Защита учетных записей глобальных администраторов Office 365

Важно :  Данная статья переведена с помощью машинного перевода, см. Отказ от ответственности. Используйте английский вариант этой статьи, который находится здесь, в качестве справочного материала.

Сводка:

Чтобы улучшить защиту подписки на Office 365 от атак, выполните следующие действия как можно скорее:

  1. Создайте специальные учетные записи глобального администратора Office 365 и используйте их только в случае необходимости.

  2. Настройте многофакторную проверку подлинности для учетных записей глобального администратора Office 365 и используйте самую надежную форму дополнительной проверки подлинности.

  3. Включите и настройте расширенное управление безопасностью для отслеживания подозрительных действий с учетной записью глобального администратора.

Такие атаки, как сбор данных и фишинг, обычно выполняются путем компрометации учетной записи глобального администратора Office 365. Безопасность в облаке требует усилий не только корпорации Майкрософт, но и клиента:

  • Облачные службы Майкрософт являются безопасными и защищенными. Корпорация Майкрософт предоставляет вам средства контроля безопасности и функции, помогающие защищать свои приложения и данные.

  • Вы являетесь владельцем данных и удостоверений, а также несете ответственность за их защиту и безопасность локальных ресурсов и облачных компонентов, которыми вы управляете.

Для обеспечения безопасности необходимо применять средства контроля и функции, предоставляемые корпорацией Майкрософт.

Этап 1. Создайте специальные учетные записи глобального администратора Office 365 и используйте их только в случае необходимости

Существует довольно немного административных задач (таких как назначение ролей учетным записям пользователей), которые требуют прав глобального администратора. Поэтому вместо того, чтобы использовать обычные учетные записи пользователей, которым назначена роль глобального администратора, как можно скорее сделайте следующее:

  1. Определите набор учетных записей пользователей, которым назначена роль глобального администратора. Это можно сделать с помощью следующей команды PowerShell для Office 365:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Войдите в Office 365 с помощью учетной записи пользователя, которому назначена роль глобального администратора.

  3. Создайте от одной до пяти специальных учетных записей глобального администратора. Задайте надежные пароли длиной не менее 12 знаков. Храните пароли для новых учетных записей в надежном месте.

  4. Назначьте роль глобального администратора каждой из новых учетных записей глобального администратора.

  5. Выйдите из Office 365.

  6. Войдите в службу, используя одну из специальных учетных записей глобального администратора.

  7. Для каждой из учетных записей из шага 1 (которой была назначена роль глобального администратора) сделайте следующее:

    • Удалите роль глобального администратора.

    • Назначьте учетной записи роли администратора, соответствующие должности и обязанностям этого пользователя. Дополнительные сведения о различных ролях администратора в Office 365 см. в статье Роли администраторов в Office 365.

  8. Выйдите из Office 365.

Результат должен быть следующим:

  • Роль глобального администратора имеют только новые специальные учетные записи глобального администратора. Это можно проверить с помощью следующей команды PowerShell в модуле Windows Azure Active Directory для Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Всем другим (обычным) учетным записям пользователей, которые могут управлять подпиской, назначены роли администраторов, соответствующие их обязанностям.

Начиная с этого момента вход со специальными учетными записями глобального администратора будет выполняться только для задач, для которых требуются права глобального администратора. Все другие задачи администрирования Office 365 необходимо выполнять, назначая другие роли администрирования учетным записям пользователей.

Примечание : Хотя это потребует дополнительных действий, например выхода из обычной учетной записи и входа со специальной учетной записью глобального администратора, это не приведет к существенным затратам времени, так как будет выполняться редко, только когда необходимы операции глобального администрирования. Восстановление подписки на Office 365 после нарушения безопасности учетной записи глобального администратора потребует гораздо больше действий.

Этап 2. Настройте многофакторную проверку подлинности для учетных записей глобального администратора Office 365 и используйте самую надежную форму дополнительной проверки подлинности

При многофакторной проверке подлинности (MFA) для подтверждения учетных записей глобального администратора требуются дополнительные данные, кроме имени пользователя и пароля. Office 365 поддерживает следующие способы проверки:

  • телефонный звонок;

  • код доступа, сформированный случайным образом;

  • смарт-карта (виртуальная или физическая);

  • биометрическое устройство.

Если у вас малое предприятие и вы используете только учетные записи пользователей, хранящиеся в облаке (модель облачных удостоверений), как можно скорее выполните следующие действия, чтобы настроить многофакторную проверку подлинности с использованием телефонного звонка или текстового сообщения с кодом проверки:

  1. Включите MFA.

  2. Настройте двухфакторную проверку подлинности для Office 365 и задайте в качестве способа проверки для каждой специальной учетной записи глобального администратора телефонный звонок или текстовое сообщение.

Если у вас крупная компания, в которых используются модели с синхронизацией или федерацией удостоверений Office 365, вам доступны и другие возможности проверки. Если у вас уже есть инфраструктура безопасности, позволяющая использовать более надежный дополнительный способ проверки подлинности, как можно скорее выполните следующие действия:

  1. Включите MFA.

  2. Настройте двухфакторную проверку подлинности для Office 365 и задайте для каждой специальной учетной записи глобального администратора нужный способ проверки.

Если инфраструктура безопасности для нужного способа отсутствует или не настроена для многофакторной проверки подлинности в Office 365, мы настоятельно рекомендуем в качестве временного решения как можно скорее настроить для специальных учетных записей глобального администратора многофакторную проверку подлинности с помощью телефонного звонка или текстового сообщения с кодом проверки. Не оставляйте учетные записи глобального администратора без дополнительной защиты, обеспечиваемой многофакторной проверкой подлинности.

Дополнительные сведения см. в статье Планирование многофакторной проверки подлинности для развертываний Office 365.

Чтобы подключиться к службам Office 365 с помощью MFA и PowerShell, см. эту статью.

Этап 3. Включите и настройте службу Advanced Security Management для отслеживания подозрительных действий с учетной записью глобального администратора

Расширенное управление безопасностью (ASM) позволяет создавать политики для уведомления о подозрительных действиях с вашей подпиской. Служба ASM входит в состав Office 365 E5, но ее также можно приобрести отдельно. Например, если у вас нет Office 365 E5, вы можете приобрести отдельные лицензии на ASM для учетных записей пользователей, которым назначены роли глобального администратора, администратора безопасности и администратора соответствия требованиям.

Если ASM входит в вашу подписку на Office 365, как можно скорее сделайте следующее:

  1. Войдите на портал Office 365 с учетной записью пользователя, которой назначена роль администратора безопасности или администратора соответствия требованиям.

  2. Включите ASM.

  3. Создайте политики, чтобы получать по почте уведомления о:

    • аномальных действиях администратора;

    • назначении роли участникам.

Чтобы добавить учетную запись пользователя к роли администратора безопасности, подключитесь к Office 365 PowerShell с использованием специальной учетной записи глобального администратора и MFA, укажите имя участника-пользователя учетной записи, а затем выполните следующие команды:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Чтобы назначить учетной записи пользователя роль администратора соответствия требованиям, укажите имя участника-пользователя учетной записи, а затем выполните следующие команды:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Следующий этап

Просмотреть рекомендации по безопасности Office 365.

Примечание : Отказ от ответственности относительно машинного перевода. Данная статья была переведена с помощью компьютерной системы без участия человека. Microsoft предлагает эти машинные переводы, чтобы помочь пользователям, которые не знают английского языка, ознакомиться с материалами о продуктах, услугах и технологиях Microsoft. Поскольку статья была переведена с использованием машинного перевода, она может содержать лексические,синтаксические и грамматические ошибки.

См. также

Роли администраторов в Office 365

Планирование многофакторной проверки подлинности для развертываний Office 365

Включение ASM

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×