Zaščita računov globalnih skrbnikov za Office 365

Opomba:  Najnovejšo vsebino pomoči v vašem jeziku vam želimo zagotoviti v najkrajšem možnem času. Ta stran je bila prevedena z avtomatizacijo in lahko vsebuje slovnične napake ali nepravilnosti. Naš namen je, da bi bila vsebina za vas uporabna. Ali nam lahko na dnu te strani sporočite, ali so bile informacije za vas uporabne? Tukaj je angleški članek za preprosto referenco.

Povzetek: Naročnina na Office 365 zaščititi pred napadi, ki temelji na kompromisov računom globalnega skrbnika.

Varnostne kršitve naročnine na Office 365, vključno s pridobivanjem informacij in napadi z lažnim predstavljanjem, so običajno izvedene z zlorabo poverilnic računa globalnega skrbnika za Office 365. Varnost v oblaku je partnerstvo med vami in Microsoftom:

  • Microsoftove storitve v oblaku temeljijo na zaupanju in varnosti. Microsoft ponudi varnostne kontrolnike in zmogljivosti, s katerimi zaščiti vaše podatke in aplikacije.

  • Vi ste lastnik svojih podatkov in identitet ter ste odgovorni za njihovo zaščito, za varnost virov na mestu uporabe in varnost komponent v oblaku, ki jih nadzorujete.

Microsoft zagotavlja zmogljivosti želimo zaščititi vašo organizacijo, vendar so učinkoviti le, če jih uporabite. Če jih ne uporabljate, boste morda občutljive napad. Če želite zaščititi kupcih globalni skrbnik, Microsoft, je tukaj, da vam pomaga s podrobnimi navodili za:

  1. Ustvarite namenske račune globalnih skrbnikov za Office 365 in jih uporabite le takrat, ko je to potrebno.

  2. Konfigurirajte večkratno preverjanje pristnosti za namenske račune globalnih skrbnikov za Office 365 in uporabite najmočnejšo obliko sekundarnega preverjanja pristnosti.

  3. Omogočanje in konfiguriranje Office 365 oblak program varnosti za spremljanje za dejavnost računa sumljivih globalni skrbnik.

Opomba: Čeprav ta članek se osredotoča na globalni skrbnik računov, morate upoštevati ali dodatne račune z obsežne dovoljenja za dostop do podatkov v vašo naročnino, na primer e-odkrivanja skrbnika ali varnost ali skladnost s predpisi na enak način kot je mogoče zaščititi skrbniške račune.

1 korak. Ustvarjanje namenske globalni skrbnik računov za Office 365 in uporabijo le, kadar je to potrebno

Obstaja relativno majhnim skrbniška opravila, kot so Dodeljevanje vlog za uporabniške račune, ki zahtevajo globalne skrbniške pravice. Zato, namesto vsakdanje uporabniške račune, ki so bila dodeljena vloga globalnega skrbnika, upoštevajte te korake:

  1. Določanje nastavitev uporabniške račune, ki so bila dodeljena vloga globalnega skrbnika. To storite s tem ukazom v ukazni vrstici Microsoft Azure Active Directory Module za Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Vpišite se v svojo naročnino na Office 365 z uporabniškim računom, kateremu ste dodelili vlogo globalnega skrbnika.

  3. Ustvarite vsaj eno in največ pet namenjen globalni skrbnik uporabniških računov. Uporaba zapletenih gesel vsaj 12 znakov predolgo Če želite več informacij, glejte Ustvarjanje zapletenega gesla . Shranjevanje gesel za nove račune na varno mesto.

  4. Dodelite vlogo globalnega skrbnika vsakemu novemu uporabniškemu računu globalnega skrbnika.

  5. Izpišite se iz storitve Office 365.

  6. Vpišite se z novimi namenskimi uporabniškimi računi globalnega skrbnika.

  7. Za vsak obstoječ uporabniški račun, kateremu je bila dodeljena vloga globalnega skrbnika s 1. koraka:

    • Odstranite vlogo globalnega skrbnika.

    • Dodeljevanje skrbniških vlog z računom, ki so primerni za tega uporabnika posla funkcije in odgovornosti. Če želite več informacij o različnih skrbniških vlog v storitvi Office 365, si oglejte o storitvi Office 365 skrbniške vloge.

  8. Izpišite se iz storitve Office 365.

Rezultat mora biti:

  • Samo uporabniške račune v vašo naročnino, ki imajo vlogo globalnega skrbnika so nov nabor namenske globalne skrbniške račune. Ta ukaz PowerShell, preverite to:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Vsi drugi običajni uporabniški računi, ki upravljajo vašo naročnino, imajo dodeljene skrbniške vloge, ki so povezane s poslovnimi odgovornostmi.

Od tega trenutka naprej se z namenskimi računi globalnega skrbnika vpisujete le za opravila, ki zahtevajo dovoljenja globalnega skrbnika. Vsak druga skrbniška opravila v storitvi Office 365 je treba izvesti tako, da uporabniškim računom dodelite skrbniške vloge.

Opomba: Da, to zahteva dodatne korake, saj se morate izpisati iz običajnega uporabniškega računa in se vpisati z namenskim računom globalnega skrbnika. Vendar pa boste morali to narediti le občasno za postopke globalnega skrbništva. Imejte v mislih, da zahteva pridobitev naročnine na Office 365 po zlorabi računa globalnega skrbnika veliko več korakov.

Korak 2. Konfiguriranje nastavitev storitve multi-Factor authentication za kupcih namenske globalni skrbnik storitve Office 365 in uporaba najmočnejša oblika sekundarni preverjanje pristnosti

Nastavitev storitve multi-Factor authentication (MFA) za globalni skrbnik računa potrebujete dodatne informacije poleg ime računa in geslo. Office 365 podpira te metode preverjanja:

  • Telefonski klic

  • Naključno ustvarjeno številsko geslo

  • Pametna kartica (navidezna ali fizična)

  • Biometrična naprava

Če ste malo podjetje, ki uporablja uporabniške račune, ki so shranjeni le v oblaku (v oblaku identitete model), uporabite te korake za konfiguracijo MFA telefonskega klica ali besedilo sporočila potrditveno kodo, poslana v pametnem telefonu:

  1. Omogočite storitev MFA.

  2. Nastavite preverjanje v dveh korakih za Office 365, da konfigurirate vsak namenski računa za globalnega skrbnika za način preverjanja pristnosti prek telefonskega klica ali besedilnega sporočila.

Če ste večje organizacije, ki uporablja za Office 365 hibridno identitete model, imate več možnosti za preverjanje. Če že imate varnost infrastrukture na mestu za večjo načina sekundarni preverjanja pristnosti, uporabite te korake:

  1. Omogočite storitev MFA.

  2. Nastavite preverjanje v dveh korakih za Office 365, da konfigurirate vsak namenski računa za ustrezni način preverjanja pristnosti.

Če varnostne infrastrukture za želeno večjo način potrjevanja ni na mestu in delovanja za Office 365 MFA, toplo priporočamo, da konfigurirate namenske globalni skrbnik računov z MFA klic ali besedilno sporočilo potrditveno kodo, ki so poslana pametni telefon za globalni skrbnik računa kot začasni varnostni ukrep. Zapusti namenske globalni skrbnik računa ne dodatne zaščite MFA.

Če želite več informacij, glejte načrtovanje nastavitev storitve multi-Factor Authentication za Office 365 uvajanja.

Če želite storitve Office 365 povezati s storitvama MFA in PowerShell, glejte ta članek.

Korak 3. Zaslon za dejavnost računa sumljivih globalni skrbnik

Varnost programa oblak storitve Office 365 vam omogoča, da ustvarite pravila za obveščanje o sumljivih delovanje v vašo naročnino. Oblak program varnost sta vgrajena v Office 365 E5, vendar je tudi na voljo kot ločeno storitev. Na primer, če nimate Office 365 E5, lahko kupite posamezne oblak program varnost licence za uporabniške račune, ki so dodeljene globalni skrbnik, skrbnik varnost in skladnost s predpisi skrbniške vloge.

Če imate oblak program varnost v naročnino na Office 365, uporabite te korake:

  1. Vpišite se v portal za Office 365 z računom, ki je bila dodeljena vloga varnost skrbnik ali skrbnik za skladnost s predpisi.

  2. Vklop Office 365 oblak program varnost.

  3. Preglejte vaše anomalija zaznavanje pravila vas obvesti po e-pošti nenavadno vzorcev z visoko ravnjo pravic skrbniške dejavnosti.

Če želite dodati uporabniški račun za varnost skrbniško vlogo, povezovanje z lupino PowerShell za Office 365 z dodeljeno globalni skrbnik računa in MFA, vnesite uporabniško ime glavni uporabniški račun in nato zaženite te ukaze:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Če želite dodati uporabniški račun skladnost skrbniško vlogo, vnesite uporabniško ime glavni uporabniški račun in nato zaženite te ukaze:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Dodatne zaščite za podjetje organizacije

Ko korake od 1 do 3, uporabite te dodatne načine zagotoviti, da vaš račun globalnega skrbnika in konfiguracijo, ki ga izvedete uporabe, so kot varna, kot je mogoče.

Visoko ravnjo pravic dostopa delovne (PAW)

Če želite zagotoviti, da izvajanja visoko ravnjo pravic opravila kot varna, kot je mogoče, uporabite TAČKO. TAČKO je dodeljeno računalnika, ki se uporablja le za občutljive konfiguracije opravila, kot sta konfiguracija storitve Office 365, ki zahteva račun globalnega skrbnika. Ker tega računalnika ne uporablja vsak dan za brskanje po internetu ali e-pošte, je bolje zaščiten pred napadi Internet in nevarnosti.

Če želite navodila o tem, kako nastavite TAČKO, si oglejte http://aka.ms/cyberpaw.

Upravljanje identitete Azure AD prednostna (PIM)

Namesto globalni skrbnik računa trajno dodeli vlogo globalnega skrbnika, lahko uporabite Azure AD PIM, da omogočite na zahtevo, ravno v času dodelitve vlogo globalnega skrbnika, kadar je to potrebno.

Namesto globalni skrbnik računa se trajna admin, postanejo upravičeni skrbnikov. Vlogo globalnega skrbnika je nedejaven, dokler nekdo potrebuje. Izpolnite za postopek aktiviranja globalni skrbnik račun dodati vlogo globalnega skrbnika za vnaprej določenem času. Ko poteče čas, PIM odstrani globalno skrbniško vlogo globalnega skrbnika računa.

Uporaba PIM in ta proces bistveno zmanjšuje čas, ki globalni skrbnik računa so izpostavljene napad in uporabljati zlonamernih uporabnikov.

Če želite več informacij, glejte Konfiguracija Azure AD visoko ravnjo pravic upravljanje identitete.

Opomba: PIM je na voljo v storitvi Azure Active Directory Premium P2, ki je vključen v podjetje mobilnost + E5 varnost (EMS), ali lahko kupite posamezne licence za vaš račun globalnega skrbnika.

Varnostne informacije in dogodek upravljanja (Kaj up) programske opreme za Office 365 pisanje dnevnika

Kaj up programske opreme, ki izvajajo v strežniku izvede v realnem času analizo varnostnih opozoril in dogodkov, ki je ustvarila programov in strojne opreme omrežja. Če želite strežnik Kaj up na Office 365 varnostnih opozoril in dogodkov v svojo analizo in funkcije poročanja, integracija teh v sistemu Kaj up:

Naslednji korak

Glejte Najboljše varnostne prakse za Office 365.

Razširite poznavanje Officea
Oglejte si izobraževanje
Prvi dobite nove funkcije
Pridružite se programu Office Insider

Vam je bila informacija v pomoč?

Zahvaljujemo se vam za povratne informacije.

Zahvaljujemo se vam za povratne informacije. Videti je, da bi vam prišla prav pomoč enega od naših Officeovih agentov za podporo.

×