Захист облікових записів глобальних адміністраторів Office 365

Примітка.:  Ми хочемо надавати найновіший вміст довідки рідною мовою користувачів якомога швидше. Цю сторінку перекладено за допомогою засобу автоматичного перекладу, тому вона може містити смислові, синтаксичні або граматичні помилки. Ми вважаємо, що цей вміст стане вам у пригоді. Повідомте нас, чи була інформація корисною, унизу цієї сторінки. Для зручності цю статтю можна переглянути англійською мовою .

Зведення: Захист передплати Office 365 від атак на основі компромісів обліковий запис глобального адміністратора.

Порушення безпеки в передплаті на Office 365, зокрема збирання інформації та фішингові атаки, зазвичай виникає внаслідок компрометації даних облікового запису глобального адміністратора Office 365. Ви відповідаєте за безпеку в хмарі спільно з корпорацією Майкрософт:

  • Хмарні служби Microsoft працюють на основі принципів довіри й безпеки. Корпорація Майкрософт надає вам елементи керування безпекою та всі можливості, щоб захистити свої дані й програми.

  • Ваші дані належать вам, і ви несете відповідальність за їхній захист, безпеку локальних ресурсів, а також безпеку хмарних компонентів, якими керуєте.

Корпорація Майкрософт надає можливості захисту вашої організації, але вони діють, лише якщо ви використовуєте їх. Якщо не використовувати їх, ви можете уразливі для атак. Щоб захистити облікові записи глобального адміністратора, Microsoft, щоб допомогти вам з докладними вказівками для:

  1. Створіть спеціальні облікові записи глобального адміністратора Office 365 і використовуйте їх тільки за потреби.

  2. Налаштуйте багатофакторну автентифікацію для спеціальних облікових записів глобального адміністратора Office 365 і використовуйте найсуворішу форму додаткової автентифікації.

  3. Увімкнення та настроювання Office 365 хмари програми безпеки для відстеження діяльності підозрілі глобального адміністратора облікового запису.

Примітка.: Хоча в облікових записах глобального адміністратора орієнтований у цій статті, слід враховувати чи додаткові облікові записи з широкі дозволи на доступ до даних до вашої передплати, наприклад адміністратор Витребування електронної інформації та безпеки або Відповідність нормативним вимогам облікових записів адміністратора, має бути захищено, таким же чином.

Крок 1. Створення виділений облікового запису глобального адміністратора Office 365 і використовувати їх, лише якщо необхідно

Існує відносно невеликою кількістю адміністративні завдання, наприклад призначення ролей для облікових записів користувачів, які вимагають глобального адміністратора. Таким чином, щоб уникнути щоденні облікові записи, призначеної ролі глобального адміністратора, виконайте наведені нижче дії.

  1. Визначення набору облікових записів користувачів, призначеної ролі глобального адміністратора. Це можна зробити з цієї команди в командному рядку Microsoft Azure Active Directory Module для Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Увійдіть в передплату на Office 365 під обліковим записом користувача, якому призначено роль глобального адміністратора.

  3. Створення принаймні одну та щонайбільше п'яти головною облікові записи користувачів глобального адміністратора. Використання надійних паролів принаймні 12 символів довго У статті Створення надійного пароля для отримання додаткових відомостей. Зберігання паролів для нові облікові записи в безпечному місці.

  4. Призначте роль глобального адміністратора кожному з нових спеціальних облікових записів глобального адміністратора.

  5. Вийдіть з Office 365.

  6. Увійдіть під одним зі спеціальних облікових записів глобального адміністратора.

  7. Для кожного наявного облікового запису користувача, якому призначено роль глобального адміністратора на кроці 1, виконайте такі дії:

    • вилучіть роль глобального адміністратора;

    • Призначення ролей адміністратора до облікового запису, які підходять для роботи функції та відповідальність цього користувача. Додаткові відомості про різні ролі адміністратора у службі Office 365 переглянути відомості про Office 365 ролей адміністратора.

  8. Вийдіть з Office 365.

Результат має бути:

  • Лише облікові записи користувачів до вашої передплати, з роллю глобального адміністратора – це новий набір облікових записів виділений глобального адміністратора. Перевірити це наведеною нижче командою PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Усім іншим звичайним обліковим записам користувачів для керування передплатою призначено ролі адміністратора відповідно до покладених на них завдань.

Надалі ви маєте входити в спеціальні облікові записи глобального адміністратора лише для виконання завдань, які інакше (без дозволів глобального адміністратора) виконати не можна. Щоб виконувати всі інші завдання з адміністрування Office 365, потрібно призначити інші ролі адміністратора обліковим записам користувачів.

Примітка.: Так, для цього потрібно вийти зі звичайного облікового запису користувача та ввійти під спеціальним обліковим записом глобального адміністратора. Проте це доведеться робити тільки зрідка й виключно для виконання завдань глобального адміністратора. Зауважте: відновити передплату на Office 365 після зламу облікового запису глобального адміністратора значно складніше.

Крок 2. Настроювання багатофакторної автентифікації для облікових виділений глобального адміністратора Office 365 і використання сильних форми додаткового автентифікації

Багатофакторна автентифікація (MFA) для облікових записів глобального адміністратора потрібна додаткова інформація за ім'я облікового запису та пароль. Office 365 підтримує такі методи перевірки.

  • телефонний виклик;

  • випадково згенерований код доступу;

  • смарт-картка (віртуальна або фізична);

  • біометричний пристрій.

Якщо ви малого бізнесу, що використовує облікові записи зберігаються лише в хмарі (хмара ідентифікації моделі), виконайте наведені нижче дії для настроювання MFA за допомогою телефонного виклику або текстове повідомлення код підтвердження надсилається на смартфоні:

  1. Увімкніть багатофакторну автентифікацію.

  2. Установіть двоетапну перевірку в Office 365, щоб налаштувати спосіб перевірки всіх спеціальних облікових записів глобального адміністратора за допомогою телефонного виклику або текстового повідомлення.

Якщо ви більше організації, яка використовується модель ідентифікації гібридного розгортання служби Office 365, у вас є додаткові параметри перевірки. Якщо у вас є інфраструктури безпеки вже на місці для потужнішу способу додаткового автентифікації, виконайте наведені нижче дії:

  1. Увімкніть багатофакторну автентифікацію.

  2. Установіть двоетапну перевірку в Office 365, щоб налаштувати відповідний спосіб перевірки всіх спеціальних облікових записів глобального адміністратора.

Якщо не в місці та функціонування для Office 365 MFA інфраструктури безпеки для бажаний спосіб перевірки потужнішу, ми радимо, настроїти виділене глобального адміністратора облікові записи з MFA за допомогою телефонного виклику або текстове повідомлення код підтвердження надсилається на смартфоні для облікових записів глобального адміністратора як в міру проміжний безпеки. Не залишити облікові записи виділений глобального адміністратора без додаткового захисту, що надаються MFA.

Додаткові відомості про планування багатофакторну автентифікацію для розгортання Office 365.

Відомості про підключення до служб Office 365 за допомогою багатофакторної автентифікації та PowerShell див. тут.

Крок 3. Монітор діяльність в обліковому записі підозрілі глобального адміністратора

Office 365 хмари програми безпеки дає змогу створити політики з оповіщенням про підозрілі поведінку до вашої передплати. Хмара програми безпеки вбудовано в Office 365 E5, але можна також окремі служби. Наприклад, якщо ви не маєте Office 365 E5, можна придбати ліцензій на окремі хмари програми безпеки для облікових записів користувачів, які призначено глобального адміністратора, адміністратора безпеки та дотримання нормативних вимог ролі адміністратора.

Якщо у вас є хмара програми безпеки до вашої передплати на Office 365, виконайте наведені нижче дії:

  1. Увійдіть на портал Office 365 з обліковим записом, який призначено ролей безпеки адміністратора або адміністратора дотримання нормативних вимог.

  2. Увімкнення Office 365 хмари програми безпеки.

  3. Перегляньте свій аномалія виявлення політики повідомить електронною поштою аномального шаблонів привілейованих адміністративні дії.

Щоб додати обліковий запис користувача ролі адміністратора безпеки, підключення до Office 365 PowerShell з виділеного глобального адміністратора та MFA, введіть ім'я учасника-користувача облікового запису користувача а потім запустіть такі команди:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Щоб додати обліковий запис користувача ролі адміністратора Відповідність нормативним вимогам, введіть ім'я учасника-користувача облікового запису користувача а потім запустіть такі команди:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Додатковий захист для підприємств організацій

Кроки 1 – 3, використовуйте ці додаткові способи і переконайтеся, що обліковий запис глобального адміністратора, конфігурації, які ви виконуєте її використання, слід максимально безпечним.

Доступу робоче місце (ЛАПУ)

Щоб переконатися, що виконання завдань з розширеними дозволами максимально безпечним, використовуйте ЛАПУ. ЛАПУ це окремий комп'ютер, який використовується тільки для конфіденційні конфігурації завдання, наприклад налаштування служби Office 365, що потребує облікового запису глобального адміністратора. Оскільки цей комп'ютер не використовується щодня для перегляду Інтернету або повідомлення електронної пошти, краще захищено від інтернет-атак і загроз.

Докладніше про те, як настроїти ЛАПУ перегляньте http://aka.ms/cyberpaw.

Керування посвідченнями Azure AD привілейованих (PIM)

Замість того, як ваші облікові записи глобального адміністратора остаточно призначати ролі глобального адміністратора, дає змогу Azure AD PIM увімкнути на вимогу, просто на час призначення ролі глобального адміністратора, коли це необхідно.

Замість облікових глобального адміністратора, яке постійного адміністрування вони стають доступні для адміністраторів. Ролі глобального адміністратора неактивний, доки хтось повинен його. Потім завершення процесу активації додати ролі глобального адміністратора до облікового запису глобального адміністратора для заданої кількості часу. Під час завершення терміну дії, PIM видаляє ролі глобального адміністратора облікового запису глобального адміністратора.

За допомогою PIM і цей процес значно зменшує кількість часу, які облікові записи глобального адміністратора вразливим до атак і за допомогою зловмисних користувачів.

Додаткові відомості про Настроювання Azure AD привілейованих керування посвідченнями.

Примітка.: PIM доступна з Active Directory Azure преміум P2, яка входить до складу підприємств мобільність + E5 безпеки (EMS), або можна придбати окремої ліцензії для облікових записів глобального адміністратора.

Безпека відомості та події керування (СІЄМ) програмного забезпечення для служби Office 365 журналювання

СІЄМ програмне забезпечення на сервері виконує в режимі реального часу аналіз оповіщень системи безпеки та події, створені застосунків і мережевого обладнання. Щоб дозволити сервері СІЄМ включити оповіщень системи безпеки служби Office 365 і подій у його аналіз і звітування про функції, інтегрувати дані з СІЄМ системи:

Наступний етап

Див. статтю Практичні поради щодо безпеки Office 365.

Удосконалення навичок роботи з Office
Ознайомтеся з навчальними матеріалами
Отримуйте нові функції раніше за інших
Приєднайтеся до оцінювачів Office

Ця інформація корисна?

Дякуємо за ваш відгук!

Дякуємо за відгук! Схоже, вам може стати в нагоді допомога одного з наших спеціалістів служби підтримки Office, з яким ми вас можемо з’єднати.

×