Zaštita vaše Office 365 naloga Globalni administrator

Napomena:  Želimo da vam što pre pružimo najnoviji sadržaj pomoći čim na vašem jeziku. Ova stranica je prevedena automatski i može da sadrži gramatičke greške ili netačnosti. Naš cilj je da ovaj sadržaj bude koristan. Možete li nam na dnu ove stranice saopštiti da li su vam informacije bile od koristi? Ovo je članak na engleskom jeziku za brzu referencu.

Rezime: Zaštita Office 365 pretplatu sa napadima na osnovu problem sa nalogom globalnog administratora.

Propusta pretplatu na Office 365, uključujući informacije o prikupljanja i prevare na mreži, obično obavljaju ugrožavanja akreditive naloga Globalni administrator usluge Office 365. Bezbednost u oblaku je partnerstvo između vas i korporacije Microsoft:

  • Microsoft uslugama u oblaku se zasnivaju na osnova pouzdanost i bezbednost. Microsoft pruža kontrole bezbednosti i mogućnosti koje vam pomažu da zaštitite podatke i aplikacije.

  • Posedujete podataka i identitetima i odgovornosti za zaštitu ih bezbednost lokalnog resursa i bezbednost oblaku komponente kontrolišete.

Microsoft pruža mogućnosti koje vam pomažu da zaštitite vaše organizacije, ali su efikasne samo ako ih koristite. Ako ne koristite ih, možda izložen napadima. Da biste zaštitili naloge Globalni administrator, Microsoft je ovde će vam pomoći da sa detaljnim uputstvima za:

  1. Kreiranje namensku Office 365 naloga Globalni administrator i koristite ih samo kada je to potrebno.

  2. Konfigurisanje potvrde identiteta sa više faktora za namensku Office 365 naloga Globalni administrator i koristite obrazac najjača sekundarni potvrde identiteta.

  3. Omogućavanje i konfigurisanje Office 365 oblak aplikacije bezbednosti za nadgledanje aktivnosti naloga sumnjivim Globalni administrator.

Napomena: Iako je ovaj članak je usredsređena na naloga Globalni administrator, razmotrite da li je to dodatne naloge sa sveobuhvatnih dozvole za pristup podacima u vašu pretplatu, kao što su e-otkrivanja administratora ili bezbednosti i usaglašenost administratorske naloge, trebalo bi da bude zaštićena na isti način.

Korak 1. Kreiranje namensku Office 365 naloga Globalni administrator i koristite ih samo kada je to potrebno

Postoje relativno nekoliko administrativne zadatke, kao što je dodeljivanje uloge korisnički nalozi koji zahtevaju privilegije globalnog administratora. Stoga, umesto korišćenja svakodnevni korisnički nalozi kojima je dodeljena uloga globalnog administratora, izvršite ove korake:

  1. Utvrdite skup korisnički nalozi kojima je dodeljena uloga globalnog administratora. Možete da učinite sa ovu komandu na komandnoj liniji Microsoft Azure Active Directory modul za Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Prijavite se u Office 365 pretplatu sa korisničkim nalogom koja je dodeljena uloga globalnog administratora.

  3. Kreirati barem jedan i najviše pet posvećen korisničkih naloga Globalni administrator. Koristite jake lozinke najmanje 12 znakova vremena U članku Kreiranje jake lozinke za više informacija. Skladištenje lozinki za nove naloge na bezbednoj lokaciji.

  4. Dodeljivanje uloga globalnog administratora za svaku novu posvećenu Globalni administrator korisničkih naloga.

  5. Odjavite se iz Office 365.

  6. Prijavite se pomoću jedan od novih korisničkih naloga namensku Globalni administrator.

  7. Za svaki postojeći korisnički nalog koji je dodeljena uloga globalnog administratora iz korak 1:

    • Uklanjanje uloga globalnog administratora.

    • Dodeljivanje uloga administratora nalog koji su prikladne za posao funkcija i odgovornost tog korisnika. Više informacija o različitim uloga administratora u sistemu Office 365 potražite u članku uloga administratora za Office 365.

  8. Odjavite se iz Office 365.

Rezultat bi trebalo da bude:

  • Samo korisnički nalozi u pretplate koje imaju uloga globalnog administratora su novi skup nalozi namensku globalnog administratora. Proverite tako sa sledeću PowerShell komandu:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Sve ostale svakodnevni korisničke naloge koji upravljaju pretplatu imate uloge administratora dodeljeni i koji su povezani sa njihove odgovornosti posao.

Od sad pa nadalje, se prijavite pomoću naloga na namensku Globalni administrator samo za zadatke koji zahtevaju privilegije globalnog administratora. Druge Office 365 administracija mora izvršiti dodeljivanje uloga druge administracija korisničke naloge.

Napomena: Da, to zahteva dodatne korake kako biste odjavite kao svakodnevni korisničkog naloga i prijavite se pomoću namensku globalnog administratorskog naloga. Da, ali ovo treba da se obave povremeno za operacije Globalni administrator. Razmislite o tome koje oporavku Office 365 pretplatu kada prekid naloga Globalni administrator zahteva mnogo dodatne korake.

Korak 2. Konfigurisanje potvrde identiteta sa više faktora za namensku Office 365 naloga Globalni administrator i koristite obrazac najjača sekundarni potvrde identiteta

Potvrda identiteta sa više faktora (MFA) za naloge Globalni administrator zahteva dodatne informacije pored imena naloga i lozinku. Office 365 podržava ovih metoda verifikacije:

  • Telefonski poziv

  • Nasumično generisana lozinka

  • Pametna kartica (virtuelna ili fizička)

  • Biometrijski uređaj

Ako ste mala preduzeća koja koristi korisničke naloge uskladišten samo u oblaku (u oblaku identitet model), koristite ove korake da biste konfigurisali MFA pomoću telefonski poziv ili tekstualne poruke verifikacioni kôd poslate na pametni telefon:

  1. Omogućavanje MFA.

  2. Podešavanje verifikaciju korak 2 za Office 365 da biste konfigurisali svaki posvećen globalnog administratorskog naloga za poziv ili tekstualnu poruku kao metoda verifikacije.

Ako ste veće organizacije koja koristi model identitet hibrid za Office 365, imate dodatne opcije provere. Ako već imate Bezbednosna infrastruktura na mestu za jači metod sekundarni potvrde identiteta, koristite ove korake:

  1. Omogućavanje MFA.

  2. Podešavanje verifikaciju korak 2 za Office 365 da biste konfigurisali svaki posvećen globalnog administratorskog naloga za metod odgovarajuće verifikaciju.

Ako Bezbednosna infrastruktura za željeni metod jači verifikaciju nije na mestu i funkcioniše za Office 365 MFA, preporučujemo da konfigurišete namensku globalne administratorske naloge sa MFA pomoću telefonski poziv ili tekstualne poruke verifikacioni kôd šalju pametni telefon za naloge Globalni administrator kao privremeni bezbednost meru. Napusti namensku Globalni administrator nalozi bez dodatne zaštite dao MFA.

Više informacija potražite u članku Planiranje višestruke potvrde identiteta za Office 365 primene.

Da biste se povezali sa usluge Office 365 sa MFA i PowerShell, pogledajte Ovaj članak.

Korak 3. Nadgledanje aktivnosti naloga sumnjivim Globalni administrator

Office 365 oblak aplikacije bezbednost vam omogućava da kreiraju smernice koja vas obaveštava o sumnjivim ponašanje u vašu pretplatu. Oblak aplikacije bezbednost je ugrađena u Office 365 E5, ali je takođe dostupan kao odvojene usluge. Na primer, ako nemate Office 365 E5, možete da kupite pojedinačne oblaku aplikacije bezbednost licence za korisničke naloge koji se dodeljuje Globalni administrator, administratora za bezbednost i usaglašenost uloge administratora.

Ako imate oblaku aplikacije bezbednosti u Office 365 pretplatu, koristite ove korake:

  1. Prijavite se u Office 365 portala pomoću naloga koji je dodeljena uloga administratora za bezbednost ili usaglašenost Administrator.

  2. Uključivanje Office 365 oblak aplikacije bezbednosti.

  3. Pregledajte Smernice za otkrivanje anomalija za slanje obaveštenja putem e-pošte za neobiиnih obrazaca privilegijama administrativnih aktivnosti.

Da biste dodali korisničkom nalogu ulogu administratora za bezbednost, Povezivanje sa Office 365 PowerShell sa namensku globalnog administratorskog naloga i MFA, popunite glavno korisničko ime korisničkog naloga, a zatim pokrenite ove komande:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Da biste dodali korisničkom nalogu ulogu administratora usaglašenost, popunite glavno korisničko ime korisničkog naloga, a zatim pokrenite ove komande:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Dodatne zaštite organizacije

Nakon korake od 1 do 3, koristite ove dodatne metoda da biste se uverili da Globalni administrator nalog i konfiguraciju koju izvršavate da je koristite, biće što bezbedniji.

Privilegijama pristupa radno mesto (ЉAPU)

Da biste se uverili da je bezbedno moguće izvršavanja visokim privilegijama zadataka, koristite ЉAPU. ЉAPU je posvećena računar koji se koristi samo za osetljive konfiguracije zadatke, kao što je Office 365 konfiguracija koja zahteva globalnog administratorskog naloga. Pošto se ovaj računar ne koristi dnevno za pregledanje Interneta ili e-pošte, je bolje zaštićena od Internet napadima i pretnji.

Za uputstva o tome kako da podesite ЉAPU, pogledajte članak http://aka.ms/cyberpaw.

Upravljanje identitetom Azure AD privilegovane (PIM)

Umesto biti trajno dodeljena uloga globalnog administratora nalozi Globalni administrator, možete da koristite Azure AD PIM da biste omogućili dodele ulogu globalnog administratora na zahtev, samo u vreme kada je to potrebno.

Umesto naloge Globalni administrator koji se trajno administracije, oni postaju uslove administratori. Ulogu globalnog administratora je neaktivna dok nekome je potrebna. Zatim dovršite na procesa aktivacije da biste dodali ulogu globalnog administratora za unapred određenog vremena globalnog administratorskog naloga. Kada vreme istekne, PIM uklanja ulogu globalnog administratora iz globalnog administratorskog naloga.

Korišćenje PIM i ovaj proces znatno smanjuje količinu vremena koje je globalni administrator nalozi podložni napasti i koristite zlonamerni korisnici.

Više informacija potražite u članku Konfigurisanje Azure AD privilegijama upravljanje identitetom.

Napomena: PIM je dostupan sa aktivni Azure direktorijuma Premium P2, koji je uključen sa Enterprise Mobility + E5 bezbednost (EMS), ili možete da kupite pojedinačne dozvole za globalnog administratora nalozi.

Bezbednost informacija i događaja softver za upravljanje (SIEM) za Office 365 prijavljivanje

SIEM softver pokrene na serveru obavlja u realnom vremenu analizu bezbednosnih upozorenja i događaje kreirao aplikacije i mrežnog hardvera. Da biste dozvolili u SIEM server da biste uključili obaveštenja o bezbednosti sistema Office 365 i događaje u svoju analizu i izveštavanje o funkcijama, integracija ih u sistemu SIEM:

Sledeći korak

Pročitajte članak najbolje prakse bezbednosti za Office 365.

Razvijte Office veštine
Istražite obuku
Prvi nabavite nove funkcije
Pridružite se Office Insider korisnicima

Da li su vam ove informacije koristile?

Hvala vam na povratnim informacijama!

Hvala za povratne informacije! Zvuči da će biti od pomoći ako vas povežemo sa našim agentima Office podrške.

×