode ser útil conectar você a um de nossos agentes de suporte do Office.

×