Защита учетных записей глобальных администраторов Office 365

Сводка: Защита учетные записи глобального администратора сделайте следующее.

Важно :  Данная статья переведена с помощью машинного перевода, см. Отказ от ответственности. Используйте английский вариант этой статьи, который находится здесь, в качестве справочного материала.

Чтобы лучше защитить от атак с учетом компромиссов учетной записи глобального администратора подписки на Office 365, необходимо выполнить следующие прямо сейчас:

  1. Создайте специальные учетные записи глобального администратора Office 365 и используйте их только в случае необходимости.

  2. Настройте многофакторную проверку подлинности для учетных записей глобального администратора Office 365 и используйте самую надежную форму дополнительной проверки подлинности.

  3. Включение и настройка Office 365 в облаке приложения безопасность для отслеживания активности счета подозрительных глобального администратора.

Такие атаки, как сбор данных и фишинг, обычно выполняются путем компрометации учетной записи глобального администратора Office 365. Безопасность в облаке требует усилий не только корпорации Майкрософт, но и клиента:

  • Облачные службы Майкрософт являются безопасными и защищенными. Корпорация Майкрософт предоставляет вам средства контроля безопасности и функции, помогающие защищать свои приложения и данные.

  • Вы являетесь владельцем данных и удостоверений, а также несете ответственность за их защиту и безопасность локальных ресурсов и облачных компонентов, которыми вы управляете.

Для обеспечения безопасности необходимо применять средства контроля и функции, предоставляемые корпорацией Майкрософт.

Примечание : Несмотря на то, что в этой статье занимается учетные записи глобального администратора, также следует учитывать ли дополнительные учетные записи с широкие права доступа к данным в вашу подписку, например eDiscovery администратора или безопасности или соответствия требованиям учетных записей администраторов должна быть защищена таким же образом.

Этап 1. Создайте специальные учетные записи глобального администратора Office 365 и используйте их только в случае необходимости

Существует довольно немного административных задач (таких как назначение ролей учетным записям пользователей), которые требуют прав глобального администратора. Поэтому вместо того, чтобы использовать обычные учетные записи пользователей, которым назначена роль глобального администратора, как можно скорее сделайте следующее:

  1. Определите набор учетных записей пользователей, которым назначена роль глобального администратора. Это можно сделать с помощью следующей команды PowerShell для Office 365:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Войдите в Office 365 с помощью учетной записи пользователя, которому назначена роль глобального администратора.

  3. Создайте от одной до пяти специальных учетных записей глобального администратора. Задайте надежные пароли длиной не менее 12 знаков. Храните пароли для новых учетных записей в надежном месте.

  4. Назначьте роль глобального администратора каждой из новых учетных записей глобального администратора.

  5. Выйдите из Office 365.

  6. Войдите в службу, используя одну из специальных учетных записей глобального администратора.

  7. Для каждой из учетных записей из шага 1 (которой была назначена роль глобального администратора) сделайте следующее:

    • Удалите роль глобального администратора.

    • Назначение ролей администратора для учетной записи, которые подходят для работы и ответственности этого пользователя. Дополнительные сведения о различных ролей администратора в Office 365 просмотреть роли администраторов об Office 365.

  8. Выйдите из Office 365.

Результат должен быть следующим:

  • Роль глобального администратора имеют только новые специальные учетные записи глобального администратора. Это можно проверить с помощью следующей команды PowerShell в модуле Windows Azure Active Directory для Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Всем другим (обычным) учетным записям пользователей, которые могут управлять подпиской, назначены роли администраторов, соответствующие их обязанностям.

Начиная с этого момента вход со специальными учетными записями глобального администратора будет выполняться только для задач, для которых требуются права глобального администратора. Все другие задачи администрирования Office 365 необходимо выполнять, назначая другие роли администрирования учетным записям пользователей.

Примечание : Хотя это потребует дополнительных действий, например выхода из обычной учетной записи и входа со специальной учетной записью глобального администратора, это не приведет к существенным затратам времени, так как будет выполняться редко, только когда необходимы операции глобального администрирования. Восстановление подписки на Office 365 после нарушения безопасности учетной записи глобального администратора потребует гораздо больше действий.

Этап 2. Настройте многофакторную проверку подлинности для учетных записей глобального администратора Office 365 и используйте самую надежную форму дополнительной проверки подлинности

При многофакторной проверке подлинности (MFA) для подтверждения учетных записей глобального администратора требуются дополнительные данные, кроме имени пользователя и пароля. Office 365 поддерживает следующие способы проверки:

  • телефонный звонок;

  • код доступа, сформированный случайным образом;

  • смарт-карта (виртуальная или физическая);

  • биометрическое устройство.

Если у вас малое предприятие и вы используете только учетные записи пользователей, хранящиеся в облаке (модель облачных удостоверений), как можно скорее выполните следующие действия, чтобы настроить многофакторную проверку подлинности с использованием телефонного звонка или текстового сообщения с кодом проверки:

  1. Включите MFA.

  2. Настройте двухфакторную проверку подлинности для Office 365 и задайте в качестве способа проверки для каждой специальной учетной записи глобального администратора телефонный звонок или текстовое сообщение.

Если у вас крупная компания, в которых используются модели с синхронизацией или федерацией удостоверений Office 365, вам доступны и другие возможности проверки. Если у вас уже есть инфраструктура безопасности, позволяющая использовать более надежный дополнительный способ проверки подлинности, как можно скорее выполните следующие действия:

  1. Включите MFA.

  2. Настройте двухфакторную проверку подлинности для Office 365 и задайте для каждой специальной учетной записи глобального администратора нужный способ проверки.

Если инфраструктура безопасности для нужного способа отсутствует или не настроена для многофакторной проверки подлинности в Office 365, мы настоятельно рекомендуем в качестве временного решения как можно скорее настроить для специальных учетных записей глобального администратора многофакторную проверку подлинности с помощью телефонного звонка или текстового сообщения с кодом проверки. Не оставляйте учетные записи глобального администратора без дополнительной защиты, обеспечиваемой многофакторной проверкой подлинности.

Дополнительные сведения читайте в статье план для многофакторной проверки подлинности для развертывания Office 365.

Чтобы подключиться к службам Office 365 с помощью MFA и PowerShell, см. эту статью.

Этап 3. Включение и настройка Office 365 в облаке приложения безопасность для отслеживания активности счета подозрительных глобального администратора

Безопасность приложений в облаке Office 365 позволяет создавать политики уведомлений о подозрительного поведения в вашу подписку. Безопасность приложений в облаке встроенным Office 365 E5, но также доступна в виде отдельной службы. Например если у вас нет Office 365 E5, вы можете приобрести отдельных приложений в облаке Безопасность лицензий для учетных записей пользователей, которые назначаются глобального администратора, администратора безопасности и соответствие требованиям роли администратора.

При наличии приложений в облаке Безопасность в подписки на Office 365, немедленно сделайте следующее:

  1. Войдите на портал Office 365 с помощью учетной записи, которая назначена роль безопасности администратор или администратор соответствия требованиям.

  2. Включение безопасности Office 365 облачных приложений.

  3. Создание политики обнаружения неполадок уведомления по электронной почты из непредвиденных шаблонов привилегированных административных действий.

Чтобы добавить учетную запись пользователя к роли администратора безопасности, подключитесь к Office 365 PowerShell с использованием специальной учетной записи глобального администратора и MFA, укажите имя участника-пользователя учетной записи, а затем выполните следующие команды:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Чтобы назначить учетной записи пользователя роль администратора соответствия требованиям, укажите имя участника-пользователя учетной записи, а затем выполните следующие команды:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Дополнительные средства защиты для учетных записей глобального администратора

Этапы 1 – 3, чтобы убедиться, что учетной записи глобального администратора и конфигурации выполняемое с ним с помощью этих дополнительных методов, являются максимальную безопасность.

Станции правами доступа (ЛАПЕ)

Чтобы обеспечить выполнение задач, пользователь с привилегированными максимальной защищенности, используйте ЛАПЕ. ЛАПЕ — специализированное компьютер, который используется только для задач конфиденциальные данные, например настройки Office 365, которые требуют учетной записи глобального администратора. Так как этот компьютер ежедневно не используется для просмотра Интернета и электронной почты, лучше защищены от атак из Интернета и угроз.

Инструкции о том, как настроить ЛАПЕ http://aka.ms/cyberpawсм.

Управление правами Azure AD идентификаторов (управления личными данными)

Вместо того, учетные записи глобального администратора окончательно будет назначена роль глобального администратора, Azure AD управления личными данными можно использовать для включения в время, по требованию назначение роли глобального администратора, когда он нужен.

Вместо глобального администратора учетных записей выполняется постоянная администрирования они становятся право администраторов. Роль глобального администратора неактивна, пока не возникает необходимость. Затем вы завершить процесс активации добавить роль глобального администратора в учетной записи глобального администратора для определенного количества времени. По истечении времени управления личными данными Удаляет роль глобального администратора из учетной записи глобального администратора.

С помощью управления личными данными и этот процесс значительно снижается количество времени, которые подвержена атак и использовать злоумышленников учетные записи глобального администратора.

Дополнительные сведения читайте в статье Настройка Azure AD привилегированных удостоверений.

Примечание : Управления личными данными входит в состав Azure Active Directory расширенный P2, которая входит в состав корпоративного мобильность + E5 безопасности (EMS), или можно приобрести отдельные лицензии для учетных записей глобального администратора.

Сведения и событий управления (SIEM) программного обеспечения безопасности для входа в Office 365

Программное обеспечение SIEM выполняются на сервере работает в режиме реального времени анализа предупреждений системы безопасности и события, созданные приложениями и сетевого оборудования. Чтобы разрешить на сервере SIEM включать предупреждений системы безопасности Office 365 и события в его анализа и создание отчетов о функциях, интеграция следующие в системе SIEM:

Следующий этап

Просмотреть рекомендации по безопасности Office 365.

Примечание : Отказ от ответственности относительно машинного перевода. Данная статья была переведена с помощью компьютерной системы без участия человека. Microsoft предлагает эти машинные переводы, чтобы помочь пользователям, которые не знают английского языка, ознакомиться с материалами о продуктах, услугах и технологиях Microsoft. Поскольку статья была переведена с использованием машинного перевода, она может содержать лексические,синтаксические и грамматические ошибки.

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×