Skydda dina globala administratörskonton för Office 365

Sammanfattning: Skydda din Office 365-prenumeration från attacker utifrån avslöjas av ett globalt administratörskonto.

Obs!:  Vi vill kunna erbjuda dig bästa möjliga supportinnehåll så fort som möjligt och på ditt språk. Den här sidan har översatts med hjälp av automatiserad översättning och kan innehålla grammatiska fel eller andra felaktigheter. Vår avsikt är att den här informationen ska vara användbar för dig. Vill du berätta för oss om informationen är till hjälp längst ned på sidan? Här är artikeln på engelska som referens.

Säkerhetsöverträdelser i Office 365-abonnemang, som informationsinsamling och nätfiskeattacker, utförs vanligtvis genom att autentiseringsuppgifter för ett globalt Office 365-administratörskonto komprometteras. Säkerheten i molnet är ett samarbete mellan dig och Microsoft:

  • Microsofts molntjänster vilar på en grund av säkerhet och förtroende. Microsoft tillhandahåller säkerhetskontroller och funktioner som hjälper dig att skydda dina data och program.

  • Du äger dina data och identiteter och ansvarar för att skydda dem. Du ansvarar också för säkerheten för dina lokala resurser och de molnkomponenter som du styr.

Microsoft tillhandahåller funktioner för att skydda din organisation, men de fungerar bara om du använder. Om du inte använder dem kan vara du utsatt för. Om du vill skydda dina global administratörskonton är Microsoft här som hjälper dig med detaljerade instruktioner till:

  1. Skapa dedikerade Office 365-administratörskonton och bara använda dem när det behövs.

  2. Konfigurera multifaktorautentisering för dina dedikerade globala Office 365-administratörskonton och använda den starkaste formen av sekundär autentisering.

  3. Aktivera och konfigurera Office 365 molnet App säkerhet för att övervaka för misstänkta global administratör kontoaktivitet.

Obs!: Även om den här artikeln fokuserar på global administratörskonton, bör du även överväga om ytterligare konton med omfattande behörighet för åtkomst till data i din prenumeration, till exempel e-informationsavslöjande administratör eller säkerhet och efterlevnad administratörskonton, bör skyddas på samma sätt.

Fas 1. Skapa dedikerade globala Office 365-administratörskonton och använd dem bara när det behövs.

Det finns relativt få administrativa uppgifter, till exempel tilldela roller för användarkonton som kräver global administratörsbehörighet. Därför istället för att använda vardagliga användarkonton som har tilldelats rollen global administration, gör du så här:

  1. Bestämma vilka användarkonton som har tilldelats rollen global administratör. Du kan göra detta med det här kommandot i Kommandotolken Microsoft Azure Active Directory-modulen för Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Logga in på din Office 365-prenumeration med ett konto som har tilldelats global administratörsroll.

  3. Skapa minst en och högst fem dedikerade globala administratörsanvändarkonton. Använd starka lösenord, minst 12 tecken långa. Lagra lösenorden för de nya kontona på en säker plats.

  4. Tilldela den globala administratörsrollen till vart och ett av de nya, dedikerade globala administratörsanvändarkontona.

  5. Logga ut från Office 365.

  6. Logga in med ett av de nya, dedikerade globala administratörskontona.

  7. Gör detta för varje befintligt användarkonto som har tilldelats rollen global administratör från steg 1:

    • Ta bort den globala administratörsrollen.

    • Tilldela administratörsroller till det konto som är lämpliga för den användaren arbetsuppgifter och ansvar. Mer information om olika administratörsroller i Office 365 finns i om Office 365 administratörsroller.

  8. Logga ut från Office 365.

Resultatet ser ut:

  • Endast användarkonton i din prenumeration som har rollen global administratör är en ny uppsättning dedikerat global administratörskonton. Kontrollera detta med följande PowerShell-kommandot:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Alla övriga, vanliga användarkonton som hanterar din prenumeration har administratörsroller som stämmer överens med deras arbetsuppgifter.

Från och med nu loggar du bara in med de dedikerade globala administratörskontona för de uppgifter som kräver global administratörsbehörighet. Alla övrig Office 365-administration måste göras genom att vanliga användarkonton tilldelas administrativa roller.

Obs!: Det krävs visserligen fler åtgärder för att logga ut från ditt vanliga användarkonto och logga in med ett dedikerat globalt administratörskonto, men det behöver bara göras då och då för åtgärder som måste utföras av en global administratör. Tänk på att det krävs många fler steg för att återställa din Office 365-prenumeration om ett globalt administratörskonto har komprometterats.

Fas 2. Konfigurera multifaktorautentisering för dina dedikerade globala Office 365-administratörskonton och använd den starkaste formen av sekundär autentisering.

Flerfaktorautentisering (MFA) för din globala administratörskonton krävs ytterligare information förutom kontonamn och lösenord. Office 365 stöder dessa verifieringsmetoder:

  • Ett telefonsamtal

  • Ett slumpmässigt genererad kod

  • Ett smartkort (virtuellt eller fysiskt)

  • En biometrisk enhet

Om ett litet företag som använder användarkonton som lagras i molnet (molnet identitetsmodellen) kan du konfigurera MFA med hjälp av ett telefonsamtal eller en text meddelande Verifieringskod skickas till en Smartphone följa dessa steg:

  1. Aktivera MFA.

  2. Konfigurera 2-stegsverifiering för Office 365 och konfigurera varje dedikerat globalt administratörskonto för telefonsamtal eller SMS som verifieringsmetod.

Om du är en större organisation som använder de synkroniserade eller federerad Office 365 identitet modellerna finns fler alternativ för verifiering. Om du har redan infrastrukturen i säkerhet på plats för en starkare sekundär autentiseringsmetod följa dessa steg:

  1. Aktivera MFA.

  2. Konfigurera 2-stegsverifiering för Office 365 och konfigurera varje dedikerat globalt administratörskonto för lämplig verifieringsmetod.

Om säkerhetsinfrastruktur för önskad starkare verifieringsmetod inte är på plats och fungerar för Office 365 MFA rekommenderar vi att du konfigurerar dedikerat global administratörskonton med MFA med ett telefonsamtal eller ett textmeddelande verifieringskoden som skickas till en Smartphone för global administratörskonton en tillfällig av säkerhetsskäl. Lämna inte dedikerat global administratörskonton utan ytterligare skydd tillhandahålls av MFA.

Mer information finns i Planera för flerfaktor-autentisering för Office 365 distributioner.

Om du vill ansluta till Office 365-tjänster med MFA och PowerShell läser du den här artikeln.

Fas 3. Aktivera och konfigurera Office 365 molnet App säkerhet för att övervaka för misstänkta global administratör kontoaktivitet

Office 365 molnet App säkerhet kan du skapa principer för att meddela dig misstänkta beteende i din prenumeration. Molnet App säkerhet är inbyggda i Office 365 E5, men är också tillgänglig som en separat tjänst. Om du inte har Office 365 E5 kan köpa du licenser för enskilda molnet App säkerhet för användarkonton som tilldelas den globala administratören, säkerhetsadministratör och efterlevnad administratörsroller.

Om du har molnet App säkerhet i Office 365-prenumeration kan du följa dessa steg:

  1. Logga in på Office 365-portalen med ett konto som har tilldelats rollen säkerhetsadministratör eller efterlevnad administratör.

  2. Aktivera Office 365 molnet App säkerhet.

  3. Skapa avvikelse identifiering av principer för att meddela dig via e-post av avvikande mönster om Privilegierade administrativa aktiviteter.

Om du vill lägga till ett användarkonto till administratör för säkerhet, ansluta till Office 365 PowerShell med ett globalt administratörskonto för dedikerat och MFA, Fyll i användarens huvudnamn för användarkontot och kommandona körs:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Om du vill lägga till ett användarkonto i efterlevnad administratörsroll, Fyll i användarens huvudnamn för användarkontot och kommandona körs:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Ytterligare skydd för global administratör-konton

När faser 1-3, använda dessa ytterligare metoder för att säkerställa att ditt globala administratörskonto och konfiguration som du kan utföra med hjälp av den, är det så säker som möjligt.

Privilegierade Access arbetsstation (PAW)

Använd en PAW så att körningen av användare med hög behörighet uppgifter är så säker som möjligt. En PAW är en särskild dator som används endast för konfiguration av känsliga uppgifter, till exempel Office 365-konfiguration som kräver ett globalt administratörskonto. Eftersom den här datorn inte används dagligen för surfa på Internet eller e-post, är det bättre skyddad från internetattacker och hot.

Anvisningar om hur du konfigurerar en PAW finns i http://aka.ms/cyberpaw.

Azure AD-behörighet Identity Management (PIM)

Snarare än med dina global administratörskonton tilldelas permanent rollen global administratör kan använda du Azure AD PIM för att aktivera på begäran, i-tid tilldelning av rollen global administratör när det behövs.

I stället för global administratörskonton som en permanent administratör, blir det ett giltigt administratörer. Rollen global administratör är inaktiv tills någon behöver den. Slutför en aktiveringsprocessen om du vill lägga till rollen global administratör i det globala administratörskontot för ett förbestämt antal tid. När den angivna tiden bort PIM rollen global administratör från det globala administratörskontot.

Med hjälp av PIM och proceduren avsevärt minskar antalet standardmantimmar som global administratörskonton är utsatt för angrepp och använda av obehöriga användare.

Mer information finns i Konfigurera Azure AD Privilegierade Identity Management.

Obs!: PIM är tillgängligt med Azure Active Directory Premium P2, som ingår i Enterprise mobilitet + säkerhet (EMS) E5, eller köpa licenser för enskilda för global administratörskonton.

Information och händelse management (SIEM) säkerhetsprogramvara för Office 365-loggning

SIEM programvara som körs på en server utför realtid analys av säkerhetsvarningar och händelser som har skapats av program och maskinvaran för nätverket. Integrera uppgifterna i systemet SIEM om du vill att din SIEM server som du vill ta med Office 365 säkerhetsvarningar och händelser i sin analys och rapportering funktioner:

Nästa steg

Avsnittet Säkerhet Metodtips för Office 365.

Utöka dina kunskaper
Utforska utbildning
Få nya funktioner först
Anslut till Office Insiders

Hade du nytta av den här informationen?

Tack för din feedback!

Tack för din feedback! Det låter som att det kan vara bra att koppla dig till en av våra Office-supportrepresentanter.

×