Zaščita računov globalnih skrbnikov za Office 365

Povzetek:

Če želite naročnino na Office 365 bolje zaščititi pred napadi, morate nemudoma narediti to:

  1. Ustvarite namenske račune globalnih skrbnikov za Office 365 in jih uporabite le takrat, ko je to potrebno.

  2. Konfigurirajte večkratno preverjanje pristnosti za namenske račune globalnih skrbnikov za Office 365 in uporabite najmočnejšo obliko sekundarnega preverjanja pristnosti.

  3. Omogočite in konfigurirajte Napredno upravljanje varnosti za nadzorovanje dejavnosti računov globalnih skrbnikov.

Varnostne kršitve naročnine na Office 365, vključno s pridobivanjem informacij in napadi z lažnim predstavljanjem, so običajno izvedene z zlorabo poverilnic računa globalnega skrbnika za Office 365. Varnost v oblaku je partnerstvo med vami in Microsoftom:

  • Microsoftove storitve v oblaku temeljijo na zaupanju in varnosti. Microsoft ponudi varnostne kontrolnike in zmogljivosti, s katerimi zaščiti vaše podatke in aplikacije.

  • Vi ste lastnik svojih podatkov in identitet ter ste odgovorni za njihovo zaščito, za varnost virov na mestu uporabe in varnost komponent v oblaku, ki jih nadzorujete.

Če se želite zaščititi, morate uporabiti kontrolnike in zmogljivosti, ki jih Microsoft ponudi.

1. faza. Ustvarite namenske račune globalnih skrbnikov za Office 365 in jih uporabite le takrat, ko je to potrebno.

Obstaja razmeroma malo skrbniških opravil, na primer dodeljevanje vlog uporabniškim računom, ki zahtevajo dovoljenja globalnega skrbnika. Namesto da bi uporabljali običajne uporabniške račune, katerim ste dodelili skrbniško vlogo, nemudoma naredite to:

  1. Določite nabor uporabniških računov, ki imajo vlogo globalnega skrbnika. V storitvi PowerShell za Office 365 lahko to naredite s tem ukazom:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Vpišite se v svojo naročnino na Office 365 z uporabniškim računom, kateremu ste dodelili vlogo globalnega skrbnika.

  3. Ustvarite najmanj enega in največ pet namenskih računov globalnih skrbnikov. Uporabite močna gesla, dolga najmanj 12 znakov. Shranite gesla za nove račune na varno mesto.

  4. Dodelite vlogo globalnega skrbnika vsakemu novemu uporabniškemu računu globalnega skrbnika.

  5. Izpišite se iz storitve Office 365.

  6. Vpišite se z novimi namenskimi uporabniškimi računi globalnega skrbnika.

  7. Za vsak obstoječ uporabniški račun, kateremu je bila dodeljena vloga globalnega skrbnika s 1. koraka:

    • Odstranite vlogo globalnega skrbnika.

    • Dodelite skrbniške vloge računu, ki so primerne za funkcijo in odgovornost delovnega mesta tega uporabnika. Če želite več informacij o različnih skrbniških vlogah v storitvi Office 365, glejte O skrbniških vlogah v storitvi Office 365.

  8. Izpišite se iz storitve Office 365.

Rezultat bi moral biti nekaj takšnega:

  • Edini uporabniški računi v vaši naročnini, ki imajo vlogo globalnega skrbnika, je nova skupina namenskih računov globalnih skrbnikov. Preverite to s tem ukaznim pozivom PowerShell v modulu Windows Azure Active Directory za Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Vsi drugi običajni uporabniški računi, ki upravljajo vašo naročnino, imajo dodeljene skrbniške vloge, ki so povezane s poslovnimi odgovornostmi.

Od tega trenutka naprej se z namenskimi računi globalnega skrbnika vpisujete le za opravila, ki zahtevajo dovoljenja globalnega skrbnika. Vsak druga skrbniška opravila v storitvi Office 365 je treba izvesti tako, da uporabniškim računom dodelite skrbniške vloge.

Opomba : Da, to zahteva dodatne korake, saj se morate izpisati iz običajnega uporabniškega računa in se vpisati z namenskim računom globalnega skrbnika. Vendar pa boste morali to narediti le občasno za postopke globalnega skrbništva. Imejte v mislih, da zahteva pridobitev naročnine na Office 365 po zlorabi računa globalnega skrbnika veliko več korakov.

2. faza. Konfigurirajte večkratno preverjanje pristnosti za namenske račune globalnih skrbnikov za Office 365 in uporabite najmočnejšo obliko sekundarnega preverjanja pristnosti.

Storitev Multi-Factor Authentication (MFA) za račune globalnega skrbnika zahteva dodatne informacije, ki niso zgolj ime računa in geslo. Office 365 podpira te načine preverjanja pristnosti:

  • Telefonski klic

  • Naključno ustvarjeno številsko geslo

  • Pametna kartica (navidezna ali fizična)

  • Biometrična naprava

Če ste majhno podjetje, ki uporablja uporabniške račune, ki so shranjeni le v oblaku (model identitete v oblaku), nemudoma naredite to, da konfigurirate storitev MFA s telefonskim klicem ali s kodo za preverjanje prek besedilnega sporočila, poslano v pametni telefon:

  1. Omogočite storitev MFA.

  2. Nastavite preverjanje v dveh korakih za Office 365, da konfigurirate vsak namenski računa za globalnega skrbnika za način preverjanja pristnosti prek telefonskega klica ali besedilnega sporočila.

Če ste velika organizacija, ki uporablja sinhronizirane ali zunanje modele identitete za Office 365, imate več možnosti za preverjanje pristnosti. Če za močnejšo sekundarno preverjanje pristnosti že uporabljate varnostno infrastrukturo, nemudoma naredite to:

  1. Omogočite storitev MFA.

  2. Nastavite preverjanje v dveh korakih za Office 365, da konfigurirate vsak namenski računa za ustrezni način preverjanja pristnosti.

Če varnostna infrastruktura za želeni močnejši način preverjanja pristnosti ni na voljo in ne deluje za MFA za Office 365, priporočamo, da kot začasen varnostni ukrep nemudoma konfigurirate namenske račune globalnega skrbnika s storitvijo MFA s telefonskim klicem ali kodo v besedilnem sporočilu, poslano v pametni telefon za vaše račune globalnega skrbnika. Poskrbite, da namenski računi globalnega skrbnika ne bodo brez dodatne zaščite, ki jo nudi MFA.

Če želite več informacij, glejte Priprava na uvedbo storitve Multi-Factor Authentication za uvedbe storitve Office 365.

Če želite storitve Office 365 povezati s storitvama MFA in PowerShell, glejte ta članek.

3. faza. Omogočite in konfigurirajte Napredno upravljanje varnosti za nadzorovanje dejavnosti računov globalnih skrbnikov.

Z Naprednim upravljanjem varnosti (ASM) lahko ustvarite pravilnike, ki vas obvestijo o sumljivem delovanju v vaši naročnin. Storitev ASM je vgrajena v Office 365 E5, vendar pa je na voljo tudi kot ločena storitev. Če na primer nimate naročnine Office 365 E5, lahko kupite posamezne licence ASM za uporabniške račune, ki imajo dodeljene vloge globalnega skrbnika, skrbnika za varnost ter skrbnika za zagotavljanje skladnosti s predpisi.

Če imate v naročnini na Office 365 storitev ASM, nemudoma naredite to:

  1. Vpišite se v portal storitve Office 365 z uporabniškim računom, ki ima dodeljeno vlogo varnostnega skrbnika ali skrbnika za zagotavljanje skladnosti s predpisi.

  2. Omogočite storitev ASM.

  3. Ustvarite pravilnike, ki vas prek e-pošte opozorijo o teh primerih:

    • Nenavadni vzorci dejavnosti skrbnika

    • Dodajanje članov vlogam

Če želite uporabniškemu računu dodati vlogo varnostnega skrbnika, vzpostavite povezavo s storitvijo PowerShell za Office 365 z namenskim računom globalnega skrbnika in storitvijo MFA, vnesite glavno ime uporabnika uporabniškega računa, nato pa zaženite te ukaze:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Če želite uporabniški račun dodati vlogi skrbnika za zagotavljanje skladnosti s predpisi, vnesite glavno uporabniško ime uporabniškega računa, nato pa zaženite te ukaze:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Naslednji korak

Glejte Najboljše varnostne prakse za Office 365.

Glejte tudi

Več o skrbniških vlogah v storitvi Office 365

Načrtovanje večkratnega preverjanja pristnosti za uvedbe storitve Office 365

Omogočite storitev ASM

Razširite svoja znanja
Oglejte si izobraževanje
Prvi dobite nove funkcije
Pridružite se programu Office Insider

Vam je bila informacija v pomoč?

Zahvaljujemo se vam za povratne informacije.

Zahvaljujemo se vam za povratne informacije. Videti je, da bi vam prišla prav pomoč enega od naših Officeovih agentov za podporo.

×