Захист облікових записів глобальних адміністраторів Office 365

Зведення: Захист облікові записи глобального адміністратора із наведені нижче дії.

Увага! : Цю статтю перекладено за допомогою служби машинного перекладу; див. застереження. Версію цієї статті англійською мовою див. тут для отримання довідки.

Для кращого захисту передплати Office 365 від атак на основі компромісів обліковий запис глобального адміністратора, необхідно виконати на такі саме зараз.

  1. Створіть спеціальні облікові записи глобального адміністратора Office 365 і використовуйте їх тільки за потреби.

  2. Налаштуйте багатофакторну автентифікацію для спеціальних облікових записів глобального адміністратора Office 365 і використовуйте найсуворішу форму додаткової автентифікації.

  3. Увімкнення та настроювання Office 365 хмари програми безпеки для відстеження діяльності підозрілі глобального адміністратора облікового запису.

Порушення безпеки в передплаті на Office 365, зокрема збирання інформації та фішингові атаки, зазвичай виникає внаслідок компрометації даних облікового запису глобального адміністратора Office 365. Ви відповідаєте за безпеку в хмарі спільно з корпорацією Майкрософт:

  • Хмарні служби Microsoft працюють на основі принципів довіри й безпеки. Корпорація Майкрософт надає вам елементи керування безпекою та всі можливості, щоб захистити свої дані й програми.

  • Ваші дані належать вам, і ви несете відповідальність за їхній захист, безпеку локальних ресурсів, а також безпеку хмарних компонентів, якими керуєте.

Щоб захиститися, потрібно запровадити на місці елементи керування та можливості, які надає корпорація Майкрософт.

Примітка : Хоча в облікових записах глобального адміністратора орієнтований у цій статті, слід враховувати чи додаткові облікові записи з широкі дозволи на доступ до даних до вашої передплати, наприклад адміністратор Витребування електронної інформації та безпеки або Відповідність нормативним вимогам облікових записів адміністратора, має бути захищено, таким же чином.

Етап 1. Створіть спеціальні облікові записи глобального адміністратора Office 365 і використовуйте їх тільки за потреби

Адміністративних завдань, які вимагають дозволів глобального адміністратора, відносно мало. Це, зокрема, призначення ролей обліковим записам користувачів. Таким чином, замість використання звичайних облікових записів користувачів, яким призначено роль глобального адміністратора, негайно виконайте ці дії:

  1. Визначте набір облікових записів користувачів, яким призначено роль глобального адміністратора. Це можна зробити в PowerShell для Office 365 за допомогою такої команди:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Увійдіть в передплату на Office 365 під обліковим записом користувача, якому призначено роль глобального адміністратора.

  3. Створіть принаймні один, але не більше п’яти спеціальних облікових записів глобального адміністратора. Використовуйте надійні паролі, що складаються принаймні з 12 символів. Зберігайте паролі для нових облікових записів у безпечному розташуванні.

  4. Призначте роль глобального адміністратора кожному з нових спеціальних облікових записів глобального адміністратора.

  5. Вийдіть з Office 365.

  6. Увійдіть під одним зі спеціальних облікових записів глобального адміністратора.

  7. Для кожного наявного облікового запису користувача, якому призначено роль глобального адміністратора на кроці 1, виконайте такі дії:

    • вилучіть роль глобального адміністратора;

    • Призначення ролей адміністратора до облікового запису, які підходять для роботи функції та відповідальність цього користувача. Додаткові відомості про різні ролі адміністратора у службі Office 365 переглянути відомості про Office 365 ролей адміністратора.

  8. Вийдіть з Office 365.

Ви маєте отримати такий результат:

  • До нової групи спеціальних облікових записів глобального адміністратора входять лише ті облікові записи користувачів вашої передплати, яким призначено роль глобального адміністратора. Перевірити це можна за допомогою команди PowerShell у модулі Microsoft Azure Active Directory для Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Усім іншим звичайним обліковим записам користувачів для керування передплатою призначено ролі адміністратора відповідно до покладених на них завдань.

Надалі ви маєте входити в спеціальні облікові записи глобального адміністратора лише для виконання завдань, які інакше (без дозволів глобального адміністратора) виконати не можна. Щоб виконувати всі інші завдання з адміністрування Office 365, потрібно призначити інші ролі адміністратора обліковим записам користувачів.

Примітка : Так, для цього потрібно вийти зі звичайного облікового запису користувача та ввійти під спеціальним обліковим записом глобального адміністратора. Проте це доведеться робити тільки зрідка й виключно для виконання завдань глобального адміністратора. Зауважте: відновити передплату на Office 365 після зламу облікового запису глобального адміністратора значно складніше.

Етап 2. Налаштуйте багатофакторну автентифікацію для спеціальних облікових записів глобального адміністратора Office 365 і використовуйте найсуворішу форму додаткової автентифікації

Для багатофакторної автентифікації (MFA) облікових записів глобального адміністратора не достатньо імені й пароля користувача. В Office 365 використовуються такі способи перевірки:

  • телефонний виклик;

  • випадково згенерований код доступу;

  • смарт-картка (віртуальна або фізична);

  • біометричний пристрій.

Якщо ви представник малого бізнесу, і облікові записи ваших співробітників зберігаються тільки в хмарі (модель хмарної ідентичності), негайно виконайте наведені нижче дії, щоб налаштувати багатофакторну автентифікацію за допомогою телефонного виклику або коду підтвердження, надісланого в текстовому повідомленні на смартфон.

  1. Увімкніть багатофакторну автентифікацію.

  2. Установіть двоетапну перевірку в Office 365, щоб налаштувати спосіб перевірки всіх спеціальних облікових записів глобального адміністратора за допомогою телефонного виклику або текстового повідомлення.

Якщо це більша організація, у якій використовуються моделі синхронізованих або федеративних ідентичностей Office 365, ви маєте більше варіантів перевірки. Якщо інфраструктуру безпеки для посиленої додаткової автентифікації вже запроваджено, негайно виконайте ці дії:

  1. Увімкніть багатофакторну автентифікацію.

  2. Установіть двоетапну перевірку в Office 365, щоб налаштувати відповідний спосіб перевірки всіх спеціальних облікових записів глобального адміністратора.

Якщо інфраструктуру безпеки для надійнішого способу перевірки не запроваджено на місці для багатофакторної автентифікації Office 365, настійно радимо негайно налаштувати спеціальні облікові записи глобального адміністратора з багатофакторною автентифікацією з використанням телефонного виклику або коду підтвердження з текстового повідомлення, надісланого на смартфон, як тимчасовий засіб захисту. Не виходьте зі спеціальних облікових записів глобального адміністратора без додаткового захисту, який передбачає багатофакторна автентифікація.

Додаткові відомості про планування багатофакторну автентифікацію для розгортання Office 365.

Відомості про підключення до служб Office 365 за допомогою багатофакторної автентифікації та PowerShell див. тут.

Етап 3. Увімкнення та настроювання Office 365 хмари програми безпеки для відстеження діяльності підозрілі глобального адміністратора облікового запису

Office 365 хмари програми безпеки дає змогу створити політики з оповіщенням про підозрілі поведінку до вашої передплати. Хмара програми безпеки вбудовано в Office 365 E5, але можна також окремі служби. Наприклад, якщо ви не маєте Office 365 E5, можна придбати ліцензій на окремі хмари програми безпеки для облікових записів користувачів, які призначено глобального адміністратора, адміністратора безпеки та дотримання нормативних вимог ролі адміністратора.

Якщо у вас є хмара програми системи безпеки в передплату Office 365, виконайте наведені нижче негайно:

  1. Увійдіть на портал Office 365 з обліковим записом, який призначено ролей безпеки адміністратора або адміністратора дотримання нормативних вимог.

  2. Увімкнення Office 365 хмари програми безпеки.

  3. Створення політики аномалія виявлення повідомить електронною поштою аномального шаблонів привілейованих адміністративні дії.

Щоб додати обліковий запис користувача до ролі адміністратора безпеки, підключіться до Office 365 в PowerShell за допомогою спеціального облікового запису глобального адміністратора та багатофакторної автентифікації, введіть ім’я учасника-користувача облікового запису, а потім виконайте ці команди:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Щоб додати обліковий запис користувача до ролі адміністратора з перевірки відповідності, введіть ім’я учасника-користувача облікового запису, а потім виконайте ці команди:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Додатковий захист для облікових записів глобального адміністратора

Етапи 1 – 3, використовувати ці додаткові способи і переконайтеся, що обліковий запис глобального адміністратора, конфігурації, які ви виконуєте її використання, слід максимально безпечним.

Доступу робоче місце (ЛАПУ)

Щоб переконатися, що виконання завдань з розширеними дозволами максимально безпечним, використовуйте ЛАПУ. ЛАПУ це окремий комп'ютер, який використовується тільки для конфіденційні конфігурації завдання, наприклад налаштування служби Office 365, що потребує облікового запису глобального адміністратора. Оскільки цей комп'ютер не використовується щодня для перегляду Інтернету або повідомлення електронної пошти, краще захищено від інтернет-атак і загроз.

Докладніше про те, як настроїти ЛАПУ перегляньте http://aka.ms/cyberpaw.

Керування посвідченнями Azure AD привілейованих (PIM)

Замість того, як ваші облікові записи глобального адміністратора остаточно призначати ролі глобального адміністратора, дає змогу Azure AD PIM увімкнути на вимогу, просто на час призначення ролі глобального адміністратора, коли це необхідно.

Замість облікових глобального адміністратора, яке постійного адміністрування вони стають відповідної адміністраторів. Ролі глобального адміністратора неактивний, доки хтось повинен його. Потім завершення процесу активації додати ролі глобального адміністратора до облікового запису глобального адміністратора для заданої кількості часу. Під час завершення терміну дії, PIM видаляє ролі глобального адміністратора облікового запису глобального адміністратора.

За допомогою PIM і цей процес значно зменшує кількість часу, які облікові записи глобального адміністратора вразливим до атак і за допомогою зловмисних користувачів.

Додаткові відомості про Настроювання Azure AD привілейованих керування посвідченнями.

Примітка : PIM доступна з Active Directory Azure преміум P2, яка входить до складу підприємств мобільність + E5 безпеки (EMS), або можна придбати окремої ліцензії для облікових записів глобального адміністратора.

Безпека відомості та події керування (СІЄМ) програмного забезпечення для служби Office 365 журналювання

СІЄМ програмне забезпечення на сервері виконує в режимі реального часу аналіз оповіщень системи безпеки та події, створені застосунків і мережевого обладнання. Щоб дозволити сервері СІЄМ включити оповіщень системи безпеки служби Office 365 і подій у його аналіз і звітування про функції, інтегрувати наведені нижче дії у системі СІЄМ:

Наступний етап

Див. статтю Практичні поради щодо безпеки Office 365.

Примітка : Застереження про машинний переклад: Цю статтю перекладено комп’ютерною системою без втручання людини. Корпорація Майкрософт пропонує таку послугу, щоб іншомовні користувачі могли дізнаватися про продукти, служби й технології Microsoft. Оскільки статтю перекладено за допомогою служби машинного перекладу, вона може містити смислові, синтаксичні або граматичні помилки.

Отримуйте нові функції раніше за інших
Приєднайтеся до оцінювачів Office

Ця інформація корисна?

Дякуємо за ваш відгук!

Дякуємо за відгук! Схоже, вам може стати в нагоді допомога одного з наших спеціалістів служби підтримки Office, з яким ми вас можемо з’єднати.

×