Skydda dina globala administratörskonton för Office 365

Sammanfattning: Skydda dina global administratörskonton med de här stegen.

Viktigt!: Den här artikeln är maskinöversatt, se ansvarsfriskrivningen. Den engelska versionen av den här artikeln finns här för din referens.

För att bättre skydda din Office 365-prenumeration från attacker utifrån ett globalt administratörskonto avslöjas, måste du göra på följande just nu:

  1. Skapa dedikerade Office 365-administratörskonton och bara använda dem när det behövs.

  2. Konfigurera multifaktorautentisering för dina dedikerade globala Office 365-administratörskonton och använda den starkaste formen av sekundär autentisering.

  3. Aktivera och konfigurera Office 365 molnet App säkerhet för att övervaka för misstänkta global administratör kontoaktivitet.

Säkerhetsöverträdelser i Office 365-abonnemang, som informationsinsamling och nätfiskeattacker, utförs vanligtvis genom att autentiseringsuppgifter för ett globalt Office 365-administratörskonto komprometteras. Säkerheten i molnet är ett samarbete mellan dig och Microsoft:

  • Microsofts molntjänster vilar på en grund av säkerhet och förtroende. Microsoft tillhandahåller säkerhetskontroller och funktioner som hjälper dig att skydda dina data och program.

  • Du äger dina data och identiteter och ansvarar för att skydda dem. Du ansvarar också för säkerheten för dina lokala resurser och de molnkomponenter som du styr.

För att skydda dig måste du använda dig av de kontroller och funktioner som Microsoft tillhandahåller.

Obs!: Även om den här artikeln fokuserar på global administratörskonton, bör du även överväga om ytterligare konton med omfattande behörighet för åtkomst till data i din prenumeration, till exempel e-informationsavslöjande administratör eller säkerhet och efterlevnad administratörskonton, bör skyddas på samma sätt.

Fas 1. Skapa dedikerade globala Office 365-administratörskonton och använd dem bara när det behövs.

Det är ganska få administrativa uppgifter, till exempel tilldelning av roller till användarkonton, som kräver global administratörsbehörighet. I stället för att använda vanliga användarkonton som tilldelas den globala administratörsrollen gör du följande omedelbart:

  1. Fastställ vilka användarkonton som har tilldelats rollen som global administratör. Det kan du göra i Office 365 PowerShell med följande kommando:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Logga in på din Office 365-prenumeration med ett konto som har tilldelats global administratörsroll.

  3. Skapa minst en och högst fem dedikerade globala administratörsanvändarkonton. Använd starka lösenord, minst 12 tecken långa. Lagra lösenorden för de nya kontona på en säker plats.

  4. Tilldela den globala administratörsrollen till vart och ett av de nya, dedikerade globala administratörsanvändarkontona.

  5. Logga ut från Office 365.

  6. Logga in med ett av de nya, dedikerade globala administratörskontona.

  7. Gör detta för varje befintligt användarkonto som har tilldelats rollen global administratör från steg 1:

    • Ta bort den globala administratörsrollen.

    • Tilldela administratörsroller till det konto som är lämpliga för den användaren arbetsuppgifter och ansvar. Mer information om olika administratörsroller i Office 365 finns i om Office 365 administratörsroller.

  8. Logga ut från Office 365.

Det här ska vara resultatet:

  • De enda användarkonton i din prenumeration som har global administratörsroll ska nu vara den nya uppsättningen dedikerade globala administratörskonton. Kontrollera det med följande PowerShell-kommando i Kommandotolken i Windows Azure Active Directory-modulen för Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Alla övriga, vanliga användarkonton som hanterar din prenumeration har administratörsroller som stämmer överens med deras arbetsuppgifter.

Från och med nu loggar du bara in med de dedikerade globala administratörskontona för de uppgifter som kräver global administratörsbehörighet. Alla övrig Office 365-administration måste göras genom att vanliga användarkonton tilldelas administrativa roller.

Obs!: Det krävs visserligen fler åtgärder för att logga ut från ditt vanliga användarkonto och logga in med ett dedikerat globalt administratörskonto, men det behöver bara göras då och då för åtgärder som måste utföras av en global administratör. Tänk på att det krävs många fler steg för att återställa din Office 365-prenumeration om ett globalt administratörskonto har komprometterats.

Fas 2. Konfigurera multifaktorautentisering för dina dedikerade globala Office 365-administratörskonton och använd den starkaste formen av sekundär autentisering.

Multifaktorautentisering (MFA) för dina globala administratörskonton kräver ytterligare information utöver kontonamn och lösenord. I Office 365 kan följande verifieringsmetoder användas:

  • Ett telefonsamtal

  • Ett slumpmässigt genererad kod

  • Ett smartkort (virtuellt eller fysiskt)

  • En biometrisk enhet

Om du har ett litet företag som använder användarkonton som enbart lagras i molnet (molnidentitetsmodellen), gör du följande omedelbart för att konfigurera MFA med ett telefonsamtal eller med en verifieringskod som skickas i ett textmeddelande till en smartphone:

  1. Aktivera MFA.

  2. Konfigurera 2-stegsverifiering för Office 365 och konfigurera varje dedikerat globalt administratörskonto för telefonsamtal eller SMS som verifieringsmetod.

Om ni är ett större företag som använder de synkroniserade eller externa identitetsmodellerna för Office 365, har du flera verifieringsalternativ. Om du har redan har säkerhetsinfrastrukturen på plats för en starkare sekundär autentiseringsmetod gör du följande omedelbart:

  1. Aktivera MFA.

  2. Konfigurera 2-stegsverifiering för Office 365 och konfigurera varje dedikerat globalt administratörskonto för lämplig verifieringsmetod.

Om säkerhetsinfrastrukturen för den önskade, starkare verifieringsmetoden inte finns på plats och är aktiverad för Office 365 MFA, rekommenderar vi att du omedelbart konfigurerar dedikerade globala administratörskonton med MFA med hjälp av ett telefonsamtal eller ett SMS med en verifieringskod som skickas till en smartphone för dina globala administratörskonton som en tillfällig säkerhetsåtgärd. Lämna inte dina dedikerade globala administratörskonton utan det extra skydd som MFA ger.

Mer information finns i Planera för flerfaktor-autentisering för Office 365 distributioner.

Om du vill ansluta till Office 365-tjänster med MFA och PowerShell läser du den här artikeln.

Fas 3. Aktivera och konfigurera Office 365 molnet App säkerhet för att övervaka för misstänkta global administratör kontoaktivitet

Office 365 molnet App säkerhet kan du skapa principer för att meddela dig misstänkta beteende i din prenumeration. Molnet App säkerhet är inbyggda i Office 365 E5, men är också tillgänglig som en separat tjänst. Om du inte har Office 365 E5 kan köpa du licenser för enskilda molnet App säkerhet för användarkonton som tilldelas den globala administratören, säkerhetsadministratör och efterlevnad administratörsroller.

Om du har molnet App säkerhet i Office 365-prenumerationen, omedelbart gör du följande:

  1. Logga in på Office 365-portalen med ett konto som har tilldelats rollen säkerhetsadministratör eller efterlevnad administratör.

  2. Aktivera Office 365 molnet App säkerhet.

  3. Skapa avvikelse identifiering av principer för att meddela dig via e-post av avvikande mönster om Privilegierade administrativa aktiviteter.

Om du vill lägga till ett användarkonto till rollen säkerhetsadministratör måste du ansluta till Office 365 PowerShell med ett dedikerat globalt administratörskonto och MFA, fylla i användarkontots primära namn och sedan köra följande kommandon:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Du lägger till ett användarkonto till rollen efterlevnadsadministratör genom att fylla i användarkontots primära namn och sedan köra följande kommandon:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Ytterligare skydd för global administratör-konton

När faser 1-3, använda dessa ytterligare metoder för att säkerställa att ditt globala administratörskonto och konfiguration som du kan utföra med hjälp av den, är det så säker som möjligt.

Privilegierade Access arbetsstation (PAW)

Använd en PAW så att körningen av användare med hög behörighet uppgifter är så säker som möjligt. En PAW är en särskild dator som används endast för konfiguration av känsliga uppgifter, till exempel Office 365-konfiguration som kräver ett globalt administratörskonto. Eftersom den här datorn inte används dagligen för surfa på Internet eller e-post, är det bättre skyddad från internetattacker och hot.

Anvisningar om hur du konfigurerar en PAW finns i http://aka.ms/cyberpaw.

Azure AD-behörighet Identity Management (PIM)

Snarare än med dina global administratörskonton tilldelas permanent rollen global administratör kan använda du Azure AD PIM för att aktivera på begäran, i-tid tilldelning av rollen global administratör när det behövs.

I stället för global administratörskonton som en permanent administratör, blir det ett giltigt administratörer. Rollen global administratör är inaktiv tills någon behöver den. Slutför en aktiveringsprocessen om du vill lägga till rollen global administratör i det globala administratörskontot för ett förbestämt antal tid. När den angivna tiden bort PIM rollen global administratör från det globala administratörskontot.

Med hjälp av PIM och proceduren avsevärt minskar antalet standardmantimmar som global administratörskonton är utsatt för angrepp och använda av obehöriga användare.

Mer information finns i Konfigurera Azure AD Privilegierade Identity Management.

Obs!: PIM är tillgängligt med Azure Active Directory Premium P2, som ingår i Enterprise mobilitet + säkerhet (EMS) E5, eller köpa licenser för enskilda för global administratörskonton.

Information och händelse management (SIEM) säkerhetsprogramvara för Office 365-loggning

SIEM programvara som körs på en server utför realtid analys av säkerhetsvarningar och händelser som har skapats av program och maskinvaran för nätverket. Integrera följande om du vill att din SIEM server som du vill ta med Office 365 säkerhetsvarningar och händelser i sin analys och rapportering av funktioner i datorn SIEM:

Nästa steg

Avsnittet Säkerhet Metodtips för Office 365.

Obs!: Ansvarsfriskrivning för maskinöversättning: Den här artikeln har översatts av ett datorsystem utan mänsklig inblandning. Microsoft erbjuder dessa maskinöversättningar för att hjälpa icke engelskspråkiga användare att ta del av information om Microsofts produkter, tjänster och tekniker. Eftersom artikeln är maskinöversatt kan den innehålla fel i ordval, syntax och grammatik.

Utöka dina kunskaper
Utforska utbildning
Få nya funktioner först
Anslut till Office Insiders

Hade du nytta av den här informationen?

Tack för din feedback!

Tack för din feedback! Det låter som att det kan vara bra att koppla dig till en av våra Office-supportrepresentanter.

×