Office 365 genel yönetici hesaplarınızı koruma

Özeti: Office 365 aboneliğinizi bir genel yönetici hesabının güvenliğinin üzerinde tabanlı saldırıları koruyun.

Not:  En güncel yardım içeriklerini, mümkün olduğunca hızlı biçimde kendi dilinizde size sunmak için çalışıyoruz. Bu sayfanın çevirisi otomasyon aracılığıyla yapılmıştır ve bu nedenle hatalı veya yanlış dil bilgisi kullanımları içerebilir. Amacımız, bu içeriğin sizin için faydalı olabilmesini sağlamaktır. Buradaki bilgilerin faydalı olup olmadığını bu sayfanın sonunda bize bildirebilir misiniz? Kolayca başvurabilmek için İngilizce makaleye buradan ulaşabilirsiniz .

Bilgi toplama dahil olmak üzere Office 365 aboneliğini ve kimlik avı saldırıları güvenlik bulabiliyorsa genellikle gerçekleştirilir bir Office 365 genel yönetici hesabı kimlik bilgileri ödün tarafından. Buluttaki güvenlik ve Microsoft arasında ortaklık verilmiştir:

  • Microsoft bulut Hizmetleri temelini güven ve güvenlik oluşturulur. Microsoft Güvenlik denetimleri ve veri ve uygulamaları korunmasına yardımcı olmak için özellikleri sağlar.

  • Sahip olduğunuz verilerinizi ve kimlikleri ve bunları, şirket içi kaynaklarınızdan güvenlik ve denetim bulut bileşenleri güvenliğini korumak için sorumluluk.

Microsoft, kuruluşunuzun korunmasına yardımcı olmak için olanakları sağlar, ancak yalnızca kullanırsanız, etkili olur. Bunları kullanmazsanız saldırısı etkilenebilir. Genel yönetici hesaplarınızı korumak için Microsoft için ayrıntılı yönergeleriyle birlikte yardımcı olması için burada:

  1. Ayrılmış Office 365 genel yönetici hesapları oluşturma ve bunları yalnızca gerektiğinde kullanın.

  2. Multi factor authentication adanmış Office 365 genel yönetici hesaplarınız için yapılandırma ve ikincil kimlik doğrulama güçlü biçimini kullanın.

  3. Etkinleştirme ve yapılandırma şüpheli genel yönetici hesabı etkinliğini izlemek için Office 365 bulut uygulama güvenliği.

Not: Bu makalede, genel yönetici hesaplarında odaklanmıştır olsa da, aynı zamanda ek olup olmadığını dikkate almanız gereken kapsamlı eBulma Yöneticisi veya güvenlik veya uyumluluk gibi aboneliğinizi verilere erişim iznine sahip hesapları yönetici hesapları, korumalı aynı şekilde.

Aşama 1. Ayrılmış Office 365 genel yönetici hesapları oluşturma ve bunları yalnızca gerektiğinde kullanma

Genel yönetici ayrıcalıkları gerektiren kullanıcı hesapları için rolleri atama gibi görece daha az yönetim görevleri vardır. Bu nedenle, genel yönetici rolü atanan gündelik kullanıcı hesapları kullanmak yerine, bu adımları uygulayın:

  1. Genel yönetici rolü atanmış olan kullanıcı hesaplarını kümesini belirleyin. Bu komut Microsoft Azure Active Directory modülü için Windows PowerShell komut istemine yapın:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Office 365 aboneliğinizi genel Yönetici rolüne atanmış olan bir kullanıcı hesabıyla oturum açın.

  3. En az bir tane oluşturun ve en fazla beş kadar genel yönetici kullanıcı hesapları ayrılmış. Güçlü parolalar en az 12 karakterden uzun kullanın. Yeni hesaplar için parolaları güvenli bir konumda depolayın.

  4. Genel yönetici rolüne her yeni özel genel yönetici kullanıcı hesaplarına atayın.

  5. Office 365 dışında oturum açın.

  6. Yeni özel genel yönetici kullanıcı hesaplarına biriyle oturum.

  7. Adım 1'den genel Yönetici rolüne atanmış her varolan kullanıcı hesabı için:

    • Genel yönetici rolüne kaldırın.

    • Bu kullanıcının iş işlevi ve Sorumluluk uygun hesap yönetici rolleri atayın. Office 365'te çeşitli yönetici rolleri hakkında daha fazla bilgi için ilgili Office 365 Yönetici rolleribakın.

  8. Office 365 dışında oturum açın.

Sonuç olmalıdır:

  • Genel yönetici rolüne sahip yalnızca kullanıcı hesaplarında aboneliğinizi yeni özel genel yönetici hesapları kümesidir. Bunun için aşağıdaki PowerShell komutu doğrulayın:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Aboneliğinizi yönetmek diğer tüm günlük kullanıcı hesapları proje sorumluluklarını ile ilişkilendirilmiş atanmış yönetici rolleri sahiptir.

Bu andan başlayarak ileriye doğru genel yönetici ayrıcalıkları gerektiren görevler için özel genel yönetici hesaplarıyla oturum. Diğer tüm Office 365 Yönetim kullanıcı hesapları için diğer yönetim rolleri atama tarafından uygulanmalıdır.

Not: Evet, özel genel yönetici hesabıyla oturum açın ve gündelik kullanıcı hesabınızı oturumu için ek adımlar gerekir. Ancak bu yalnızca genel yönetici işlemleri için ara sıra yapılması gereken. Genel yönetici hesabı ihlali daha çok adım gerektiriyor sonra Office 365 aboneliğinizi kurtarmanıza da göz önünde bulundurun.

Aşama 2. Multi factor authentication adanmış Office 365 genel yönetici hesaplarınız için yapılandırma ve ikincil kimlik doğrulama güçlü biçimini kullanma

Multi factor authentication (MFA), genel yönetici hesapları için hesap adı ve parola ötesinde ek bilgiler gerektirir. Office 365 bu doğrulama yöntemleri destekler:

  • Telefon araması

  • Rastgele oluşturulmuş geçiş kodu

  • Akıllı kart (sanal veya fiziksel)

  • Biyometrik bir cihaz

Kullanıcı hesaplarını yalnızca bulutta (bulut kimlik modeli) depolanan kullanarak bir küçük işletme kullanıyorsanız, telefon araması veya akıllı telefon için gönderilen bir metin iletisi doğrulama kodunu kullanarak MFA yapılandırmak için aşağıdaki adımları kullanın:

  1. Etkinleştirme MFA.

  2. Her yapılandırmak için Office 365 için 2-adım doğrulama ayarlama telefon araması veya metin iletisi için genel yönetici hesabı doğrulama yöntemi olarak ayrılmıştır.

Eşitlenmiş veya Federasyon Office 365 kimlik modellerini kullanarak daha büyük bir kuruluşta uygun değilse, daha fazla doğrulama seçeneğiniz vardır. Güvenlik altyapısı zaten daha güçlü bir ikincil kimlik doğrulama yöntemini ayrıcalıklarını varsa, aşağıdaki adımları kullanın:

  1. Etkinleştirme MFA.

  2. Office 365 için 2-adım doğrulama ayarlama her yapılandırmak için en uygun doğrulama yöntemi için genel yönetici hesabı ayrılmıştır.

İstenen güçlü bir doğrulama yöntemi güvenlik altyapısı yer ve Office 365 MFA için çalışır durumda değilse, MFA ile ayrılmış genel yönetici hesapları yapılandırma telefon araması veya metin iletisi kullanarak öneririz Akıllı telefon için genel yönetici hesaplarınızı bir iç güvenlik ölçüsü gönderilen doğrulama kodunu. Özel genel yönetici hesaplarınızı MFA tarafından sağlanan ek koruma olmadan bırakmayın.

Daha fazla bilgi için Office 365 dağıtımlar için multi factor authentication planlamakonusuna bakın.

Office 365 hizmetleriyle MFA ve PowerShell bağlanmak için Bu makaleninbakın.

Aşama 3. Etkinleştirme ve yapılandırma şüpheli genel yönetici hesabı etkinliğini izlemek için Office 365 bulut uygulama güvenliği

Office 365 bulut uygulaması güvenlik aboneliğinizi şüpheli davranışını bildiren ilkeleri oluşturmanıza olanak sağlar. Bulut uygulaması güvenlik Office 365 E5 yerleştirilmiş, ancak ayrı bir hizmet olarak kullanılabilir. Örneğin, Office 365 E5 yoksa, genel yönetici, Güvenlik Yöneticisi ve uyumluluk yönetici rolleri atanmış olan kullanıcı hesaplarını ayrı ayrı bulut uygulaması güvenlik lisans satın alabilirsiniz.

Bulut uygulaması güvenlik Office 365 aboneliğiniz varsa, aşağıdaki adımları kullanın:

  1. Güvenlik yöneticinizden ya da uyumluluk yöneticisi rolü atanan bir hesapla Office 365 portalında oturum açın.

  2. Office 365 bulut uygulama tahvilin kapatma.

  3. Ayrıcalıklı yönetim etkinliğinin anomalous desenleri e-postayla bildirmek için Oluştur anormalliği algılama ilkeleri .

Bir kullanıcı hesabı eklemek için güvenlik Yönetici rolü, bir özel genel yönetici hesabı ve MFA ile bağlanmak için Office 365 PowerShell , kullanıcı hesabının kullanıcı asıl adı içinde doldurun ve ardından bu komutlar çalıştırın:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Uyumluluk Yönetici rolüne bir kullanıcı hesabı eklemek için kullanıcı hesabının kullanıcı asıl adı içinde doldurun ve ardından bu komutlar çalıştırın:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Genel yönetici hesaplarınız için ek koruma

Aşama 1-3, genel yönetici hesabınızı ve bunu kullanarak gerçekleştirdiğiniz yapılandırma sağlamak için bu ek yöntemleri kullandıktan sonra olabildiğince güvenli şunlardır.

Ayrıcalıklı erişim Workstation (PENÇE)

Üst düzeyde ayrıcalıklı görevler yürütülmesini olabildiğince güvenli olmasını sağlamak için bir PENÇE kullanın. Yalnızca bir genel yönetici hesabı gerektirir Office 365 yapılandırma gibi hassas yapılandırma görevlerini için kullanılan adanmış bir bilgisayar bir PENÇE olur. Bu bilgisayarı günlük Internet göz atma veya e-posta için kullanılmadığından, daha iyi Internet saldırıları ve tehditler korumalı.

Bir PENÇE ayarlama hakkında yönergeler için http://aka.ms/cyberpawbakın.

Azure AD ayrıcalıklı Kimlik Yönetimi (PIM)

Genel yönetici rolü kalıcı olarak atanmış genel yönetici hesaplarınızı yerine, gerektiğinde genel Yönetici rolüne isteğe bağlı, yalnızca zaman atama etkinleştirmek için Azure AD PIM kullanabilirsiniz.

Kalıcı bir yönetici olma genel yönetici hesaplarınızı yerine, bunlar uygun Yöneticiler dönüşür. Birisi duyduğu kadar genel yönetici rolü etkin değil. Ardından önceden belirlenmiş bir süre için genel yönetici hesabı için genel yönetici rolü eklemek için bir etkinleştirme işlemi tamamlayın. Süresi dolduğunda, PIM genel yönetici rolü genel yönetici hesabından kaldırır.

PIM kullanarak ve bu işlem saldırısı ve kötü amaçlı kullanıcılar tarafından kullanmak için genel yönetici hesaplarınızı etkilenir süreyi önemli ölçüde düşürür.

Daha fazla bilgi için bkz: Azure AD ayrıcalıklı yapılandırma Kimlik Yönetimi.

Not: Azure Active Directory ekstra Kurumsal Mobility + güvenlik (EMS) E5 verilen P2 ile PIM kullanılabilir veya genel yönetici hesaplarınız için tek tek lisans satın alabilirsiniz.

Office 365 günlük güvenlik bilgileri ve Olay yönetimi (SIEM) yazılımı

Bir sunucuda çalışır SIEM yazılım güvenlik uyarılarını ve uygulamalar ve ağ donanımının tarafından oluşturulan olayları gerçek zamanlı çözümlemesi gerçekleştirir. Office 365 güvenlik uyarılarını ve olayları eklemek kendi çözümleme ve raporlama işlevleri SIEM sunucunuzun izin vermek için bunları SIEM sisteminize tümleştirme:

Sonraki adım

Office 365 için en iyi yöntemler güvenlikkonusuna bakın.

Yeteneklerinizi geliştirin
Eğitimleri keşfedin
Yeni özellikleri ilk olarak siz edinin
Office Insider Programına Katılın

Bu bilgi yararlı oldu mu?

Görüşleriniz için teşekkür ederiz!

Geri bildiriminiz için teşekkürler! Office destek temsilcilerimizden biriyle görüşmeniz yararlı olabilir.

×