Zaščita računov globalnih skrbnikov za Office 365

Pomembno : Besedilo članka je prevedeno strojno. Glejte zavrnitev odgovornosti. Angleško različico tega članka najdete tukaj .

Povzetek: Zaščita globalni skrbnik računa s temi koraki.

Za boljšo zaščito naročnine na Office 365 napadi glede na kompromisov globalni skrbnik računa, morate storiti, je to zdaj:

  1. Ustvarite namenske račune globalnih skrbnikov za Office 365 in jih uporabite le takrat, ko je to potrebno.

  2. Konfigurirajte večkratno preverjanje pristnosti za namenske račune globalnih skrbnikov za Office 365 in uporabite najmočnejšo obliko sekundarnega preverjanja pristnosti.

  3. Omogočanje in konfiguriranje Office 365 oblak program varnosti za spremljanje za dejavnost računa sumljivih globalni skrbnik.

Varnostne kršitve naročnine na Office 365, vključno s pridobivanjem informacij in napadi z lažnim predstavljanjem, so običajno izvedene z zlorabo poverilnic računa globalnega skrbnika za Office 365. Varnost v oblaku je partnerstvo med vami in Microsoftom:

  • Microsoftove storitve v oblaku temeljijo na zaupanju in varnosti. Microsoft ponudi varnostne kontrolnike in zmogljivosti, s katerimi zaščiti vaše podatke in aplikacije.

  • Vi ste lastnik svojih podatkov in identitet ter ste odgovorni za njihovo zaščito, za varnost virov na mestu uporabe in varnost komponent v oblaku, ki jih nadzorujete.

Če se želite zaščititi, morate uporabiti kontrolnike in zmogljivosti, ki jih Microsoft ponudi.

Opomba : Čeprav ta članek se osredotoča na globalni skrbnik računov, morate upoštevati ali dodatne račune z obsežne dovoljenja za dostop do podatkov v vašo naročnino, na primer e-odkrivanja skrbnika ali varnost ali skladnost s predpisi na enak način kot je mogoče zaščititi skrbniške račune.

1. faza. Ustvarite namenske račune globalnih skrbnikov za Office 365 in jih uporabite le takrat, ko je to potrebno.

Obstaja razmeroma malo skrbniških opravil, na primer dodeljevanje vlog uporabniškim računom, ki zahtevajo dovoljenja globalnega skrbnika. Namesto da bi uporabljali običajne uporabniške račune, katerim ste dodelili skrbniško vlogo, nemudoma naredite to:

  1. Določite nabor uporabniških računov, ki imajo vlogo globalnega skrbnika. V storitvi PowerShell za Office 365 lahko to naredite s tem ukazom:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Vpišite se v svojo naročnino na Office 365 z uporabniškim računom, kateremu ste dodelili vlogo globalnega skrbnika.

  3. Ustvarite najmanj enega in največ pet namenskih računov globalnih skrbnikov. Uporabite močna gesla, dolga najmanj 12 znakov. Shranite gesla za nove račune na varno mesto.

  4. Dodelite vlogo globalnega skrbnika vsakemu novemu uporabniškemu računu globalnega skrbnika.

  5. Izpišite se iz storitve Office 365.

  6. Vpišite se z novimi namenskimi uporabniškimi računi globalnega skrbnika.

  7. Za vsak obstoječ uporabniški račun, kateremu je bila dodeljena vloga globalnega skrbnika s 1. koraka:

    • Odstranite vlogo globalnega skrbnika.

    • Dodeljevanje skrbniških vlog z računom, ki so primerni za tega uporabnika posla funkcije in odgovornosti. Če želite več informacij o različnih skrbniških vlog v storitvi Office 365, si oglejte o storitvi Office 365 skrbniške vloge.

  8. Izpišite se iz storitve Office 365.

Rezultat bi moral biti nekaj takšnega:

  • Edini uporabniški računi v vaši naročnini, ki imajo vlogo globalnega skrbnika, je nova skupina namenskih računov globalnih skrbnikov. Preverite to s tem ukaznim pozivom PowerShell v modulu Windows Azure Active Directory za Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Vsi drugi običajni uporabniški računi, ki upravljajo vašo naročnino, imajo dodeljene skrbniške vloge, ki so povezane s poslovnimi odgovornostmi.

Od tega trenutka naprej se z namenskimi računi globalnega skrbnika vpisujete le za opravila, ki zahtevajo dovoljenja globalnega skrbnika. Vsak druga skrbniška opravila v storitvi Office 365 je treba izvesti tako, da uporabniškim računom dodelite skrbniške vloge.

Opomba : Da, to zahteva dodatne korake, saj se morate izpisati iz običajnega uporabniškega računa in se vpisati z namenskim računom globalnega skrbnika. Vendar pa boste morali to narediti le občasno za postopke globalnega skrbništva. Imejte v mislih, da zahteva pridobitev naročnine na Office 365 po zlorabi računa globalnega skrbnika veliko več korakov.

2. faza. Konfigurirajte večkratno preverjanje pristnosti za namenske račune globalnih skrbnikov za Office 365 in uporabite najmočnejšo obliko sekundarnega preverjanja pristnosti.

Storitev Multi-Factor Authentication (MFA) za račune globalnega skrbnika zahteva dodatne informacije, ki niso zgolj ime računa in geslo. Office 365 podpira te načine preverjanja pristnosti:

  • Telefonski klic

  • Naključno ustvarjeno številsko geslo

  • Pametna kartica (navidezna ali fizična)

  • Biometrična naprava

Če ste majhno podjetje, ki uporablja uporabniške račune, ki so shranjeni le v oblaku (model identitete v oblaku), nemudoma naredite to, da konfigurirate storitev MFA s telefonskim klicem ali s kodo za preverjanje prek besedilnega sporočila, poslano v pametni telefon:

  1. Omogočite storitev MFA.

  2. Nastavite preverjanje v dveh korakih za Office 365, da konfigurirate vsak namenski računa za globalnega skrbnika za način preverjanja pristnosti prek telefonskega klica ali besedilnega sporočila.

Če ste velika organizacija, ki uporablja sinhronizirane ali zunanje modele identitete za Office 365, imate več možnosti za preverjanje pristnosti. Če za močnejšo sekundarno preverjanje pristnosti že uporabljate varnostno infrastrukturo, nemudoma naredite to:

  1. Omogočite storitev MFA.

  2. Nastavite preverjanje v dveh korakih za Office 365, da konfigurirate vsak namenski računa za ustrezni način preverjanja pristnosti.

Če varnostna infrastruktura za želeni močnejši način preverjanja pristnosti ni na voljo in ne deluje za MFA za Office 365, priporočamo, da kot začasen varnostni ukrep nemudoma konfigurirate namenske račune globalnega skrbnika s storitvijo MFA s telefonskim klicem ali kodo v besedilnem sporočilu, poslano v pametni telefon za vaše račune globalnega skrbnika. Poskrbite, da namenski računi globalnega skrbnika ne bodo brez dodatne zaščite, ki jo nudi MFA.

Če želite več informacij, glejte načrtovanje nastavitev storitve multi-Factor Authentication za Office 365 uvajanja.

Če želite storitve Office 365 povezati s storitvama MFA in PowerShell, glejte ta članek.

Faza 3. Omogočanje in konfiguriranje Office 365 oblak program varnosti za spremljanje za dejavnost računa sumljivih globalni skrbnik

Varnost programa oblak storitve Office 365 vam omogoča, da ustvarite pravila za obveščanje o sumljivih delovanje v vašo naročnino. Oblak program varnost sta vgrajena v Office 365 E5, vendar je tudi na voljo kot ločeno storitev. Na primer, če nimate Office 365 E5, lahko kupite posamezne oblak program varnost licence za uporabniške račune, ki so dodeljene globalni skrbnik, skrbnik varnost in skladnost s predpisi skrbniške vloge.

Če imate oblak program varnost v naročnino na Office 365, naredite to takoj:

  1. Vpišite se v portal za Office 365 z računom, ki je bila dodeljena vloga varnost skrbnik ali skrbnik za skladnost s predpisi.

  2. Vklop Office 365 oblak program varnost.

  3. Ustvarjanje pravilnikov za odkrivanje anomalija vas obvesti po e-pošti nenavadno vzorcev z visoko ravnjo pravic skrbniške dejavnosti.

Če želite uporabniškemu računu dodati vlogo varnostnega skrbnika, vzpostavite povezavo s storitvijo PowerShell za Office 365 z namenskim računom globalnega skrbnika in storitvijo MFA, vnesite glavno ime uporabnika uporabniškega računa, nato pa zaženite te ukaze:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Če želite uporabniški račun dodati vlogi skrbnika za zagotavljanje skladnosti s predpisi, vnesite glavno uporabniško ime uporabniškega računa, nato pa zaženite te ukaze:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Dodatne zaščite za vaš račun globalnega skrbnika

Ko faze 1-3, uporabite te dodatne načine zagotoviti, da vaš račun globalnega skrbnika in konfiguracijo, ki ga izvedete uporabe, so kot varna, kot je mogoče.

Visoko ravnjo pravic dostopa delovne (PAW)

Če želite zagotoviti, da izvajanja visoko ravnjo pravic opravila kot varna, kot je mogoče, uporabite TAČKO. TAČKO je dodeljeno računalnika, ki se uporablja le za občutljive konfiguracije opravila, kot sta konfiguracija storitve Office 365, ki zahteva račun globalnega skrbnika. Ker tega računalnika ne uporablja vsak dan za brskanje po internetu ali e-pošte, je bolje zaščiten pred napadi Internet in nevarnosti.

Če želite navodila o tem, kako nastavite TAČKO, si oglejte http://aka.ms/cyberpaw.

Upravljanje identitete Azure AD prednostna (PIM)

Namesto globalni skrbnik računa trajno dodeli vlogo globalnega skrbnika, lahko uporabite Azure AD PIM, da omogočite na zahtevo, ravno v času dodelitve vlogo globalnega skrbnika, kadar je to potrebno.

Na druge besede, namesto globalni skrbnik računa trajno admin, da postanejo upravičeni skrbniki. Vlogo globalnega skrbnika je nedejaven, dokler nekdo potrebuje. Izpolnite za postopek aktiviranja globalni skrbnik račun dodati vlogo globalnega skrbnika za vnaprej določenem času. Ko poteče čas, PIM odstrani globalno skrbniško vlogo globalnega skrbnika računa.

Uporaba PIM in ta proces bistveno zmanjšuje čas, ki globalni skrbnik računa so izpostavljene napad in uporabljati zlonamernih uporabnikov.

Če želite več informacij, glejte Konfiguracija Azure AD visoko ravnjo pravic upravljanje identitete.

Opomba : PIM je na voljo v storitvi Azure Active Directory Premium P2, ki je vključen v podjetje mobilnost + E5 varnost (EMS), ali lahko kupite posamezne licence za vaš račun globalnega skrbnika.

Varnostne informacije in dogodek upravljanja (Kaj up) programske opreme za Office 365 pisanje dnevnika

Kaj up programsko opremo in strežnik, v katerem se izvaja, ga izvede v realnem času analizo varnostnih opozoril in dogodkov, ki je ustvarila programov in strojne opreme omrežja. Če želite strežnik Kaj up na Office 365 varnostnih opozoril in dogodkov v svojo analizo in funkcije poročanja, v sistemu Kaj up integrirati to:

Naslednji korak

Glejte Najboljše varnostne prakse za Office 365.

Opomba : Strojni prevod – zavrnitev odgovornosti: Ta članek je bil preveden z računalniškim programom brez človeškega posredovanja. Microsoft skuša s strojno prevedenimi članki vsebino o Microsoftovih izdelkih, storitvah in tehnologijah približati osebam, ki ne razumejo angleščine. Ker je bil članek strojno preveden, so lahko v njem jezikovne, slovnične in pravopisne napake.

Razširite svoja znanja
Oglejte si izobraževanje
Prvi dobite nove funkcije
Pridružite se programu Office Insider

Vam je bila informacija v pomoč?

Zahvaljujemo se vam za povratne informacije.

Zahvaljujemo se vam za povratne informacije. Videti je, da bi vam prišla prav pomoč enega od naših Officeovih agentov za podporo.

×