Protejați-vă conturile de global administrator Office 365

Important : Acest articol este tradus automat, consultați exonerarea de răspundere. Versiunea în limba engleză a acestui articol se poate găsi aici pentru referință.

Rezumat: Protejați-vă conturile de global administrator cu acești pași.

Pentru a proteja mai bine abonamentul Office 365 din atacurile bazate pe compromis unui cont de global administrator, trebuie să faceți următoarele chiar acum:

  1. Crearea conturilor dedicat de global administrator Office 365 și utilizați-le doar atunci când este necesar.

  2. Configurarea autentificării prin mai multe metode pentru conturile de global administrator Office 365 dedicat și utilizați forma mai puternice de autentificare secundară.

  3. Activarea și configurarea Office 365 Cloud App de securitate pentru a monitoriza pentru activitatea de cont de administrator global suspect.

Securitate încălcări ale un abonament Office 365, inclusiv informații recoltarea și atacuri phishing, de obicei sunt realizate de a compromite acreditările de cont de global administrator Office 365. Securitatea în cloud este între care și Microsoft:

  • Servicii în cloud Microsoft sunt construite pe o bază de încredere și securitate. Microsoft furnizează controale de securitate și capacitățile pentru a vă ajuta să protejarea datelor și a aplicațiilor.

  • Dețineți datele și identități și responsabilitatea pentru protejarea le securitate resursele locale și securitatea cloud componente controlați.

Pentru a vă proteja, trebuie să puneți în locul controale și capacitățile care furnizează Microsoft.

Notă : Deși acest articol se concentrează pe conturile de global administrator, care ar trebui, de asemenea, luați în considerare dacă suplimentare conturi cu o gamă largă de permisiuni pentru a accesa datele din abonamentul dvs., cum ar fi eDiscovery administrator sau de securitate sau conformitate conturile de administrator, ar trebui să fie protejate în același fel.

Faza 1. Crearea conturilor dedicat de global administrator Office 365 și utilizați-le doar atunci când este necesar

Există un număr relativ mic activități administrative, cum ar fi atribuirea rolurilor de la conturile de utilizator, care necesită privilegii de global administrator. Prin urmare, în loc să utilizați conturilor de utilizator zilnice care s-au atribuit rolul de administrator general, procedați astfel imediat:

  1. Determinați setul de conturi de utilizator care s-au atribuit rolul de administrator global. Puteți face acest lucru în Office 365 PowerShell cu această comandă:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Conectați-vă la abonamentul Office 365 cu un cont de utilizator care a fost atribuit rolul de administrator global.

  3. Creați cel puțin unul și până la maximum cinci eforturi conturilor de utilizator global administrator. Utilizarea parole puternice cel puțin 12 caractere mult timp Stocarea parolelor pentru conturile noi într-o locație sigură.

  4. Atribuiți roluri de administrator global în fiecare dintre conturile de utilizator nou dedicat administrator global.

  5. Deconectarea de la Office 365.

  6. Conectați-vă cu unul dintre conturile de utilizator administrator global dedicat nou.

  7. Pentru fiecare cont de utilizator existent care au avut s-a atribuit rolul de administrator global de la pasul 1:

    • Eliminarea rolul de administrator global.

    • Atribuirea rolurilor de administrator de cont care sunt potrivite pentru acel utilizator munca funcția și responsabilitatea. Pentru mai multe informații despre diversele roluri de administrator în Office 365, consultați roluri de administrator despre Office 365.

  8. Deconectarea de la Office 365.

Rezultatul ar trebui să fie următoarele:

  • Conturile de utilizator numai în abonamentul care au rolul de administrator global sunt set nou de administrator global dedicat conturi. Verificați dacă acest lucru cu următoarea comandă PowerShell la linia de comandă modul Windows Azure Active Directory pentru Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Toate celelalte conturi de utilizator zilnice care gestiona abonamentul au roluri de administrator atribuite care sunt asociate cu responsabilitățile activitatea.

Din acest moment mai departe, care vă conectați cu conturile de administrator global dedicat numai pentru activitățile care necesită privilegii de global administrator. Toate celelalte administrarea Office 365 trebuie să fi efectuat de atribuirea celelalte roluri de administrare pentru conturile de utilizator.

Notă : Da, acest lucru necesită pași suplimentari la Deconectare ca contul de utilizator zilnice și conectați-vă cu un cont de administrator global dedicat. Dar doar aceasta trebuie făcut ocazional pentru operațiuni de global administrator. Luați în considerare care recuperarea abonamentul Office 365 după o breșă de cont de global administrator necesită mai multe etape.

Faza 2. Configurarea autentificării prin mai multe metode pentru conturile de global administrator Office 365 dedicat și utilizați forma mai puternice de autentificare secundară

Autentificarea prin mai multe metode (MAE) pentru conturile de global administrator necesită informații suplimentare despre dincolo de nume de cont și parola. Office 365 acceptă următoarele metode de verificare:

  • Un apel telefonic

  • Un cod de acces generat aleator

  • Un smart card (virtual sau fizic)

  • Un dispozitiv biometric

Dacă sunteți un pentru firme mici care utilizează conturi de utilizator stocate doar în cloud (modelul de identitate cloud), procedați astfel imediat pentru a configura Mae utilizând un apel telefonic sau un cod de verificare de mesaj text trimise la un smartphone:

  1. Activarea Mae.

  2. Configurarea verificare Pasul 2 pentru Office 365 pentru a configura fiecare dedicat cont de administrator global pentru apel telefonic sau mesaj text ca metodă de verificare.

Dacă sunteți un mai mare organizație care utilizează sincronizată sau federative modelele de identitate Office 365, aveți mai multe opțiuni de verificare. Dacă aveți infrastructura de securitate deja în loc de o metodă de autentificare secundară mai puternică, procedați astfel imediat:

  1. Activarea Mae.

  2. Configurarea verificare Pasul 2 pentru Office 365 pentru a configura fiecare dedicat cont de administrator global pentru metoda de verificare corespunzătoare.

Dacă infrastructura de securitate pentru metoda de verificare mai puternică dorită nu este în loc și funcționează pentru Office 365 Mae, recomandăm să vă configurați imediat conturile de administrator global dedicat cu MAE utilizând un apel telefonic sau un text codul de verificare mesaj trimis la un smartphone pentru conturile de global administrator ca o măsură de securitate provizoriu. Lăsați conturile de administrator global dedicat fără protecție suplimentară furnizate de MAE.

Pentru mai multe informații, consultați planificarea pentru autentificarea prin mai multe metode pentru Office 365 implementări.

Pentru a vă conecta la serviciile Office 365 cu MAE și PowerShell, consultați acest articol.

Faza 3. Activarea și configurarea Office 365 Cloud App de securitate pentru a monitoriza pentru activitatea de cont de administrator global suspecte

Office 365 Cloud App securitate vă permite să creați politici pentru a notifica de comportament suspecte din abonament. Cloud App de securitate este încorporată în Office 365 E5, dar, de asemenea, este disponibil ca un serviciu separat. De exemplu, dacă nu aveți Office 365 E5, puteți cumpăra licențe individuale de Cloud App de securitate pentru conturile de utilizator care sunt atribuite global administrator, administratorul de securitate și conformitate roluri de administrator.

Dacă aveți Cloud App de securitate în abonamentul Office 365, procedați astfel imediat:

  1. Conectați-vă la portalul Office 365 cu un cont care este atribuit rolul de Administrator de conformitate sau de securitate.

  2. Activarea Office 365 Cloud App securitate.

  3. Crearea anomalie detectare politicile pentru a notifica prin e-mail de modele aberante de activitate privilegiați administrativ.

Pentru a adăuga un cont de utilizator rolul de Administrator de securitate, conectarea la Office 365 PowerShell cu un cont de administrator global dedicat și Mae, completați numele principal de utilizator din contul de utilizator și apoi rulați următoarele comenzi:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Pentru a adăuga un cont de utilizator rolul de Administrator de conformitate, completați numele principal de utilizator din contul de utilizator și apoi rulați următoarele comenzi:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Ar suplimentare pentru conturile de global administrator

După ce faze 1-3, utilizați aceste metode suplimentare pentru a vă asigura că contul de global administrator și configurare efectuată-l utilizați, sunt ca sigure ca posibile.

Lucru privilegiați Access (PAW)

Pentru a vă asigura că executarea de activități privilegii foarte mari este ca sigure ca posibil, utilizați o laba. O laba este un computer dedicat care este utilizată doar pentru activități de configurare sensibile, cum ar fi Office 365 configurare care necesită un cont de global administrator. Deoarece acest computer este utilizat zilnic pentru navigarea pe Internet sau e-mailul, mai bine este protejat de Internet atacuri și amenințări.

Pentru instrucțiuni despre cum să configurați o laba, consultați http://aka.ms/cyberpaw.

Azure AD privilegiate identitate Management (PIM)

Mai degrabă decât conturile de global administrator definitiv atribui roluri de global administrator, puteți utiliza Azure AD PIM pentru a activa la cerere, în timpul atribuire de rol de global administrator atunci când este necesar.

Pe alte cuvinte, în loc de conturile de global administrator fiind administrator permanent, acestea devin eligibil administratori. Rolul de global administrator este inactiv până când cineva are nevoie de acesta. Care apoi urmați un proces de activare pentru a adăuga rolul de global administrator în contul de global administrator pentru o sumă de timp. Atunci când timpul expiră, PIM elimină rolul de global administrator din contul de global administrator.

Utilizarea PIM și acest proces în mod semnificativ reduce durata de timp care conturile de global administrator sunt vulnerabile la atac și utilizarea de către utilizatori rău intenționat.

Pentru mai multe informații, consultați configurarea Azure AD privilegiați Identity Management.

Notă : PIM este disponibil cu Azure Active Directory Premium P2, care este inclus în întreprindere mobilitate + E5 de securitate (EMS), sau puteți să achiziționați licențe individuale pentru conturile de global administrator.

Informații și eveniment gestionare (SIEM) software de securitate pentru Office 365 înregistrarea în jurnal

SIEM software și un server care rulează o efectuează analiza în timp real a avertizărilor de securitate și evenimente create de aplicații și hardware de rețea. Pentru a permite serverul SIEM să includeți avertizărilor de securitate Office 365 și evenimente în sale de analiză și funcțiile de raportare, integrați următoarele în sistemul SIEM:

Pasul următor

Consultați cele mai bune practici de securitate pentru Office 365.

Notă : Exonerare de răspundere pentru traducere automată: Acest articol a fost tradus de un sistem computerizat, fără intervenție umană. Microsoft oferă aceste traduceri automate pentru a ajuta utilizatorii vorbitori de alte limbi decât engleza să beneficieze de conținutul despre produsele, serviciile și tehnologiile Microsoft. Pentru că articolul a fost tradus de un computer, poate conține erori de vocabular, sintaxă sau gramatică.

Extindeți-vă competențele
Explorați instruirea
Fiți primul care obține noile caracteristici
Alăturați-vă utilizatorilor Office Insider

Au fost utile aceste informații?

Vă mulțumim pentru feedback!

Vă mulțumim pentru feedback! Se pare că ar fi util să luați legătura cu unul dintre agenții noștri de asistență Office.

×