ป้องกันบัญชีผู้ใช้ผู้ดูแลระบบส่วนกลางของ Office 365 ของคุณ

สิ่งสำคัญ:  บทความนี้เป็นการแปลด้วยเครื่อง โปรดดู ข้อจำกัดความรับผิดชอบ โปรดดูบทความฉบับภาษาอังกฤษ ที่นี่ เพื่อใช้อ้างอิง

บทสรุป:

เมื่อต้องการป้องกันการสมัครใช้งาน Office 365 ได้ดียิ่งขึ้น จากด้วยคำพ้องรูป คุณต้องทำต่อไปนี้ในขณะนี้:

  1. สร้างบัญชีผู้ใช้ผู้ดูแลระบบส่วนกลางของ Office 365 เฉพาะ และใช้ได้เฉพาะเมื่อจำเป็น

  2. กำหนดค่าการรับรองความถูกต้องด้วยหลายปัจจัยสำหรับบัญชีผู้ใช้ผู้ดูแลระบบส่วนกลางของ Office 365 ของคุณโดยเฉพาะ และใช้ฟอร์มที่แรงที่ของการรับรองความถูกต้องทุติยภูมิ

  3. เปิดใช้งาน และกำหนดค่าขั้นสูงจัดการความปลอดภัยเพื่อตรวจสอบสำหรับกิจกรรมบัญชีผู้ใช้ผู้ดูแลระบบส่วนกลางที่น่าสงสัย

โดยทั่วไปแล้วการละเมิดความปลอดภัยของการสมัครสมาชิก Office 365 รวมถึงข้อมูล harvesting และฟิชชิ่งโจมตี เสร็จเรียบร้อยแล้ว ด้วยโจมตีระบบข้อมูลประจำตัวของบัญชีผู้ใช้ผู้ดูแลระบบส่วนกลางของ Office 365 รักษาความปลอดภัยใน cloud จะจับคู่ระหว่างคุณและ Microsoft:

  • บริการ cloud ของไมโครซอฟท์จะมีอยู่แล้วภายใน foundation ของความน่าเชื่อถือและความปลอดภัย ไมโครซอฟท์ให้คุณควบคุมความปลอดภัยและความสามารถที่จะช่วยให้คุณปกป้องข้อมูลของคุณและแอปพลิเคชัน

  • คุณเป็นเจ้าของข้อมูลของคุณ และผู้ใช้อีเมล และความรับผิดชอบสำหรับการป้องกันเหล่านั้น ความปลอดภัยของแหล่งข้อมูลภายในองค์กรของคุณ และความปลอดภัยของคอมโพเนนต์ cloud ที่คุณควบคุม

เมื่อต้องการปกป้องตัวคุณเอง คุณต้องวางในสถานที่ตัวควบคุมและความสามารถที่ให้ Microsoft

ขั้นตอนที่ 1 สร้างบัญชีผู้ใช้ผู้ดูแลระบบส่วนกลางของ Office 365 เฉพาะ และใช้ได้เฉพาะเมื่อจำเป็น

มีสองสามค่อนข้างงานด้านการดูแล เช่นการกำหนดบทบาทไปยังบัญชีผู้ใช้ ที่จำเป็นต้องมีสิทธิ์ระดับผู้ดูแลระบบส่วนกลาง ดังนั้น แทนที่จะใช้บัญชีผู้ใช้ทุกวันที่ได้รับมอบหมายบทบาทผู้ดูแลระบบส่วนกลางทำต่อไปนี้ในทันที:

  1. ตรวจสอบการตั้งค่าบัญชีผู้ใช้ที่ได้รับมอบหมายบทบาทผู้ดูแลระบบส่วนกลาง คุณสามารถทำสิ่งนี้ใน Office 365 PowerShell กับคำสั่งนี้:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. ลงชื่อเข้าใช้การสมัครใช้งาน Office 365 ด้วยบัญชีผู้ใช้ที่ได้รับมอบหมายบทบาทผู้ดูแลระบบส่วนกลาง

  3. สร้างอย่างน้อยหนึ่ง และได้สูงสุดห้ามุ่งมั่นบัญชีผู้ใช้ผู้ดูแลระบบส่วนกลาง ใช้รหัสผ่านที่คาดเดาได้ยากอย่างน้อย 12 อักขระ long. เก็บรหัสผ่านสำหรับบัญชีผู้ใช้ใหม่ในตำแหน่งที่ตั้งที่ปลอดภัย

  4. กำหนดบทบาทผู้ดูแลระบบส่วนกลางให้กับแต่ละบัญชีผู้ใช้ใหม่เฉพาะผู้ดูแลระบบส่วนกลาง

  5. ลงชื่อออกจาก Office 365

  6. ลงชื่อเข้าใช้ ด้วยหนึ่งในบัญชีผู้ใช้เฉพาะผู้ดูแลระบบส่วนกลางใหม่

  7. สำหรับแต่ละบัญชีผู้ใช้ที่มีอยู่ ที่ได้รับมอบหมายบทบาทผู้ดูแลระบบส่วนกลางจากขั้นตอนที่ 1:

    • เอาบทบาทผู้ดูแลระบบส่วนกลาง

    • กำหนดบทบาทผู้ดูแลระบบในบัญชีผู้ใช้ที่เหมาะสมกับฟังก์ชันงานและความรับผิดชอบของผู้ใช้ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับบทบาทผู้ดูแลระบบต่าง ๆ ใน Office 365 ดูบทบาทผู้ดูแลระบบเกี่ยวกับ Office 365

  8. ลงชื่อออกจาก Office 365

ผลลัพธ์จะมีต่อไปนี้:

  • บัญชีผู้ใช้เฉพาะในการสมัครใช้งานที่มีบทบาทผู้ดูแลระบบส่วนกลางถูกตั้งค่าใหม่ของบัญชีผู้ใช้เฉพาะผู้ดูแลระบบส่วนกลาง ตรวจสอบนี้ มีคำสั่ง PowerShell ต่อไปนี้ที่พร้อมท์คำสั่ง Windows Azure Active Directory Module สำหรับ Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • บัญชีผู้ใช้ทุกวันอื่น ๆ ทั้งหมดที่จัดการการสมัครใช้งานของคุณมีบทบาทผู้ดูแลระบบมอบหมายให้ที่เกี่ยวข้องกับความรับผิดชอบงานของพวกเขา

จากครู่นี้เป็นต้นไป คุณเข้าสู่ระบบ ด้วยบัญชีผู้ใช้เฉพาะผู้ดูแลระบบส่วนกลางสำหรับงานที่จำเป็นต้องมีสิทธิ์ระดับผู้ดูแลระบบส่วนกลางเท่านั้น ต้องทำการดูแล Office 365 อื่น ๆ ทั้งหมดได้ โดยการกำหนดบทบาทการดูแลระบบอื่น ๆ กับบัญชีผู้ใช้

หมายเหตุ: ใช่ นี้จำเป็นต้องใช้ขั้นตอนเพิ่มเติมในการลงชื่อออกเป็นบัญชีผู้ใช้ทุกวันของคุณ และลงชื่อเข้าใช้ ด้วยบัญชีผู้ใช้เฉพาะผู้ดูแลระบบส่วนกลาง แต่นี้จำเป็นต้องทำในบางครั้งสำหรับการดำเนินการกับผู้ดูแลระบบส่วนกลางเท่านั้น พิจารณาที่กู้คืนสมัครใช้งาน Office 365 ของคุณหลังจากการไม่ปฏิบัติตามบัญชีผู้ใช้ผู้ดูแลระบบส่วนกลางจำเป็นต้องใช้ขั้นตอนเพิ่มเติมมากมาย

ขั้นตอนที่ 2 กำหนดค่าการรับรองความถูกต้องด้วยหลายปัจจัยสำหรับบัญชีผู้ใช้ผู้ดูแลระบบส่วนกลางของ Office 365 ของคุณโดยเฉพาะ และใช้ฟอร์มที่แรงที่ของการรับรองความถูกต้องทุติยภูมิ

รับรองแบบหลายปัจจัย (MFA) สำหรับบัญชีผู้ใช้ผู้ดูแลระบบส่วนกลางของคุณจำเป็นต้องใช้ข้อมูลเพิ่มเติมถัดจากชื่อบัญชีผู้ใช้และรหัสผ่าน Office 365 สนับสนุนวิธีตรวจสอบต่อไปนี้:

  • การใช้โทรศัพท์

  • รหัสผ่านที่สร้างขึ้นแบบสุ่ม

  • สมาร์ทการ์ด (เสมือนหรือจริง)

  • อุปกรณ์ทางชีวภาพ

ถ้าคุณกำลังธุรกิจขนาดเล็กที่กำลังใช้บัญชีผู้ใช้ที่เก็บไว้ใน cloud (รูปแบบข้อมูลเฉพาะตัว cloud) เท่านั้นทำต่อไปนี้ในทันทีเมื่อต้องการกำหนดค่า MFA โดยใช้โทรศัพท์หรือโค้ดการตรวจสอบข้อความข้อความส่งไปยังสมาร์ทโฟน:

  1. เปิดใช้งาน MFA

  2. ตั้งค่าขั้นตอนที่ 2 ตรวจสอบสำหรับ Office 365เพื่อกำหนดค่าแต่ละมุ่งมั่นบัญชีผู้ใช้ผู้ดูแลระบบส่วนกลางสำหรับโทรศัพท์หรือข้อความเป็นวิธีการตรวจสอบ

ถ้าคุณอยู่ในองค์กรขนาดใหญ่ที่จะใช้งานการซิงโครไนซ์แล้ว หรือการติดต่อกับภายนอก Office 365 ข้อมูลเฉพาะตัวแบบ คุณมีตัวเลือกการตรวจสอบเพิ่มเติม ถ้าคุณมีโครงสร้างพื้นฐานของหลักทรัพย์มีอยู่แล้วในสถานที่สำหรับวิธีการรับรองความถูกต้องรองแกร่งทำต่อไปนี้ในทันที:

  1. เปิดใช้งาน MFA

  2. ตั้งค่าขั้นตอนที่ 2 ตรวจสอบสำหรับ Office 365เพื่อกำหนดค่าแต่ละมุ่งมั่นบัญชีผู้ใช้ผู้ดูแลระบบส่วนกลางสำหรับวิธีการตรวจสอบที่เหมาะสม

ถ้าโครงสร้างพื้นฐานด้านความปลอดภัยสำหรับวิธีการตรวจสอบความปลอดภัยที่ต้องไม่ได้อยู่ในตำแหน่ง และทำงานสำหรับ Office 365 MFA เราขอแนะนำที่ คุณทันทีกำหนดค่าบัญชีผู้ใช้ผู้ดูแลระบบส่วนกลางเฉพาะกับ MFA โดยใช้รหัสการตรวจสอบข้อความข้อความส่งไปยังสมาร์ทโฟนสำหรับบัญชีผู้ใช้ผู้ดูแลระบบส่วนกลางของคุณเป็นการวัดความปลอดภัยชั่วคราวหรือโทรศัพท์ ออกจากบัญชีผู้ใช้เฉพาะผู้ดูแลระบบส่วนกลางของคุณโดยไม่ต้องการเพิ่มเติมป้องกัน MFA

สำหรับข้อมูลเพิ่มเติม ดูที่การวางแผนสำหรับการรับรองความถูกต้องด้วยหลายปัจจัยสำหรับการปรับใช้ Office 365

เมื่อต้องการเชื่อมต่อกับบริการ Office 365 กับ MFA และ PowerShell ดูบทความนี้

ขั้นตอนที่ 3 เปิดใช้งาน และกำหนดค่าขั้นสูงจัดการความปลอดภัยเพื่อตรวจสอบสำหรับกิจกรรมบัญชีผู้ใช้ผู้ดูแลระบบส่วนกลางที่น่าสงสัย

การจัดการความปลอดภัยขั้นสูง (ASM) ช่วยให้คุณสามารถสร้างนโยบายการแจ้งให้คุณทราบลักษณะการทำงานที่น่าสงสัยในการสมัครใช้งาน ASM อยู่แล้วใน Office 365 E5 แต่จะพร้อมใช้งานเป็นบริการที่แยกต่างหาก ตัวอย่างเช่น ถ้าคุณไม่มี Office 365 E5 คุณสามารถซื้อสิทธิ์การใช้งาน ASM แต่ละรายการสำหรับบัญชีผู้ใช้ที่ได้กำหนดให้ผู้ดูแลระบบส่วนกลาง ผู้ดูแลระบบความปลอดภัย และการปฏิบัติตามบทบาทของผู้ดูแลระบบ

ถ้าคุณมี ASM ในการสมัครสมาชิก Office 365 ของคุณทำต่อไปนี้ในทันที:

  1. ลงชื่อเข้าใช้พอร์ทัล Office 365 ด้วยบัญชีผู้ใช้ที่มีกำหนดบทบาทผู้ดูแลระบบความปลอดภัยหรือผู้ดูแลปฏิบัติตามกฎระเบียบ

  2. เปิดใช้งาน ASM

  3. สร้างนโยบายเพื่อแจ้งให้คุณทราบทางอีเมลของ:

    • ลวดลาย anomalous ของกิจกรรมผู้ดูแลระบบ

    • การเพิ่มสมาชิกลงในบทบาท

เมื่อต้องการเพิ่มบัญชีผู้ใช้ลงในบทบาทผู้ดูแลระบบความปลอดภัยการเชื่อมต่อกับ Office 365 PowerShellกับบัญชีผู้ใช้เฉพาะผู้ดูแลระบบส่วนกลางและ MFA กรอกในชื่อผู้ใช้หลักของบัญชีผู้ใช้ และ แล้ว เรียกใช้คำสั่งต่อไปนี้:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

เมื่อต้องการเพิ่มบัญชีผู้ใช้ให้กับบทบาทผู้ดูแลระบบปฏิบัติตามกฎระเบียบ กรอกในชื่อผู้ใช้หลักของบัญชีผู้ใช้ และ แล้ว เรียกใช้คำสั่งต่อไปนี้:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

ขั้นตอนถัดไป

ดูวิธีปฏิบัติดีที่สุดด้านความปลอดภัยสำหรับ Office 365

หมายเหตุ: ข้อจำกัดความรับผิดชอบของการแปลด้วยเครื่อง: บทความนี้มีการแปลด้วยระบบคอมพิวเตอร์โดยไม่มีการดำเนินการโดยบุคคล Microsoft จัดให้มีการแปลด้วยเครื่องนี้เพื่อช่วยให้ผู้ใช้ที่ไม่ได้พูดภาษาอังกฤษสามารถใช้ประโยชน์จากเนื้อหาเกี่ยวกับผลิตภัณฑ์ บริการและเทคโนโลยีของ Microsoft เนื่องจากบทความมีการแปลด้วยเครื่อง อาจมีข้อผิดพลาดด้านคำศัพท์ ไวยากรณ์หรือรูปประโยค

ดูเพิ่มเติม

บทบาทผู้ดูแลระบบเกี่ยวกับ Office 365

การวางแผนสำหรับการรับรองความถูกต้องด้วยหลายปัจจัยสำหรับการปรับใช้ Office 365

เปิดใช้งาน ASM

ขยายทักษะของคุณ
สำรวจการฝึกอบรม
รับฟีเจอร์ใหม่ก่อนใคร
เข้าร่วม Office Insider

ข้อมูลนี้เป็นประโยชน์หรือไม่

ขอบคุณสำหรับคำติชมของคุณ!

ขอขอบคุณสำหรับคำติชมของคุณ! เราคิดว่าอาจเป็นประโยชน์ที่จะให้คุณได้ติดต่อกับหนึ่งในตัวแทนฝ่ายสนับสนุน Office ของเรา

×