Защита учетных записей глобальных администраторов Office 365

Примечание:  Мы стараемся как можно оперативнее обеспечивать вас актуальными справочными материалами на вашем языке. Эта страница переведена автоматически, поэтому ее текст может содержать неточности и грамматические ошибки. Для нас важно, чтобы эта статья была вам полезна. Просим вас уделить пару секунд и сообщить, помогла ли она вам, с помощью кнопок внизу страницы. Для удобства также приводим ссылку на оригинал (на английском языке) .

Сводка: Защита от атаки с учетом компромиссов учетной записи глобального администратора подписки на Office 365.

Такие атаки, как сбор данных и фишинг, обычно выполняются путем компрометации учетной записи глобального администратора Office 365. Безопасность в облаке требует усилий не только корпорации Майкрософт, но и клиента:

  • Облачные службы Майкрософт являются безопасными и защищенными. Корпорация Майкрософт предоставляет вам средства контроля безопасности и функции, помогающие защищать свои приложения и данные.

  • Вы являетесь владельцем данных и удостоверений, а также несете ответственность за их защиту и безопасность локальных ресурсов и облачных компонентов, которыми вы управляете.

Microsoft предоставляет возможности для защиты вашей организации, но они вступают в силу только при их использовании. Если вы не используете их, может быть подвержена атак. Чтобы защитить учетные записи глобального администратора, Microsoft уже здесь для получения подробных инструкций для:

  1. Создайте специальные учетные записи глобального администратора Office 365 и используйте их только в случае необходимости.

  2. Настройте многофакторную проверку подлинности для учетных записей глобального администратора Office 365 и используйте самую надежную форму дополнительной проверки подлинности.

  3. Включение и настройка Office 365 в облаке приложения безопасность для отслеживания активности счета подозрительных глобального администратора.

Примечание: Несмотря на то, что в этой статье занимается учетные записи глобального администратора, также следует учитывать ли дополнительные учетные записи с широкие права доступа к данным в вашу подписку, например eDiscovery администратора или безопасности или соответствия требованиям учетных записей администраторов должна быть защищена таким же образом.

Шаг 1. Создание выделенный учетные записи глобального администратора Office 365 и использовать их только при необходимости

Существует относительно небольшим числом административные задачи, например назначение роли учетные записи пользователей, которые требуются права глобального администратора. Таким образом вместо использования повседневные учетным записям пользователей назначена роль глобального администратора, выполните следующие действия.

  1. Определите набор учетных записей пользователей, которым назначены роль глобального администратора. Это можно сделать с помощью этой команды в командной строке Microsoft Azure Active Directory модуля для Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Войдите в Office 365 с помощью учетной записи пользователя, которому назначена роль глобального администратора.

  3. Создание по крайней мере одно и не более пяти выделенные учетные записи пользователей глобального администратора. Использование надежных паролей менее 12 символов длинноеСоздание надежного пароля более подробные сведения. Хранение паролей для добавления учетных записей в надежном расположении.

  4. Назначьте роль глобального администратора каждой из новых учетных записей глобального администратора.

  5. Выйдите из Office 365.

  6. Войдите в службу, используя одну из специальных учетных записей глобального администратора.

  7. Для каждой из учетных записей из шага 1 (которой была назначена роль глобального администратора) сделайте следующее:

    • Удалите роль глобального администратора.

    • Назначение ролей администратора для учетной записи, которые подходят для работы и ответственности этого пользователя. Дополнительные сведения о различных ролей администратора в Office 365 просмотреть роли администраторов об Office 365.

  8. Выйдите из Office 365.

Результат должен быть:

  • Только учетные записи пользователей в вашей подписке, имеющие роль глобального администратора являются новый набор учетных записей выделенный глобального администратора. Проверьте это с помощью следующей команды PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Всем другим (обычным) учетным записям пользователей, которые могут управлять подпиской, назначены роли администраторов, соответствующие их обязанностям.

Начиная с этого момента вход со специальными учетными записями глобального администратора будет выполняться только для задач, для которых требуются права глобального администратора. Все другие задачи администрирования Office 365 необходимо выполнять, назначая другие роли администрирования учетным записям пользователей.

Примечание: Хотя это потребует дополнительных действий, например выхода из обычной учетной записи и входа со специальной учетной записью глобального администратора, это не приведет к существенным затратам времени, так как будет выполняться редко, только когда необходимы операции глобального администрирования. Восстановление подписки на Office 365 после нарушения безопасности учетной записи глобального администратора потребует гораздо больше действий.

Шаг 2. Настройка многофакторной проверки подлинности для учетных записей выделенный глобального администратора Office 365 и используйте форму надежную вспомогательной проверки подлинности

Многофакторной проверки подлинности (MFA) для учетных записей глобального администратора требует дополнительных сведений помимо имя пользователя и пароль. Office 365 поддерживает следующие методы проверки.

  • телефонный звонок;

  • код доступа, сформированный случайным образом;

  • смарт-карта (виртуальная или физическая);

  • биометрическое устройство.

При наличии малого бизнеса, с помощью учетных записей пользователей, сохраненных в облаке (удостоверений модели облачных) только выполните следующие действия для настройки с помощью телефонного звонка или проверочный код текст сообщение отправлено смартфон многофакторной проверки Подлинности.

  1. Включите MFA.

  2. Настройте двухфакторную проверку подлинности для Office 365 и задайте в качестве способа проверки для каждой специальной учетной записи глобального администратора телефонный звонок или текстовое сообщение.

При наличии большой организации, в которых используется модель идентификации гибридного развертывания Office 365, у вас есть дополнительные параметры проверки. Если уже инфраструктура безопасности на месте для более надежный метод вспомогательной проверки подлинности, выполните следующие действия.

  1. Включите MFA.

  2. Настройте двухфакторную проверку подлинности для Office 365 и задайте для каждой специальной учетной записи глобального администратора нужный способ проверки.

Если инфраструктура безопасности для нужного стойкий метода проверки не на месте и работает для многофакторной проверки Подлинности Office 365, мы настоятельно рекомендуем настроить учетные записи выделенный глобального администратора с многофакторной проверки Подлинности с помощью телефонного звонка или текстовое сообщение Проверочный код отправленный смартфон на учетные записи глобального администратора в качестве меры промежуточный безопасности. Не покинуть учетные записи выделенный глобального администратора дополнительную защиту, предоставляемые многофакторной проверки Подлинности.

Дополнительные сведения читайте в статье план для многофакторной проверки подлинности для развертывания Office 365.

Чтобы подключиться к службам Office 365 с помощью MFA и PowerShell, см. эту статью.

Шаг 3. Монитор для действия с учетной записью подозрительных глобального администратора

Безопасность приложений в облаке Office 365 позволяет создавать политики уведомлений о подозрительного поведения в вашу подписку. Безопасность приложений в облаке встроенным Office 365 E5, но также доступна в виде отдельной службы. Например если у вас нет Office 365 E5, вы можете приобрести отдельных приложений в облаке Безопасность лицензий для учетных записей пользователей, которые назначаются глобального администратора, администратора безопасности и соответствие требованиям роли администратора.

Если у вас есть безопасность приложений в облаке подписки на Office 365, сделайте следующее:

  1. Войдите на портал Office 365 с помощью учетной записи, которая назначена роль безопасности администратор или администратор соответствия требованиям.

  2. Включение безопасности Office 365 облачных приложений.

  3. Просмотрите политики обнаружения неполадок уведомлений по электронной почте из непредвиденных шаблонов привилегированных административных действий.

Чтобы добавить учетную запись пользователя к роли администратора безопасности, подключение к Office 365 PowerShell с учетной записью выделенный глобального администратора и многофакторной проверки Подлинности, введите в поле имя участника пользователя учетной записи пользователя и запустите эти команды:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Чтобы добавить учетную запись пользователя к роли администратора соответствия требованиям, заполните участника имя пользователя учетной записи и выполните следующие команды:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Дополнительные средства защиты для предприятий

Шаги 1 – 3, чтобы убедиться, что учетной записи глобального администратора и конфигурации выполняемое с ним с помощью этих дополнительных методов, являются максимальную безопасность.

Станции правами доступа (ЛАПЕ)

Чтобы обеспечить выполнение задач, пользователь с привилегированными максимальной защищенности, используйте ЛАПЕ. ЛАПЕ — специализированное компьютер, который используется только для задач конфиденциальные данные, например настройки Office 365, которые требуют учетной записи глобального администратора. Так как этот компьютер ежедневно не используется для просмотра Интернета и электронной почты, лучше защищены от атак из Интернета и угроз.

Инструкции о том, как настроить ЛАПЕ http://aka.ms/cyberpawсм.

Управление правами Azure AD идентификаторов (управления личными данными)

Вместо того, учетные записи глобального администратора окончательно будет назначена роль глобального администратора, Azure AD управления личными данными можно использовать для включения в время, по требованию назначение роли глобального администратора, когда он нужен.

Вместо глобального администратора учетных записей выполняется постоянная администрирования они становятся право администраторов. Роль глобального администратора неактивна, пока не возникает необходимость. Затем вы завершить процесс активации добавить роль глобального администратора в учетной записи глобального администратора для определенного количества времени. По истечении времени управления личными данными Удаляет роль глобального администратора из учетной записи глобального администратора.

С помощью управления личными данными и этот процесс значительно снижается количество времени, которые подвержена атак и использовать злоумышленников учетные записи глобального администратора.

Дополнительные сведения настроить Azure AD привилегированных удостоверенийсм.

Примечание: Управления личными данными входит в состав Azure Active Directory расширенный P2, которая входит в состав корпоративного мобильность + E5 безопасности (EMS), или можно приобрести отдельные лицензии для учетных записей глобального администратора.

Сведения и событий управления (SIEM) программного обеспечения безопасности для входа в Office 365

Программное обеспечение SIEM выполняются на сервере работает в режиме реального времени анализа предупреждений системы безопасности и события, созданные приложениями и сетевого оборудования. Чтобы разрешить на сервере SIEM включать предупреждений системы безопасности Office 365 и события в его анализа и создание отчетов о функциях, интегрируйте их в системе SIEM:

Следующий этап

Просмотреть рекомендации по безопасности Office 365.

Совершенствование навыков работы с Office
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×