Zaštita vaše Office 365 naloga Globalni administrator

Rezime: Zaštita naloge Globalni administrator pomoću ovih koraka.

Važno : Ovaj članak je mašinski preveden, pogledajte odricanje odgovornosti. Pogledajte verziju ovog članka na engleskom jeziku ovde za referencu.

Da biste bolje zaštitili pretplatu na Office 365 sa napadima na osnovu problem sa nalogom globalnog administratora, morate da izvršite na sledeće odmah:

  1. Kreiranje namensku Office 365 naloga Globalni administrator i koristite ih samo kada je to potrebno.

  2. Konfigurisanje potvrde identiteta sa više faktora za namensku Office 365 naloga Globalni administrator i koristite obrazac najjača sekundarni potvrde identiteta.

  3. Omogućavanje i konfigurisanje Office 365 oblak aplikacije bezbednosti za nadgledanje aktivnosti naloga sumnjivim Globalni administrator.

Propusta pretplatu na Office 365, uključujući informacije o prikupljanja i prevare na mreži, obično obavljaju ugrožavanja akreditive naloga Globalni administrator usluge Office 365. Bezbednost u oblaku je partnerstvo između vas i korporacije Microsoft:

  • Microsoft uslugama u oblaku se zasnivaju na osnova pouzdanost i bezbednost. Microsoft pruža kontrole bezbednosti i mogućnosti koje vam pomažu da zaštitite podatke i aplikacije.

  • Posedujete podataka i identitetima i odgovornosti za zaštitu ih bezbednost lokalnog resursa i bezbednost oblaku komponente kontrolišete.

Da biste zaštitili, morate da postavite na mestu kontrole i mogućnosti koje pruža Microsoft.

Napomena : Iako je ovaj članak je usredsređena na naloga Globalni administrator, razmotrite da li je to dodatne naloge sa sveobuhvatnih dozvole za pristup podacima u vašu pretplatu, kao što su e-otkrivanja administratora ili bezbednosti i usaglašenost administratorske naloge, trebalo bi da bude zaštićena na isti način.

Faza 1. Kreiranje namensku Office 365 naloga Globalni administrator i koristite ih samo kada je to potrebno

Postoje relativno nekoliko administrativne zadatke, kao što je dodeljivanje uloge korisnički nalozi koji zahtevaju privilegije globalnog administratora. Stoga, umesto korišćenja svakodnevni korisnički nalozi kojima je dodeljena uloga globalnog administratora, odmah uradite sledeće:

  1. Utvrdite skup korisnički nalozi kojima je dodeljena uloga globalnog administratora. Možete da uradite ovo u Office 365 PowerShell uz ovu komandu:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Prijavite se u Office 365 pretplatu sa korisničkim nalogom koja je dodeljena uloga globalnog administratora.

  3. Kreirati barem jedan i najviše pet posvećen korisničkih naloga Globalni administrator. Koristite jake lozinke najmanje 12 znakova vremena Skladištenje lozinki za nove naloge na bezbednoj lokaciji.

  4. Dodeljivanje uloga globalnog administratora za svaku novu posvećenu Globalni administrator korisničkih naloga.

  5. Odjavite se iz Office 365.

  6. Prijavite se pomoću jedan od novih korisničkih naloga namensku Globalni administrator.

  7. Za svaki postojeći korisnički nalog koji je dodeljena uloga globalnog administratora iz korak 1:

    • Uklanjanje uloga globalnog administratora.

    • Dodeljivanje uloga administratora nalog koji su prikladne za posao funkcija i odgovornost tog korisnika. Više informacija o različitim uloga administratora u sistemu Office 365 potražite u članku uloga administratora za Office 365.

  8. Odjavite se iz Office 365.

Rezultat bi trebalo da bude na sledeći način:

  • Samo korisnički nalozi u pretplate koje imaju uloga globalnog administratora su novi skup nalozi namensku globalnog administratora. Proverite tako sa sledeću PowerShell komandu na komandnoj liniji Windows Azure Active Directory modul za Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Sve ostale svakodnevni korisničke naloge koji upravljaju pretplatu imate uloge administratora dodeljeni i koji su povezani sa njihove odgovornosti posao.

Od sad pa nadalje, se prijavite pomoću naloga na namensku Globalni administrator samo za zadatke koji zahtevaju privilegije globalnog administratora. Druge Office 365 administracija mora izvršiti dodeljivanje uloga druge administracija korisničke naloge.

Napomena : Da, to zahteva dodatne korake kako biste odjavite kao svakodnevni korisničkog naloga i prijavite se pomoću namensku globalnog administratorskog naloga. Da, ali ovo treba da se obave povremeno za operacije Globalni administrator. Razmislite o tome koje oporavku Office 365 pretplatu kada prekid naloga Globalni administrator zahteva mnogo dodatne korake.

Faza 2. Konfigurisanje potvrde identiteta sa više faktora za namensku Office 365 naloga Globalni administrator i koristite obrazac najjača sekundarni potvrde identiteta

Potvrda identiteta sa više faktora (MFA) za naloge Globalni administrator zahteva dodatne informacije pored imena naloga i lozinku. Office 365 podržava sledećih metoda verifikacije:

  • Telefonski poziv

  • Nasumično generisana lozinka

  • Pametna kartica (virtuelna ili fizička)

  • Biometrijski uređaj

Ako ste mala preduzeća koja koristi korisničke naloge uskladišten samo u oblaku (u oblaku identitet model), odmah uradite sledeće da biste konfigurisali MFA pomoću telefonski poziv ili verifikacioni kôd tekst poruke poslate pametni telefon:

  1. Omogućavanje MFA.

  2. Podešavanje verifikaciju korak 2 za Office 365 da biste konfigurisali svaki posvećen globalnog administratorskog naloga za poziv ili tekstualnu poruku kao metoda verifikacije.

Ako ste veće organizacije koja koristi sinhronizovane ili spoljni Office 365 identiteta modela, imate dodatne opcije provere. Ako već imate Bezbednosna infrastruktura na mestu za jači sekundarni metod potvrde identiteta na, odmah uradite sledeće:

  1. Omogućavanje MFA.

  2. Podešavanje verifikaciju korak 2 za Office 365 da biste konfigurisali svaki posvećen globalnog administratorskog naloga za metod odgovarajuće verifikaciju.

Ako Bezbednosna infrastruktura za željeni metod jači verifikaciju nije na mestu i funkcioniše za Office 365 MFA, preporučujemo da odmah konfigurišete namensku globalne administratorske naloge sa MFA pomoću telefonski poziv ili tekst poruka verifikacioni kôd šalju pametni telefon za naloge Globalni administrator kao privremeni bezbednost meru. Napusti namensku Globalni administrator nalozi bez dodatne zaštite dao MFA.

Više informacija potražite u članku Planiranje višestruke potvrde identiteta za Office 365 primene.

Da biste se povezali sa usluge Office 365 sa MFA i PowerShell, pogledajte Ovaj članak.

Faza 3. Omogućavanje i konfigurisanje Office 365 oblak aplikacije bezbednosti za nadgledanje aktivnosti naloga sumnjivim Globalni administrator

Office 365 oblak aplikacije bezbednost vam omogućava da kreiraju smernice koja vas obaveštava o sumnjivim ponašanje u vašu pretplatu. Oblak aplikacije bezbednost je ugrađena u Office 365 E5, ali je takođe dostupan kao odvojene usluge. Na primer, ako nemate Office 365 E5, možete da kupite pojedinačne oblaku aplikacije bezbednost licence za korisničke naloge koji se dodeljuje Globalni administrator, administratora za bezbednost i usaglašenost uloge administratora.

Ako imate oblaku aplikacije bezbednosti u Office 365 pretplatu, odmah uradite sledeće:

  1. Prijavite se u Office 365 portala pomoću naloga koji je dodeljena uloga administratora za bezbednost ili usaglašenost Administrator.

  2. Uključivanje Office 365 oblak aplikacije bezbednosti.

  3. Kreiranje smernica za otkrivanje anomalija za slanje obaveštenja putem e-pošte za neobiиnih obrazaca privilegijama administrativnih aktivnosti.

Da biste dodali korisničkom nalogu uloga administratora za bezbednost, Povezivanje sa Office 365 PowerShell sa namensku globalnog administratorskog naloga i MFA, popunite glavno korisničko ime korisničkog naloga, a zatim pokrenite sledeće komande:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Da biste dodali korisničkom nalogu ulogu administratora usaglašenost, popunite glavno korisničko ime korisničkog naloga, a zatim pokrenite sledeće komande:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Dodatne zaštite za naloge Globalni administrator

Nakon faze 1-3, koristite ove dodatne metoda da biste se uverili da Globalni administrator nalog i konfiguraciju koju izvršavate da je koristite, biće što bezbedniji.

Privilegijama pristupa radno mesto (ЉAPU)

Da biste se uverili da je bezbedno moguće izvršavanja visokim privilegijama zadataka, koristite ЉAPU. ЉAPU je posvećena računar koji se koristi samo za osetljive konfiguracije zadatke, kao što je Office 365 konfiguracija koja zahteva globalnog administratorskog naloga. Pošto se ovaj računar ne koristi dnevno za pregledanje Interneta ili e-pošte, je bolje zaštićena od Internet napadima i pretnji.

Za uputstva o tome kako da podesite ЉAPU, pogledajte članak http://aka.ms/cyberpaw.

Upravljanje identitetom Azure AD privilegovane (PIM)

Umesto biti trajno dodeljena uloga globalnog administratora nalozi Globalni administrator, možete da koristite Azure AD PIM da biste omogućili dodele ulogu globalnog administratora na zahtev, samo u vreme kada je to potrebno.

Umesto naloge Globalni administrator koji se trajno administracije, oni postaju uslove administratori. Ulogu globalnog administratora je neaktivna dok nekome je potrebna. Zatim dovršite na procesa aktivacije da biste dodali ulogu globalnog administratora za unapred određenog vremena globalnog administratorskog naloga. Kada vreme istekne, PIM uklanja ulogu globalnog administratora iz globalnog administratorskog naloga.

Korišćenje PIM i ovaj proces znatno smanjuje količinu vremena koje je globalni administrator nalozi podložni napasti i koristite zlonamerni korisnici.

Više informacija potražite u članku Konfigurisanje Azure AD privilegijama upravljanje identitetom.

Napomena : PIM je dostupan sa aktivni Azure direktorijuma Premium P2, koji je uključen sa Enterprise Mobility + E5 bezbednost (EMS), ili možete da kupite pojedinačne dozvole za globalnog administratora nalozi.

Bezbednost informacija i događaja softver za upravljanje (SIEM) za Office 365 prijavljivanje

SIEM softver pokrene na serveru obavlja u realnom vremenu analizu bezbednosnih upozorenja i događaje kreirao aplikacije i mrežnog hardvera. Da biste dozvolili u SIEM server da biste uključili obaveštenja o bezbednosti sistema Office 365 i događaje u svoju analizu i izveštavanje o funkcijama, integracija sledeće u sistemu SIEM:

Sledeći korak

Pročitajte članak najbolje prakse bezbednosti za Office 365.

Napomena : Odricanje odgovornosti za mašinski prevod: Ovaj članak je preveo računarski sistem bez ljudske intervencije. Microsoft nudi ove mašinske prevode da bi pomogao korisnicima koji ne govore engleski da uživaju u sadržaju o Microsoft proizvodima, uslugama i tehnologijama. Budući da je članak mašinski preveden, može da sadrži greške u rečniku, sintaksi ili gramatici.

Unapredite veštine
Istražite obuku
Prvi nabavite nove funkcije
Pridružite se Office Insider korisnicima

Da li su vam ove informacije koristile?

Hvala vam na povratnim informacijama!

Hvala za povratne informacije! Zvuči da će biti od pomoći ako vas povežemo sa našim agentima Office podrške.

×