ป้องกันบัญชีผู้ใช้ผู้ดูแลระบบส่วนกลางของ Office 365 ของคุณ

สรุป: ป้องกันบัญชีผู้ใช้ผู้ดูแลระบบส่วนกลางของคุณ โดยใช้ขั้นตอนเหล่านี้

สิ่งสำคัญ:  บทความนี้เป็นการแปลด้วยเครื่อง โปรดดู ข้อจำกัดความรับผิดชอบ โปรดดูบทความฉบับภาษาอังกฤษ ที่นี่ เพื่อใช้อ้างอิง

เมื่อต้องการป้องกันการสมัครใช้งาน Office 365 ได้ดียิ่งขึ้น จากโจมตีโดยยึดตามสมบูรณ์ของบัญชีผู้ใช้ผู้ดูแลระบบส่วนกลาง คุณต้องทำต่อไปนี้ในขณะนี้:

  1. สร้างบัญชีผู้ใช้ผู้ดูแลระบบส่วนกลางของ Office 365 เฉพาะ และใช้ได้เฉพาะเมื่อจำเป็น

  2. กำหนดค่าการรับรองความถูกต้องด้วยหลายปัจจัยสำหรับบัญชีผู้ใช้ผู้ดูแลระบบส่วนกลางของ Office 365 ของคุณโดยเฉพาะ และใช้ฟอร์มที่แรงที่ของการรับรองความถูกต้องทุติยภูมิ

  3. เปิดใช้งาน และกำหนดค่า Office 365 Cloud App ความปลอดภัยเพื่อตรวจสอบสำหรับกิจกรรมบัญชีผู้ใช้ผู้ดูแลระบบส่วนกลางที่น่าสงสัย

โดยทั่วไปแล้วการละเมิดความปลอดภัยของการสมัครสมาชิก Office 365 รวมถึงข้อมูล harvesting และฟิชชิ่งโจมตี เสร็จเรียบร้อยแล้ว ด้วยโจมตีระบบข้อมูลประจำตัวของบัญชีผู้ใช้ผู้ดูแลระบบส่วนกลางของ Office 365 รักษาความปลอดภัยใน cloud จะจับคู่ระหว่างคุณและ Microsoft:

  • บริการ cloud ของไมโครซอฟท์จะมีอยู่แล้วภายใน foundation ของความน่าเชื่อถือและความปลอดภัย ไมโครซอฟท์ให้คุณควบคุมความปลอดภัยและความสามารถที่จะช่วยให้คุณปกป้องข้อมูลของคุณและแอปพลิเคชัน

  • คุณเป็นเจ้าของข้อมูลของคุณ และผู้ใช้อีเมล และความรับผิดชอบสำหรับการป้องกันเหล่านั้น ความปลอดภัยของแหล่งข้อมูลภายในองค์กรของคุณ และความปลอดภัยของคอมโพเนนต์ cloud ที่คุณควบคุม

เมื่อต้องการปกป้องตัวคุณเอง คุณต้องวางในสถานที่ตัวควบคุมและความสามารถที่ให้ Microsoft

หมายเหตุ: แม้ว่าบทความนี้จะเน้นที่บัญชีผู้ใช้ผู้ดูแลระบบส่วนกลาง คุณควรจะพิจารณาว่าเพิ่มเติมบัญชีผู้ใช้ที่ มีสิทธิ์ในการเข้าถึงข้อมูลในการสมัครใช้งาน เช่นผู้ดูแล eDiscovery หรือความปลอดภัย หรือปฏิบัติตามกฎระเบียบ wide-ranging บัญชีผู้ใช้ผู้ดูแลระบบ ควรได้รับการป้องกันในแบบเดียวกัน

ขั้นตอนที่ 1 สร้างบัญชีผู้ใช้ผู้ดูแลระบบส่วนกลางของ Office 365 เฉพาะ และใช้ได้เฉพาะเมื่อจำเป็น

มีสองสามค่อนข้างงานด้านการดูแล เช่นการกำหนดบทบาทไปยังบัญชีผู้ใช้ ที่จำเป็นต้องมีสิทธิ์ระดับผู้ดูแลระบบส่วนกลาง ดังนั้น แทนที่จะใช้บัญชีผู้ใช้ทุกวันที่ได้รับมอบหมายบทบาทผู้ดูแลระบบส่วนกลางทำต่อไปนี้ในทันที:

  1. ตรวจสอบการตั้งค่าบัญชีผู้ใช้ที่ได้รับมอบหมายบทบาทผู้ดูแลระบบส่วนกลาง คุณสามารถทำสิ่งนี้ใน Office 365 PowerShell กับคำสั่งนี้:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. ลงชื่อเข้าใช้การสมัครใช้งาน Office 365 ด้วยบัญชีผู้ใช้ที่ได้รับมอบหมายบทบาทผู้ดูแลระบบส่วนกลาง

  3. สร้างอย่างน้อยหนึ่ง และได้สูงสุดห้ามุ่งมั่นบัญชีผู้ใช้ผู้ดูแลระบบส่วนกลาง ใช้รหัสผ่านที่คาดเดาได้ยากอย่างน้อย 12 อักขระ long. เก็บรหัสผ่านสำหรับบัญชีผู้ใช้ใหม่ในตำแหน่งที่ตั้งที่ปลอดภัย

  4. กำหนดบทบาทผู้ดูแลระบบส่วนกลางให้กับแต่ละบัญชีผู้ใช้ใหม่เฉพาะผู้ดูแลระบบส่วนกลาง

  5. ลงชื่อออกจาก Office 365

  6. ลงชื่อเข้าใช้ ด้วยหนึ่งในบัญชีผู้ใช้เฉพาะผู้ดูแลระบบส่วนกลางใหม่

  7. สำหรับแต่ละบัญชีผู้ใช้ที่มีอยู่ ที่ได้รับมอบหมายบทบาทผู้ดูแลระบบส่วนกลางจากขั้นตอนที่ 1:

    • เอาบทบาทผู้ดูแลระบบส่วนกลาง

    • กำหนดบทบาทผู้ดูแลระบบในบัญชีผู้ใช้ที่เหมาะสมกับฟังก์ชันงานและความรับผิดชอบของผู้ใช้ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับบทบาทผู้ดูแลระบบต่าง ๆ ใน Office 365 ดูบทบาทผู้ดูแลระบบเกี่ยวกับ Office 365

  8. ลงชื่อออกจาก Office 365

ผลลัพธ์จะมีต่อไปนี้:

  • บัญชีผู้ใช้เฉพาะในการสมัครใช้งานที่มีบทบาทผู้ดูแลระบบส่วนกลางถูกตั้งค่าใหม่ของบัญชีผู้ใช้เฉพาะผู้ดูแลระบบส่วนกลาง ตรวจสอบนี้ มีคำสั่ง PowerShell ต่อไปนี้ที่พร้อมท์คำสั่ง Windows Azure Active Directory Module สำหรับ Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • บัญชีผู้ใช้ทุกวันอื่น ๆ ทั้งหมดที่จัดการการสมัครใช้งานของคุณมีบทบาทผู้ดูแลระบบมอบหมายให้ที่เกี่ยวข้องกับความรับผิดชอบงานของพวกเขา

จากครู่นี้เป็นต้นไป คุณเข้าสู่ระบบ ด้วยบัญชีผู้ใช้เฉพาะผู้ดูแลระบบส่วนกลางสำหรับงานที่จำเป็นต้องมีสิทธิ์ระดับผู้ดูแลระบบส่วนกลางเท่านั้น ต้องทำการดูแล Office 365 อื่น ๆ ทั้งหมดได้ โดยการกำหนดบทบาทการดูแลระบบอื่น ๆ กับบัญชีผู้ใช้

หมายเหตุ: ใช่ นี้จำเป็นต้องใช้ขั้นตอนเพิ่มเติมในการลงชื่อออกเป็นบัญชีผู้ใช้ทุกวันของคุณ และลงชื่อเข้าใช้ ด้วยบัญชีผู้ใช้เฉพาะผู้ดูแลระบบส่วนกลาง แต่นี้จำเป็นต้องทำในบางครั้งสำหรับการดำเนินการกับผู้ดูแลระบบส่วนกลางเท่านั้น พิจารณาที่กู้คืนสมัครใช้งาน Office 365 ของคุณหลังจากการไม่ปฏิบัติตามบัญชีผู้ใช้ผู้ดูแลระบบส่วนกลางจำเป็นต้องใช้ขั้นตอนเพิ่มเติมมากมาย

ขั้นตอนที่ 2 กำหนดค่าการรับรองความถูกต้องด้วยหลายปัจจัยสำหรับบัญชีผู้ใช้ผู้ดูแลระบบส่วนกลางของ Office 365 ของคุณโดยเฉพาะ และใช้ฟอร์มที่แรงที่ของการรับรองความถูกต้องทุติยภูมิ

รับรองแบบหลายปัจจัย (MFA) สำหรับบัญชีผู้ใช้ผู้ดูแลระบบส่วนกลางของคุณจำเป็นต้องใช้ข้อมูลเพิ่มเติมถัดจากชื่อบัญชีผู้ใช้และรหัสผ่าน Office 365 สนับสนุนวิธีตรวจสอบต่อไปนี้:

  • การใช้โทรศัพท์

  • รหัสผ่านที่สร้างขึ้นแบบสุ่ม

  • สมาร์ทการ์ด (เสมือนหรือจริง)

  • อุปกรณ์ทางชีวภาพ

ถ้าคุณกำลังธุรกิจขนาดเล็กที่กำลังใช้บัญชีผู้ใช้ที่เก็บไว้ใน cloud (รูปแบบข้อมูลเฉพาะตัว cloud) เท่านั้นทำต่อไปนี้ในทันทีเมื่อต้องการกำหนดค่า MFA โดยใช้โทรศัพท์หรือโค้ดการตรวจสอบข้อความข้อความส่งไปยังสมาร์ทโฟน:

  1. เปิดใช้งาน MFA

  2. ตั้งค่าขั้นตอนที่ 2 ตรวจสอบสำหรับ Office 365เพื่อกำหนดค่าแต่ละมุ่งมั่นบัญชีผู้ใช้ผู้ดูแลระบบส่วนกลางสำหรับโทรศัพท์หรือข้อความเป็นวิธีการตรวจสอบ

ถ้าคุณอยู่ในองค์กรขนาดใหญ่ที่จะใช้งานการซิงโครไนซ์แล้ว หรือการติดต่อกับภายนอก Office 365 ข้อมูลเฉพาะตัวแบบ คุณมีตัวเลือกการตรวจสอบเพิ่มเติม ถ้าคุณมีโครงสร้างพื้นฐานของหลักทรัพย์มีอยู่แล้วในสถานที่สำหรับวิธีการรับรองความถูกต้องรองแกร่งทำต่อไปนี้ในทันที:

  1. เปิดใช้งาน MFA

  2. ตั้งค่าขั้นตอนที่ 2 ตรวจสอบสำหรับ Office 365เพื่อกำหนดค่าแต่ละมุ่งมั่นบัญชีผู้ใช้ผู้ดูแลระบบส่วนกลางสำหรับวิธีการตรวจสอบที่เหมาะสม

ถ้าโครงสร้างพื้นฐานด้านความปลอดภัยสำหรับวิธีการตรวจสอบความปลอดภัยที่ต้องไม่ได้อยู่ในตำแหน่งและทำงานสำหรับ Office 365 MFA เราขอแนะนำให้ คุณทันทีกำหนดค่าบัญชีผู้ใช้ผู้ดูแลระบบส่วนกลางเฉพาะกับ MFA โดยใช้โทรศัพท์หรือข้อความ รหัสการตรวจสอบข้อความที่ส่งไปยังสมาร์ทโฟนสำหรับบัญชีผู้ใช้ผู้ดูแลระบบส่วนกลางของคุณเป็นการวัดความปลอดภัยชั่วคราว ออกจากบัญชีผู้ใช้เฉพาะผู้ดูแลระบบส่วนกลางของคุณโดยไม่ต้องการเพิ่มเติมป้องกัน MFA

สำหรับข้อมูลเพิ่มเติม ดูที่การวางแผนสำหรับการรับรองความถูกต้องด้วยหลายปัจจัยสำหรับการปรับใช้ Office 365

เมื่อต้องการเชื่อมต่อกับบริการ Office 365 กับ MFA และ PowerShell ดูบทความนี้

ขั้นตอนที่ 3 เปิดใช้งาน และกำหนดค่า Office 365 Cloud App ความปลอดภัยเพื่อตรวจสอบสำหรับกิจกรรมบัญชีผู้ใช้ผู้ดูแลระบบส่วนกลางที่น่าสงสัย

ความปลอดภัย App Cloud ของ office 365 ให้คุณสามารถสร้างนโยบายการแจ้งให้คุณทราบลักษณะการทำงานที่น่าสงสัยในการสมัครใช้งาน ความปลอดภัย App cloud อยู่แล้วใน Office 365 E5 แต่จะพร้อมใช้งานเป็นบริการที่แยกต่างหาก ตัวอย่างเช่น ถ้าคุณไม่มี Office 365 E5 คุณสามารถซื้อสิทธิ์การใช้งานความปลอดภัย App Cloud แต่ละรายการสำหรับบัญชีผู้ใช้ที่ได้กำหนดให้ผู้ดูแลระบบส่วนกลาง ผู้ดูแลระบบความปลอดภัย และการปฏิบัติตามบทบาทของผู้ดูแลระบบ

ถ้าคุณมีความปลอดภัย App Cloud ในการสมัครสมาชิก Office 365 ของคุณทำต่อไปนี้ในทันที:

  1. ลงชื่อเข้าใช้พอร์ทัล Office 365 ด้วยบัญชีผู้ใช้ที่มีกำหนดบทบาทผู้ดูแลระบบความปลอดภัยหรือผู้ดูแลปฏิบัติตามกฎระเบียบ

  2. เปิดใช้งาน Office 365 Cloud App ทรัพย์

  3. นโยบายการตรวจหาช่วยสร้างการแจ้งให้คุณทราบทางอีเมลของลวดลาย anomalous ของกิจกรรมการจัดการสิทธิ์

เมื่อต้องการเพิ่มบัญชีผู้ใช้ลงในบทบาทผู้ดูแลระบบความปลอดภัยการเชื่อมต่อกับ Office 365 PowerShellกับบัญชีผู้ใช้เฉพาะผู้ดูแลระบบส่วนกลางและ MFA กรอกในชื่อผู้ใช้หลักของบัญชีผู้ใช้ และ แล้ว เรียกใช้ต่อไปนี้ คำสั่ง:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

เมื่อต้องการเพิ่มบัญชีผู้ใช้ให้กับบทบาทผู้ดูแลระบบปฏิบัติตามกฎระเบียบ กรอกในชื่อผู้ใช้หลักของบัญชีผู้ใช้ และ แล้ว เรียกใช้คำสั่งต่อไปนี้:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

ป้องกันอย่างเพิ่มเติมสำหรับบัญชีผู้ใช้ผู้ดูแลระบบส่วนกลางของคุณ

หลังจากระยะ 1-3 ใช้วิธีการเพิ่มเติมเหล่านี้เพื่อให้แน่ใจว่าบัญชีผู้ใช้ผู้ดูแลระบบส่วนกลางของคุณ และการกำหนดค่าที่คุณดำเนินการใช้งาน มีความปลอดภัยมากที่สุด

สเตชันมีสิทธิ์เข้าถึง (PAW)

เมื่อต้องการให้แน่ใจว่า การดำเนินการของงานที่มีสิทธิ์ระดับสูงความปลอดภัยมากที่สุด ใช้ PAW แบบ PAW แบบคือ คอมพิวเตอร์เฉพาะที่ใช้สำหรับงานการกำหนดค่าที่มีความสำคัญ เช่นการตั้งค่า Office 365 ที่จำเป็นต้องใช้บัญชีผู้ใช้ผู้ดูแลระบบส่วนกลางเท่านั้น เนื่องจากคอมพิวเตอร์เครื่องนี้ไม่ได้ใช้รายวันสำหรับการเรียกดูอินเทอร์เน็ตหรืออีเม นั้นจะได้ดียิ่งขึ้นได้รับการป้องกันจากโจมตีอินเทอร์เน็ตและการคุกคาม

สำหรับคำแนะนำเกี่ยวกับวิธีการตั้งค่าแบบ PAW ดูhttp://aka.ms/cyberpaw

การจัดการสิทธิ์ AD azure ข้อมูลเฉพาะตัว (PIM)

แทนที่จะมีบัญชีผู้ใช้ผู้ดูแลระบบส่วนกลางของคุณอย่างถาวรถูกมอบหมายบทบาทผู้ดูแลระบบส่วนกลาง คุณสามารถใช้ Azure AD PIM เพื่อเปิดใช้งานอนดีมานด์ แค่เวลาการกำหนดบทบาทผู้ดูแลระบบส่วนกลางเมื่อนั้นจำเป็นต้อง

แทนที่เป็นบัญชีผู้ดูแลระบบส่วนกลางของคุณจะให้ผู้ดูแลระบบถาวร จะกลายเป็นสิทธิ์ผู้ดูแลระบบ บทบาทผู้ดูแลระบบส่วนกลางไม่ได้ใช้งานจนกว่าผู้ที่จำเป็น นอกจากนี้คุณแล้วทำกระบวนการเปิดใช้งานเมื่อต้องการเพิ่มบทบาทผู้ดูแลระบบส่วนกลางในบัญชีผู้ใช้ผู้ดูแลระบบส่วนกลางในระยะเวลาที่กำหนดไว้ล่วงหน้า เมื่อเวลาหมดอายุ PIM เอาบทบาทผู้ดูแลระบบส่วนกลางจากบัญชีผู้ใช้ผู้ดูแลระบบส่วนกลาง

ใช้ PIM และกระบวนการนี้ช่วยลดจำนวนเวลาที่บัญชีผู้ใช้ผู้ดูแลระบบส่วนกลางของคุณมีความเสี่ยงโจมตี และใช้ โดยผู้ใช้ที่เป็นอันตราย อย่างมาก

สำหรับข้อมูลเพิ่มเติม ดูข้อมูลเฉพาะตัวจัดการกำหนดค่า Azure AD มีสิทธิ์

หมายเหตุ: PIM จะพร้อมใช้งานกับ Azure Active Directory Premium P2 ซึ่งจะรวมอยู่ในองค์กร Mobility + E5 ความปลอดภัย (EMS) หรือคุณสามารถซื้อสิทธิ์การใช้งานแต่ละรายการสำหรับบัญชีผู้ใช้ผู้ดูแลระบบส่วนกลางของคุณ

ความปลอดภัยข้อมูลและเหตุการณ์ (SIEM) การจัดการซอฟต์แวร์สำหรับ Office 365 บันทึก

ทำงานบนเซิร์ฟเวอร์ซอฟต์แวร์ SIEM ดำเนินการวิเคราะห์ในเวลาจริงของการแจ้งเตือนด้านความปลอดภัยและเหตุการณ์ที่สร้างขึ้น โดยแอปพลิเคชันและฮาร์ดแวร์เครือข่าย เมื่อต้องการอนุญาตให้เซิร์ฟเวอร์ SIEM ของคุณเพื่อรวมการแจ้งเตือนด้านความปลอดภัยของ Office 365 และเหตุการณ์ต่าง ๆ ในการวิเคราะห์และการรายงานฟังก์ชัน รวมต่อไปนี้ในระบบ SIEM ของคุณ:

ขั้นตอนถัดไป

ดูวิธีปฏิบัติดีที่สุดด้านความปลอดภัยสำหรับ Office 365

หมายเหตุ: ข้อจำกัดความรับผิดชอบของการแปลด้วยเครื่อง: บทความนี้มีการแปลด้วยระบบคอมพิวเตอร์โดยไม่มีการดำเนินการโดยบุคคล Microsoft จัดให้มีการแปลด้วยเครื่องนี้เพื่อช่วยให้ผู้ใช้ที่ไม่ได้พูดภาษาอังกฤษสามารถใช้ประโยชน์จากเนื้อหาเกี่ยวกับผลิตภัณฑ์ บริการและเทคโนโลยีของ Microsoft เนื่องจากบทความมีการแปลด้วยเครื่อง อาจมีข้อผิดพลาดด้านคำศัพท์ ไวยากรณ์หรือรูปประโยค

ขยายทักษะของคุณ
สำรวจการฝึกอบรม
รับฟีเจอร์ใหม่ก่อนใคร
เข้าร่วม Office Insider

ข้อมูลนี้เป็นประโยชน์หรือไม่

ขอบคุณสำหรับคำติชมของคุณ!

ขอขอบคุณสำหรับคำติชมของคุณ! เราคิดว่าอาจเป็นประโยชน์ที่จะให้คุณได้ติดต่อกับหนึ่งในตัวแทนฝ่ายสนับสนุน Office ของเรา

×