Office 365 genel yönetici hesaplarınızı koruma

Özeti: Bu adımlara genel yönetici hesaplarınızı koruyun.

Önemli : Bu makale makine çevisidir. Bkz. yasal uyarı. Bu makalenin İngilizce sürümüne buradan ulaşabilirsiniz.

Office 365 aboneliğinizi bir genel yönetici hesabının güvenliğinin üzerinde tabanlı saldırıları daha iyi korumak için aşağıdaki şu anyapmanız gerekir:

  1. Ayrılmış Office 365 genel yönetici hesapları oluşturma ve bunları yalnızca gerektiğinde kullanın.

  2. Multi factor authentication adanmış Office 365 genel yönetici hesaplarınız için yapılandırma ve ikincil kimlik doğrulama güçlü biçimini kullanın.

  3. Etkinleştirme ve yapılandırma şüpheli genel yönetici hesabı etkinliğini izlemek için Office 365 bulut uygulama güvenliği.

Bilgi toplama dahil olmak üzere Office 365 aboneliğini ve kimlik avı saldırıları güvenlik bulabiliyorsa genellikle gerçekleştirilir bir Office 365 genel yönetici hesabı kimlik bilgileri ödün tarafından. Buluttaki güvenlik ve Microsoft arasında ortaklık verilmiştir:

  • Microsoft bulut Hizmetleri temelini güven ve güvenlik oluşturulur. Microsoft Güvenlik denetimleri ve veri ve uygulamaları korunmasına yardımcı olmak için özellikleri sağlar.

  • Sahip olduğunuz verilerinizi ve kimlikleri ve bunları, şirket içi kaynaklarınızdan güvenlik ve denetim bulut bileşenleri güvenliğini korumak için sorumluluk.

Kendinizi korumak için denetimleri ve özellikleri sunan Microsoft yerinde koymanız gerekir.

Not : Bu makalede, genel yönetici hesaplarında odaklanmıştır olsa da, aynı zamanda ek olup olmadığını dikkate almanız gereken kapsamlı eBulma Yöneticisi veya güvenlik veya uyumluluk gibi aboneliğinizi verilere erişim iznine sahip hesapları yönetici hesapları, korumalı aynı şekilde.

Aşama 1. Ayrılmış Office 365 genel yönetici hesapları oluşturma ve bunları yalnızca gerektiğinde kullanma

Genel yönetici ayrıcalıkları gerektiren kullanıcı hesapları için rolleri atama gibi görece daha az yönetim görevleri vardır. Bu nedenle, genel yönetici rolü hemen aşağıdakileriatanmış olan gündelik kullanıcı hesapları kullanmak yerine:

  1. Genel yönetici rolü atanmış olan kullanıcı hesaplarını kümesini belirleyin. Office 365 PowerShell uygulamasında bu komutu ile yapabilecekleriniz:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Office 365 aboneliğinizi genel Yönetici rolüne atanmış olan bir kullanıcı hesabıyla oturum açın.

  3. En az bir tane oluşturun ve en fazla beş kadar genel yönetici kullanıcı hesapları ayrılmış. Güçlü parolalar en az 12 karakterden uzun kullanın. Yeni hesaplar için parolaları güvenli bir konumda depolayın.

  4. Genel yönetici rolüne her yeni özel genel yönetici kullanıcı hesaplarına atayın.

  5. Office 365 dışında oturum açın.

  6. Yeni özel genel yönetici kullanıcı hesaplarına biriyle oturum.

  7. Adım 1'den genel Yönetici rolüne atanmış her varolan kullanıcı hesabı için:

    • Genel yönetici rolüne kaldırın.

    • Bu kullanıcının iş işlevi ve Sorumluluk uygun hesap yönetici rolleri atayın. Office 365'te çeşitli yönetici rolleri hakkında daha fazla bilgi için ilgili Office 365 Yönetici rolleribakın.

  8. Office 365 dışında oturum açın.

Sonuç aşağıdaki gibi olmalıdır:

  • Genel yönetici rolüne sahip yalnızca kullanıcı hesaplarında aboneliğinizi yeni özel genel yönetici hesapları kümesidir. Windows Azure Active Directory modülü için Windows PowerShell komut istemine aşağıdaki PowerShell komutunu kullanarak doğrulayın:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Aboneliğinizi yönetmek diğer tüm günlük kullanıcı hesapları proje sorumluluklarını ile ilişkilendirilmiş atanmış yönetici rolleri sahiptir.

Bu andan başlayarak ileriye doğru genel yönetici ayrıcalıkları gerektiren görevler için özel genel yönetici hesaplarıyla oturum. Diğer tüm Office 365 Yönetim kullanıcı hesapları için diğer yönetim rolleri atama tarafından uygulanmalıdır.

Not : Evet, özel genel yönetici hesabıyla oturum açın ve gündelik kullanıcı hesabınızı oturumu için ek adımlar gerekir. Ancak bu yalnızca genel yönetici işlemleri için ara sıra yapılması gereken. Genel yönetici hesabı ihlali daha çok adım gerektiriyor sonra Office 365 aboneliğinizi kurtarmanıza da göz önünde bulundurun.

Aşama 2. Multi factor authentication adanmış Office 365 genel yönetici hesaplarınız için yapılandırma ve ikincil kimlik doğrulama güçlü biçimini kullanma

Multi factor authentication (MFA), genel yönetici hesapları için hesap adı ve parola ötesinde ek bilgiler gerektirir. Office 365 aşağıdaki doğrulama yöntemleri destekler:

  • Telefon araması

  • Rastgele oluşturulmuş geçiş kodu

  • Akıllı kart (sanal veya fiziksel)

  • Biyometrik bir cihaz

Kullanıcı hesaplarını yalnızca bulutta (bulut kimlik modeli) depolanan kullanarak bir küçük işletme kullanıyorsanız, telefon araması veya bir metin iletisi doğrulama kodunu kullanarak MFA yapılandırmak için aşağıdakileri yapın hemen bir akıllı telefonunuza gönderilmesini:

  1. Etkinleştirme MFA.

  2. Her yapılandırmak için Office 365 için 2-adım doğrulama ayarlama telefon araması veya metin iletisi için genel yönetici hesabı doğrulama yöntemi olarak ayrılmıştır.

Eşitlenmiş veya Federasyon Office 365 kimlik modellerini kullanarak daha büyük bir kuruluşta uygun değilse, daha fazla doğrulama seçeneğiniz vardır. Güvenlik altyapısı zaten bir daha güçlü ikincil kimlik doğrulama yöntemini, aşağıdakileri yapın hemenayrıcalıklarını varsa:

  1. Etkinleştirme MFA.

  2. Office 365 için 2-adım doğrulama ayarlama her yapılandırmak için en uygun doğrulama yöntemi için genel yönetici hesabı ayrılmıştır.

İstenen güçlü bir doğrulama yöntemi güvenlik altyapısı yer ve Office 365 MFA için çalışır durumda değilse, özel genel yönetici hesapları hemen ile MFA yapılandırma telefon araması veya bir metin kullanarak öneririz Akıllı telefon için genel yönetici hesaplarınızı bir iç güvenlik ölçüsü gönderilen ileti doğrulama kodunu. Özel genel yönetici hesaplarınızı MFA tarafından sağlanan ek koruma olmadan bırakmayın.

Daha fazla bilgi için Office 365 dağıtımlar için multi factor authentication planlamakonusuna bakın.

Office 365 hizmetleriyle MFA ve PowerShell bağlanmak için Bu makaleninbakın.

Aşama 3. Etkinleştirme ve yapılandırma şüpheli genel yönetici hesabı etkinliğini izlemek için Office 365 bulut uygulama güvenliği

Office 365 bulut uygulaması güvenlik aboneliğinizi şüpheli davranışını bildiren ilkeleri oluşturmanıza olanak sağlar. Bulut uygulaması güvenlik Office 365 E5 yerleştirilmiş, ancak ayrı bir hizmet olarak kullanılabilir. Örneğin, Office 365 E5 yoksa, genel yönetici, Güvenlik Yöneticisi ve uyumluluk yönetici rolleri atanmış olan kullanıcı hesaplarını ayrı ayrı bulut uygulaması güvenlik lisans satın alabilirsiniz.

Office 365 aboneliğinizin, aşağıdakileri yapın hemenbulut uygulaması güvenlik varsa:

  1. Güvenlik yöneticinizden ya da uyumluluk yöneticisi rolü atanan bir hesapla Office 365 portalında oturum açın.

  2. Office 365 bulut uygulama tahvilin kapatma.

  3. Ayrıcalıklı yönetim etkinliğinin anomalous desenleri e-postayla bildirmek için Oluştur anormalliği algılama ilkeleri .

Bir kullanıcı hesabı eklemek için güvenlik Yönetici rolü, bağlanmak için Office 365 PowerShell özel genel yönetici hesabı ve MFA olan kullanıcı hesabının kullanıcı asıl adı içinde doldurun ve sonra aşağıdakini çalıştırın komutlar:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Uyumluluk Yönetici rolüne bir kullanıcı hesabı eklemek için kullanıcı hesabının kullanıcı asıl adı içinde doldurun ve ardından aşağıdaki komutları çalıştırın:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Genel yönetici hesaplarınız için ek koruma

Aşama 1-3, genel yönetici hesabınızı ve bunu kullanarak gerçekleştirdiğiniz yapılandırma sağlamak için bu ek yöntemleri kullandıktan sonra olabildiğince güvenli şunlardır.

Ayrıcalıklı erişim Workstation (PENÇE)

Üst düzeyde ayrıcalıklı görevler yürütülmesini olabildiğince güvenli olmasını sağlamak için bir PENÇE kullanın. Yalnızca bir genel yönetici hesabı gerektirir Office 365 yapılandırma gibi hassas yapılandırma görevlerini için kullanılan adanmış bir bilgisayar bir PENÇE olur. Bu bilgisayarı günlük Internet göz atma veya e-posta için kullanılmadığından, daha iyi Internet saldırıları ve tehditler korumalı.

Bir PENÇE ayarlama hakkında yönergeler için http://aka.ms/cyberpawbakın.

Azure AD ayrıcalıklı Kimlik Yönetimi (PIM)

Genel yönetici rolü kalıcı olarak atanmış genel yönetici hesaplarınızı yerine, gerektiğinde genel Yönetici rolüne isteğe bağlı, yalnızca zaman atama etkinleştirmek için Azure AD PIM kullanabilirsiniz.

Kalıcı bir yönetici olma genel yönetici hesaplarınızı yerine, bunlar uygun Yöneticiler dönüşür. Birisi duyduğu kadar genel yönetici rolü etkin değil. Ardından önceden belirlenmiş bir süre için genel yönetici hesabı için genel yönetici rolü eklemek için bir etkinleştirme işlemi tamamlayın. Süresi dolduğunda, PIM genel yönetici rolü genel yönetici hesabından kaldırır.

PIM kullanarak ve bu işlem saldırısı ve kötü amaçlı kullanıcılar tarafından kullanmak için genel yönetici hesaplarınızı etkilenir süreyi önemli ölçüde düşürür.

Daha fazla bilgi için bkz: Azure AD ayrıcalıklı yapılandırma Kimlik Yönetimi.

Not : Azure Active Directory ekstra Kurumsal Mobility + güvenlik (EMS) E5 verilen P2 ile PIM kullanılabilir veya genel yönetici hesaplarınız için tek tek lisans satın alabilirsiniz.

Office 365 günlük güvenlik bilgileri ve Olay yönetimi (SIEM) yazılımı

Bir sunucuda çalışır SIEM yazılım güvenlik uyarılarını ve uygulamalar ve ağ donanımının tarafından oluşturulan olayları gerçek zamanlı çözümlemesi gerçekleştirir. Office 365 güvenlik uyarılarını ve olayları eklemek kendi çözümleme ve raporlama işlevleri SIEM sunucunuzun izin vermek için aşağıdaki SIEM sisteminizde tümleştirme:

Sonraki adım

Office 365 için en iyi yöntemler güvenlikkonusuna bakın.

Not : Makine Çevirisi Yasal Uyarısı: Bu makale, insan müdahalesi olmadan bir bilgisayar sistemi tarafından çevrilmiştir. Microsoft bu makine çevirilerini İngilizce bilmeyen kullanıcıların Microsoft ürünleri, hizmetleri ve teknolojileriyle ilgili içeriklerden yararlanmasına yardımcı olmak için sunar. Bu makale makine çevirisi olduğundan sözcük, cümle dizilimi ve gramer hataları içerebilir.

Yeteneklerinizi geliştirin
Eğitimleri keşfedin
Yeni özellikleri ilk olarak siz edinin
Office Insider Programına Katılın

Bu bilgi yararlı oldu mu?

Görüşleriniz için teşekkür ederiz!

Geri bildiriminiz için teşekkürler! Office destek temsilcilerimizden biriyle görüşmeniz yararlı olabilir.

×