Ochrana kont globálneho správcu v službách Office 365

Súhrn: Chráňte útokov na základe kompromisu globálny správca konta predplatného služieb Office 365.

Poznámka:  Radi by sme vám čo najrýchlejšie poskytovali najaktuálnejší obsah Pomocníka vo vašom vlastnom jazyku. Táto stránka bola preložená automaticky a môže obsahovať gramatické chyby alebo nepresnosti. Naším cieľom je, aby bol tento obsah pre vás užitočný. Dali by ste nám v dolnej časti tejto stránky vedieť, či boli pre vás tieto informácie užitočné? Tu nájdete anglický článok pre jednoduchú referenciu.

Narušenia zabezpečenia v predplatnom služieb Office 365 vrátane zberu informácií a neoprávneného získavania údajov sa zvyčajne vykonávajú zneužitím prihlasovacích údajov konta globálneho správcu v službách Office 365. Zabezpečenie v cloude je partnerstvo medzi vami a spoločnosťou Microsoft:

  • Cloudové služby spoločnosti Microsoft sú vytvorené na základe dôvery a bezpečnosti. Microsoft poskytuje ovládacie prvky a možnosti zabezpečenia, ktoré vám pomáhajú chrániť vaše údaje a aplikácie.

  • Ste vlastníkom svojich údajov a identít a máte zodpovednosť za ich ochranu, za bezpečnosť svojich lokálnych zdrojov a za bezpečnosť cloudových komponentov, ktoré riadite.

Spoločnosť Microsoft poskytuje možnosti na ochranu vašej organizácie, ale sú efektívne iba vtedy, ak ich použijete. Ak nechcete používať, môže byť citlivé útok. Chrániť svoje kontá globálny správca, Microsoft je tu, aby vám pomôžu s podrobnými pokynmi na:

  1. Vytvorte vyhradené kontá globálneho správcu služieb Office 365 a používajte ich len v prípade potreby.

  2. Nakonfigurujte viacfaktorové overovanie pre vyhradené kontá globálneho správcu služieb Office 365 a používajte najsilnejšiu formu sekundárneho overovania.

  3. Zapnutie a konfigurácia Office 365 Cloud Security aplikácie na sledovanie aktivity podozrivé globálny správca konta.

Poznámka: Hoci tento článok sa zameriava na globálny správca kont, treba vziať do úvahy či ďalšie kontá s rozsiahle povolenia na prístup k údajom vášho predplatného, napríklad správcovi elektronického vyhľadávania alebo zabezpečenia alebo súlad s požiadavkami kontá správcov, by mali chránené rovnakým spôsobom.

Fáza 1. Vytvorte vyhradené kontá globálneho správcu služieb Office 365 a používajte ich len v prípade potreby

Existuje relatívne nízky počet správcovské úlohy, ako napríklad priradenie roly k používateľským kontám, ktoré vyžadujú globálne správcu. Preto namiesto použitia každodenné používateľské kontá, ktoré majú priradenú rolu globálneho správcu, postupujte nasledovne:

  1. Určite množinu používateľských kont, ktoré majú priradenú rolu globálneho správcu. Môžete to urobiť s týmto príkazom v príkazovom riadku Microsoft Azure Active Directory Module pre Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Prihláste sa do predplatného služieb Office 365 s kontom používateľa, ktorému je priradená rola globálneho správcu.

  3. Vytvorte minimálne jedno a maximálne päť vyhradených používateľských kont globálneho správcu. Používajte silné heslá, ktoré majú aspoň 12 znakov. Heslá pre nové kontá ukladajte na bezpečnom mieste.

  4. Každému novému vyhradenému kontu globálneho správcu priraďte rolu globálneho správcu.

  5. Odhláste sa zo služieb Office 365.

  6. Prihláste sa pomocou jedného z nových vyhradených používateľských kont globálneho správcu.

  7. Pre každé existujúce používateľské konto, ku ktorému bola priradená rola globálneho správcu v kroku č. 1:

    • Odstráňte rolu globálneho správcu.

    • Priradenie rolí správcu ku kontu, ktoré sú pre daného používateľa pracovnú funkciu a zodpovednosť. Ďalšie informácie o rôznych rolí správcu v službách Office 365 nájdete v téme roly správcu o službách Office 365.

  8. Odhláste sa zo služieb Office 365.

Výsledok by mal vyzerať:

  • Iba používateľské kontá vášho predplatného, ktoré majú rolu globálneho správcu sú novú množinu Vyhradený globálny správca kont. Overte, tento príkaz prostredia PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Všetky ostatné každodenné používateľské kontá, ktoré spravujú vaše predplatné, majú priradené role správcu súvisiace s príslušnými pracovnými zodpovednosťami.

Od tohto momentu sa prihlasujte pomocou vyhradených kont globálneho správca iba pri úlohách, ktoré vyžadujú oprávnenia globálneho správcu. Všetky ostatné úlohy správy v službách Office 365 sa musia vykonávať priradením ostatných rolí správcu k používateľským kontám.

Poznámka: Áno, toto vyžaduje ďalšie kroky súvisiace s odhlásením z každodenného používateľského konta a prihlásením sa pomocou vyhradeného konta globálneho správcu. Toto však treba urobiť len zriedka pri operáciach globálneho správcu. Vezmite do úvahy, že obnova predplatného služieb Office 365 po narušení bezpečnosti konta globálneho správcu bude vyžadovať podstatne viac krokov.

Fáza 2. Nakonfigurujte viacfaktorové overovanie pre vyhradené kontá globálneho správcu služieb Office 365 a používajte najsilnejšiu formu sekundárneho overovania

Viacnásobné overovanie (MFA) pre kontá globálny správca vyžaduje dodatočné informácie okrem toho názov konta a hesla. Office 365 podporuje tieto metódy overovania:

  • telefonát

  • náhodne vygenerovaný prístupový kód

  • karta Smart Card (virtuálna alebo fyzická)

  • biometrické zariadenie.

Ak ste malý podnik, ktorí používajú používateľské kontá, ktoré sú uložené len v cloude (cloud identity model), použite tento postup na konfiguráciu MFA použitím telefonického hovoru alebo textovú overovací kód správy odoslané do smartfón:

  1. Zapnutie MFA.

  2. Nastavenie dvojstupňového overovania pre služby Office 365 na konfiguráciu každého vyhradeného konta globálneho správcu, v ktorom bude ako spôsob overovania telefonický hovor alebo textová správa.

Pravdivosti väčšie organizácie, ktorá používa synchronizované alebo externý identitu modely služieb Office 365 máte ďalšie možnosti overovania. Ak už máte infraštruktúru bezpečnosti na mieste pre silnejšie metódy sekundárne overovania, použite tento postup:

  1. Zapnutie MFA.

  2. Nastavte dvojstupňové overovanie pre služby Office 365 na konfiguráciu každého vyhradeného konta globálneho správcu na vhodný spôsob overovania.

Ak zabezpečenia infraštruktúry požadovanej účinnejší spôsob overovania nie je miesto a fungovanie pre Office 365 MFA, dôrazne odporúčame konfigurácie Vyhradený globálny správca kont s MFA použitím telefonického hovoru alebo textovej správy overovací kód odoslaný na smartfón pre kontá globálny správca priebežné bezpečnostných dôvodov. Nenechávajte kont Vyhradený globálny správca bez dodatočnú ochranu poskytované MFA.

Ďalšie informácie nájdete v téme plánovanie viacnásobné overovanie pre Office 365 nasadenia.

Ak sa chcete pripojiť k službám Office 365 s MFA a prostredím PowerShell, pozrite si tento článok.

Fáza 3. Zapnutie a konfigurácia Office 365 Cloud Security aplikácie na sledovanie aktivity podozrivé globálny správca konta

Zabezpečenia aplikácie Cloud služieb Office 365 umožňuje vytvoriť politiky upozorňovať na podozrivé správanie predplatného. Cloud Security aplikácie sú zabudované do služieb Office 365 E5, ale je tiež k dispozícii ako samostatnú službu. Napríklad, ak ešte nemáte Office 365 E5, môžete si kúpiť jednotlivé aplikácie Cloud Security licencie pre používateľské kontá, ktoré sú priradené globálny správca, správca zabezpečenia a súlad s požiadavkami roly správcu.

Ak máte aplikáciu Cloud Security v predplatného služieb Office 365, použite tento postup:

  1. Prihláste sa do portálu služieb Office 365 s kontom, ktoré má priradenú rolu správcu zabezpečenia alebo súlad s požiadavkami.

  2. Zapnutie zabezpečenia aplikácie Office 365 v cloude.

  3. Vytvorenie anomália zisťovanie politiky s upozornením e-mailom neobvyklé vzory privilegovaných administratívnych činností.

Ak chcete pridať k používateľskému kontu rolu správcu zabezpečenia, pripojte Office 365 PowerShell s Vyhradený globálny správca konta a MFA, vyplňte hlavné meno používateľa konta používateľa a potom spustite tieto príkazy:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Pridanie používateľského konta k úlohe súladu správcu, vyplňte hlavné meno používateľa konta používateľa a potom spustite nasledujúce príkazy:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Dodatočné ochrany pre kontá globálny správca

Po fáz 1-3, pomocou týchto ďalších postupov zabezpečiť, aby váš globálny správca konta a konfigurácie, ktoré vykonáte v ňom, sú zabezpečený tak, ako je to možné.

Privilegovaný prístup pracovisko (LABKA)

Ak chcete zabezpečiť, aby výkon vysoko privilegovaný úloh zabezpečený tak, ako je to možné, použite LABKU. LABKU je vyhradený počítač, ktorý sa používa len na citlivé konfigurácie úlohy, ako napríklad konfigurácie služieb Office 365, ktorá si vyžaduje globálny správca konta. Keďže tento počítač nepoužíva denne prehľadávaní internetu alebo e-mailu, lepšie je chránený útokmi a hrozbami.

Pokyny na nastavenie LABKU nájdete v téme http://aka.ms/cyberpaw.

Azure AD privilegovaných identít (PIM)

Skôr ako s kontami globálny správca sa natrvalo priradenú rolu globálneho správcu, môžete použiť Azure AD PIM umožniť na požiadanie, len v čase priradenia rolí globálny správca, keď je to potrebné.

Namiesto kont globálny správca sa trvalé správca sa stanú nárok správcov. Rolu globálneho správcu neaktívna, až kým niekto potrebuje. Dokončite proces aktivácie pridať rolu globálneho správcu na globálny správca konto vopred určeného časového obdobia. Po uplynutí času PIM odstráni rolu globálneho správcu z globálny správca konta.

Pomocou PIM a tento proces významne skracuje časový úsek, uloženými kont globálnym správcom a škodlivým užívatelia.

Ďalšie informácie nájdete v téme Konfigurácia Azure AD privilegovaných identít.

Poznámka: PIM je k dispozícii s Azure Active Directory Premium P2, ktorý je súčasťou podnikovej Mobility + E5 zabezpečenia (EMS), alebo si môžete zakúpiť jednotlivých licencií pre kontá globálny správca.

Zabezpečenie informácií a udalostí (SIEM) softvérom na riadenie pre Office 365 zapisovania do denníka

SIEM softvér spustiť na serveri sa vykonáva v reálnom čase analýzy bezpečnostných upozornení a udalostí, ktoré sú vytvorené pomocou aplikácie a sieťového hardvéru. Ak chcete povoliť serveru SIEM zahrnúť upozornenia zabezpečenia služieb Office 365 a udalosti v jeho analýzu a vykazovanie funkcie, tieto v systéme SIEM spojiť:

Ďalší krok

Pozrite si článok Najvhodnejšie postupy zabezpečenia pre služby Office 365.

Rozšírte svoje zručnosti
Preskúmať školenie
Buďte medzi prvými, ktorí získajú nové funkcie
Pridajte sa k insiderom pre Office

Boli tieto informácie užitočné?

Ďakujeme za vaše pripomienky!

Ďakujeme vám za pripomienky. Pravdepodobne vám pomôže, ak vás spojíme s pracovníkom podpory pre Office.

×