Skydda dina globala administratörskonton för Office 365

Viktigt!: Den här artikeln är maskinöversatt, se ansvarsfriskrivningen. Den engelska versionen av den här artikeln finns här för din referens.

Sammanfattning:

Om du vill ge din Office 365-prenumerationen bättre skydd mot angrepp måste du göra följande nu:

  1. Skapa dedikerade Office 365-administratörskonton och bara använda dem när det behövs.

  2. Konfigurera multifaktorautentisering för dina dedikerade globala Office 365-administratörskonton och använda den starkaste formen av sekundär autentisering.

  3. Aktivera och konfigurera avancerad säkerhetshantering för att övervaka misstänkt aktivitet i globala administratörskonton.

Säkerhetsöverträdelser i Office 365-abonnemang, som informationsinsamling och nätfiskeattacker, utförs vanligtvis genom att autentiseringsuppgifter för ett globalt Office 365-administratörskonto komprometteras. Säkerheten i molnet är ett samarbete mellan dig och Microsoft:

  • Microsofts molntjänster vilar på en grund av säkerhet och förtroende. Microsoft tillhandahåller säkerhetskontroller och funktioner som hjälper dig att skydda dina data och program.

  • Du äger dina data och identiteter och ansvarar för att skydda dem. Du ansvarar också för säkerheten för dina lokala resurser och de molnkomponenter som du styr.

För att skydda dig måste du använda dig av de kontroller och funktioner som Microsoft tillhandahåller.

Fas 1. Skapa dedikerade globala Office 365-administratörskonton och använd dem bara när det behövs.

Det är ganska få administrativa uppgifter, till exempel tilldelning av roller till användarkonton, som kräver global administratörsbehörighet. I stället för att använda vanliga användarkonton som tilldelas den globala administratörsrollen gör du följande omedelbart:

  1. Fastställ vilka användarkonton som har tilldelats rollen som global administratör. Det kan du göra i Office 365 PowerShell med följande kommando:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Logga in på din Office 365-prenumeration med ett konto som har tilldelats global administratörsroll.

  3. Skapa minst en och högst fem dedikerade globala administratörsanvändarkonton. Använd starka lösenord, minst 12 tecken långa. Lagra lösenorden för de nya kontona på en säker plats.

  4. Tilldela den globala administratörsrollen till vart och ett av de nya, dedikerade globala administratörsanvändarkontona.

  5. Logga ut från Office 365.

  6. Logga in med ett av de nya, dedikerade globala administratörskontona.

  7. Gör detta för varje befintligt användarkonto som har tilldelats rollen global administratör från steg 1:

    • Ta bort den globala administratörsrollen.

    • Tilldela administratörsroller till det konto som är lämpligt för den användarens arbetsuppgifter och ansvar. Mer information om olika administratörsroller i Office 365 finns i Om Office 365-administratörsroller.

  8. Logga ut från Office 365.

Det här ska vara resultatet:

  • De enda användarkonton i din prenumeration som har global administratörsroll ska nu vara den nya uppsättningen dedikerade globala administratörskonton. Kontrollera det med följande PowerShell-kommando i Kommandotolken i Windows Azure Active Directory-modulen för Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Alla övriga, vanliga användarkonton som hanterar din prenumeration har administratörsroller som stämmer överens med deras arbetsuppgifter.

Från och med nu loggar du bara in med de dedikerade globala administratörskontona för de uppgifter som kräver global administratörsbehörighet. Alla övrig Office 365-administration måste göras genom att vanliga användarkonton tilldelas administrativa roller.

Obs!: Det krävs visserligen fler åtgärder för att logga ut från ditt vanliga användarkonto och logga in med ett dedikerat globalt administratörskonto, men det behöver bara göras då och då för åtgärder som måste utföras av en global administratör. Tänk på att det krävs många fler steg för att återställa din Office 365-prenumeration om ett globalt administratörskonto har komprometterats.

Fas 2. Konfigurera multifaktorautentisering för dina dedikerade globala Office 365-administratörskonton och använd den starkaste formen av sekundär autentisering.

Multifaktorautentisering (MFA) för dina globala administratörskonton kräver ytterligare information utöver kontonamn och lösenord. I Office 365 kan följande verifieringsmetoder användas:

  • Ett telefonsamtal

  • Ett slumpmässigt genererad kod

  • Ett smartkort (virtuellt eller fysiskt)

  • En biometrisk enhet

Om du har ett litet företag som använder användarkonton som enbart lagras i molnet (molnidentitetsmodellen), gör du följande omedelbart för att konfigurera MFA med ett telefonsamtal eller med en verifieringskod som skickas i ett textmeddelande till en smartphone:

  1. Aktivera MFA.

  2. Konfigurera 2-stegsverifiering för Office 365 och konfigurera varje dedikerat globalt administratörskonto för telefonsamtal eller SMS som verifieringsmetod.

Om ni är ett större företag som använder de synkroniserade eller externa identitetsmodellerna för Office 365, har du flera verifieringsalternativ. Om du har redan har säkerhetsinfrastrukturen på plats för en starkare sekundär autentiseringsmetod gör du följande omedelbart:

  1. Aktivera MFA.

  2. Konfigurera 2-stegsverifiering för Office 365 och konfigurera varje dedikerat globalt administratörskonto för lämplig verifieringsmetod.

Om säkerhetsinfrastrukturen för den önskade, starkare verifieringsmetoden inte finns på plats och är aktiverad för Office 365 MFA, rekommenderar vi att du omedelbart konfigurerar dedikerade globala administratörskonton med MFA med hjälp av ett telefonsamtal eller ett SMS med en verifieringskod som skickas till en smartphone för dina globala administratörskonton som en tillfällig säkerhetsåtgärd. Lämna inte dina dedikerade globala administratörskonton utan det extra skydd som MFA ger.

Mer information finns i Planera för multifaktorautentisering för Office 365-distributioner.

Om du vill ansluta till Office 365-tjänster med MFA och PowerShell läser du den här artikeln.

Fas 3. Aktivera och konfigurera avancerad säkerhetshantering för att övervaka misstänkt aktivitet i globala administratörskonton.

Med avancerad säkerhetshantering (ASM) kan du skapa principer för att få aviseringar om misstänkt beteende i prenumerationen. ASM är inbyggt i Office 365 E5, men finns också tillgängligt som en separat tjänst. Om du t.ex. inte har Office 365 E5 kan du köpa enskilda ASM-licenser för användarkonton som tilldelats rollerna global administratör, säkerhetsadministratör och efterlevnadsadministratör.

Om ASM ingår i din Office 365-prenumeration gör du följande omedelbart:

  1. Logga in på Office 365-portalen med ett konto som har tilldelats rollen som säkerhetsadministratör eller efterlevnadsadministratör.

  2. Aktivera ASM.

  3. Skapa principer för att meddela dig via e-post om:

    • Avvikande mönster för administratörsaktivitet

    • Lägga till medlemmar i roller

Om du vill lägga till ett användarkonto till rollen säkerhetsadministratör måste du ansluta till Office 365 PowerShell med ett dedikerat globalt administratörskonto och MFA, fylla i användarkontots primära namn och sedan köra följande kommandon:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Du lägger till ett användarkonto till rollen efterlevnadsadministratör genom att fylla i användarkontots primära namn och sedan köra följande kommandon:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Nästa steg

Avsnittet Säkerhet Metodtips för Office 365.

Obs!: Ansvarsfriskrivning för maskinöversättning: Den här artikeln har översatts av ett datorsystem utan mänsklig inblandning. Microsoft erbjuder dessa maskinöversättningar för att hjälpa icke engelskspråkiga användare att ta del av information om Microsofts produkter, tjänster och tekniker. Eftersom artikeln är maskinöversatt kan den innehålla fel i ordval, syntax och grammatik.

Mer information finns i

Om Office 365-administratörsroller

Planera för multifaktorautentisering för Office 365-distributioner

Aktivera ASM

Utöka dina kunskaper
Utforska utbildning
Få nya funktioner först
Anslut till Office Insiders

Hade du nytta av den här informationen?

Tack för din feedback!

Tack för din feedback! Det låter som att det kan vara bra att koppla dig till en av våra Office-supportrepresentanter.

×