Ochrana kont globálneho správcu v službách Office 365

Dôležité : Tento článok je strojovo preložený, prečítajte si vyhlásenie. Anglickú verziu tohto článku nájdete tu a môžete ju použiť ako referenciu.

Súhrn: Ochrana kont globálny správca pomocou týchto krokov.

Do predplatného služieb Office 365 sa lepšie chrániť pred útokmi na základe kompromisu globálny správca konta, je potrebné vykonať nasledovné práve teraz:

  1. Vytvorte vyhradené kontá globálneho správcu služieb Office 365 a používajte ich len v prípade potreby.

  2. Nakonfigurujte viacfaktorové overovanie pre vyhradené kontá globálneho správcu služieb Office 365 a používajte najsilnejšiu formu sekundárneho overovania.

  3. Zapnutie a konfigurácia Office 365 Cloud Security aplikácie na sledovanie aktivity podozrivé globálny správca konta.

Narušenia zabezpečenia v predplatnom služieb Office 365 vrátane zberu informácií a neoprávneného získavania údajov sa zvyčajne vykonávajú zneužitím prihlasovacích údajov konta globálneho správcu v službách Office 365. Zabezpečenie v cloude je partnerstvo medzi vami a spoločnosťou Microsoft:

  • Cloudové služby spoločnosti Microsoft sú vytvorené na základe dôvery a bezpečnosti. Microsoft poskytuje ovládacie prvky a možnosti zabezpečenia, ktoré vám pomáhajú chrániť vaše údaje a aplikácie.

  • Ste vlastníkom svojich údajov a identít a máte zodpovednosť za ich ochranu, za bezpečnosť svojich lokálnych zdrojov a za bezpečnosť cloudových komponentov, ktoré riadite.

Ak sa chcete chrániť, je potrebné zaviesť ovládacie prvky a možnosti, ktoré poskytuje spoločnosť Microsoft.

Poznámka : Hoci tento článok sa zameriava na globálny správca kont, treba vziať do úvahy či ďalšie kontá s rozsiahle povolenia na prístup k údajom vášho predplatného, napríklad správcovi elektronického vyhľadávania alebo zabezpečenia alebo súlad s požiadavkami kontá správcov, by mali chránené rovnakým spôsobom.

Fáza 1. Vytvorte vyhradené kontá globálneho správcu služieb Office 365 a používajte ich len v prípade potreby

Existuje relatívne málo administratívnych úloh, ako je napríklad priraďovanie rolí k používateľským kontám, ktoré vyžadujú oprávnenia globálneho správcu. Preto namiesto používania každodenných používateľských kont, ktorým bola priradená rola globálneho správcu, vykonajte okamžite nasledujúce kroky:

  1. Určte množinu používateľských kont, ktorým bola priradená rola globálneho správcu. Môžete to urobiť v prostredí Office 365 PowerShell tento príkaz:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Prihláste sa do predplatného služieb Office 365 s kontom používateľa, ktorému je priradená rola globálneho správcu.

  3. Vytvorte minimálne jedno a maximálne päť vyhradených používateľských kont globálneho správcu. Používajte silné heslá, ktoré majú aspoň 12 znakov. Heslá pre nové kontá ukladajte na bezpečnom mieste.

  4. Každému novému vyhradenému kontu globálneho správcu priraďte rolu globálneho správcu.

  5. Odhláste sa zo služieb Office 365.

  6. Prihláste sa pomocou jedného z nových vyhradených používateľských kont globálneho správcu.

  7. Pre každé existujúce používateľské konto, ku ktorému bola priradená rola globálneho správcu v kroku č. 1:

    • Odstráňte rolu globálneho správcu.

    • Priradenie rolí správcu ku kontu, ktoré sú pre daného používateľa pracovnú funkciu a zodpovednosť. Ďalšie informácie o rôznych rolí správcu v službách Office 365 nájdete v téme roly správcu o službách Office 365.

  8. Odhláste sa zo služieb Office 365.

Výsledok by mal byť takýto:

  • Jediné používateľské kontá v rámci vášho predplatného, ktoré majú rolu globálneho správcu, sú tie, ktoré sú v novej množine vyhradených kont globálneho správcu. Túto situáciu overte pomocou nasledujúceho príkazu PowerShell v príkazovom riadku modulu Windows Azure Active Directory pre Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Všetky ostatné každodenné používateľské kontá, ktoré spravujú vaše predplatné, majú priradené role správcu súvisiace s príslušnými pracovnými zodpovednosťami.

Od tohto momentu sa prihlasujte pomocou vyhradených kont globálneho správca iba pri úlohách, ktoré vyžadujú oprávnenia globálneho správcu. Všetky ostatné úlohy správy v službách Office 365 sa musia vykonávať priradením ostatných rolí správcu k používateľským kontám.

Poznámka : Áno, toto vyžaduje ďalšie kroky súvisiace s odhlásením z každodenného používateľského konta a prihlásením sa pomocou vyhradeného konta globálneho správcu. Toto však treba urobiť len zriedka pri operáciach globálneho správcu. Vezmite do úvahy, že obnova predplatného služieb Office 365 po narušení bezpečnosti konta globálneho správcu bude vyžadovať podstatne viac krokov.

Fáza 2. Nakonfigurujte viacfaktorové overovanie pre vyhradené kontá globálneho správcu služieb Office 365 a používajte najsilnejšiu formu sekundárneho overovania

Viacfaktorové overovanie (MFA) pre kontá globálneho správcu vyžaduje dodatočné informácie nad rámec názvu konta a hesla. Služby Office 365 podporujú nasledujúce spôsoby overenia:

  • telefonát

  • náhodne vygenerovaný prístupový kód

  • karta Smart Card (virtuálna alebo fyzická)

  • biometrické zariadenie.

Ak ste malá firma, ktorá používa používateľské kontá uložené iba v cloude (model cloudovej identity), okamžite vykonajte nasledujúce kroky, pomocou ktorých nakonfigurujete viacfaktorové overovanie cez telefonický hovor alebo overovací kód v textovej správe odoslaný na smartfón:

  1. Zapnutie MFA.

  2. Nastavenie dvojstupňového overovania pre služby Office 365 na konfiguráciu každého vyhradeného konta globálneho správcu, v ktorom bude ako spôsob overovania telefonický hovor alebo textová správa.

Ak ste väčšia organizácia, ktorá používa synchronizovaný alebo federovaný model identít služieb Office 365, máte k dispozícii viac možností overovania. Ak už máte zavedenú infraštruktúru zabezpečenia pre silnejší spôsob sekundárneho overovania, okamžite vykonajte nasledujúce kroky:

  1. Zapnutie MFA.

  2. Nastavte dvojstupňové overovanie pre služby Office 365 na konfiguráciu každého vyhradeného konta globálneho správcu na vhodný spôsob overovania.

Ak infraštruktúra zabezpečenia pre požadovaný spôsob silnejšieho overovania nie je ešte pre Office 365 MFA zavedená a funkčná, dôrazne odporúčame, aby ste ako priebežné bezpečnostné opatrenie okamžite nakonfigurovali vyhradené kontá globálneho správcu s viacfaktorovým overovaním (MFA) prostredníctvom telefonického hovoru alebo overovacieho kódu v textovej správe odoslaného do smartfónu pre kontá globálneho správcu. Nenechávajte svoje vyhradené kontá globálneho správcu bez dodatočnej ochrany, ktorú poskytuje MFA.

Ďalšie informácie nájdete v téme plánovanie viacnásobné overovanie pre Office 365 nasadenia.

Ak sa chcete pripojiť k službám Office 365 s MFA a prostredím PowerShell, pozrite si tento článok.

Fáza 3. Zapnutie a konfigurácia Office 365 Cloud Security aplikácie na sledovanie aktivity podozrivé globálny správca konta

Zabezpečenia aplikácie Cloud služieb Office 365 umožňuje vytvoriť politiky upozorňovať na podozrivé správanie predplatného. Cloud Security aplikácie sú zabudované do služieb Office 365 E5, ale je tiež k dispozícii ako samostatnú službu. Napríklad, ak ešte nemáte Office 365 E5, môžete si kúpiť jednotlivé aplikácie Cloud Security licencie pre používateľské kontá, ktoré sú priradené globálny správca, správca zabezpečenia a súlad s požiadavkami roly správcu.

Ak máte aplikáciu Cloud Security v predplatného služieb Office 365, postupujte takto okamžite:

  1. Prihláste sa do portálu služieb Office 365 s kontom, ktoré má priradenú rolu správcu zabezpečenia alebo súlad s požiadavkami.

  2. Zapnutie zabezpečenia aplikácie Office 365 v cloude.

  3. Vytvorenie anomália zisťovanie politiky s upozornením e-mailom neobvyklé vzory privilegovaných administratívnych činností.

Ak chcete do roly správcu zabezpečenia pridať používateľské konto, pripojte sa k prostrediu Office 365 PowerShell pomocou vyhradeného konta globálneho správcu a MFA, vyplňte hlavné meno konta používateľa a spustite tieto príkazy:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Ak chcete do roly správcu súladu pridať používateľské konto, vyplňte hlavné meno konta používateľa a spustite tieto príkazy:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Dodatočné ochrany pre kontá globálny správca

Po fáz 1-3, pomocou týchto ďalších postupov zabezpečiť, aby váš globálny správca konta a konfigurácie, ktoré vykonáte v ňom, sú zabezpečený tak, ako je to možné.

Privilegovaný prístup pracovisko (LABKA)

Ak chcete zabezpečiť, aby výkon vysoko privilegovaný úloh zabezpečený tak, ako je to možné, použite LABKU. LABKU je vyhradený počítač, ktorý sa používa len na citlivé konfigurácie úlohy, ako napríklad konfigurácie služieb Office 365, ktorá si vyžaduje globálny správca konta. Keďže tento počítač nepoužíva denne prehľadávaní internetu alebo e-mailu, lepšie je chránený útokmi a hrozbami.

Pokyny na nastavenie LABKU nájdete v téme http://aka.ms/cyberpaw.

Azure AD privilegovaných identít (PIM)

Skôr ako s kontami globálny správca sa natrvalo priradenú rolu globálneho správcu, môžete použiť Azure AD PIM umožniť na požiadanie, len v čase priradenia rolí globálny správca, keď je to potrebné.

V inými slovami, namiesto toho, aby sa váš globálny správca účtov trvalé správca sa stanú nárok správcov. Rolu globálneho správcu neaktívna, až kým niekto potrebuje. Dokončite proces aktivácie pridať rolu globálneho správcu na globálny správca konto vopred určeného časového obdobia. Po uplynutí času PIM odstráni rolu globálneho správcu z globálny správca konta.

Pomocou PIM a tento proces významne skracuje časový úsek, uloženými kont globálnym správcom a škodlivým užívatelia.

Ďalšie informácie nájdete v téme Konfigurácia Azure AD privilegovaných identít.

Poznámka : PIM je k dispozícii s Azure Active Directory Premium P2, ktorý je súčasťou podnikovej Mobility + E5 zabezpečenia (EMS), alebo si môžete zakúpiť jednotlivých licencií pre kontá globálny správca.

Zabezpečenie informácií a udalostí (SIEM) softvérom na riadenie pre Office 365 zapisovania do denníka

SIEM softvéru a na server, ktorý spustí ho vykonáva v reálnom čase analýzy bezpečnostných upozornení a udalostí, ktoré sú vytvorené pomocou aplikácie a sieťového hardvéru. Povoliť servera SIEM zahrnúť upozornenia zabezpečenia služieb Office 365 a udalosti v jeho analýzu a vykazovanie funkcie, integrácia v systéme SIEM takto:

Ďalší krok

Pozrite si článok Najvhodnejšie postupy zabezpečenia pre služby Office 365.

Poznámka : Vyhlásenie týkajúce sa strojového prekladu: Tento článok bol preložený počítačovým systémom bez zásahu človeka. Poskytovaním týchto strojových prekladov umožňuje spoločnosť Microsoft aj používateľom, ktorí nehovoria po anglicky, využívať obsah o produktoch, službách a technológiách spoločnosti Microsoft. Článok bol preložený strojovo, môže preto obsahovať chyby týkajúce sa slovnej zásoby, syntaxe alebo gramatiky.

Rozšírte svoje zručnosti
Preskúmať školenie
Buďte medzi prvými, ktorí získajú nové funkcie
Pridajte sa k insiderom pre Office

Boli tieto informácie užitočné?

Ďakujeme za vaše pripomienky!

Ďakujeme vám za pripomienky. Pravdepodobne vám pomôže, ak vás spojíme s pracovníkom podpory pre Office.

×