Захист облікових записів глобальних адміністраторів Office 365

Зведення

Щоб посилити захист передплати на Office 365 від атак, потрібно виконати ці дії просто зараз:

  1. Створіть спеціальні облікові записи глобального адміністратора Office 365 і використовуйте їх тільки за потреби.

  2. Налаштуйте багатофакторну автентифікацію для спеціальних облікових записів глобального адміністратора Office 365 і використовуйте найсуворішу форму додаткової автентифікації.

  3. Увімкніть і налаштуйте функцію "Розширене керування безпекою", щоб відстежувати підозрілі дії в обліковому записі глобального адміністратора.

Порушення безпеки в передплаті на Office 365, зокрема збирання інформації та фішингові атаки, зазвичай виникає внаслідок компрометації даних облікового запису глобального адміністратора Office 365. Ви відповідаєте за безпеку в хмарі спільно з корпорацією Майкрософт:

  • Хмарні служби Microsoft працюють на основі принципів довіри й безпеки. Корпорація Майкрософт надає вам елементи керування безпекою та всі можливості, щоб захистити свої дані й програми.

  • Ваші дані належать вам, і ви несете відповідальність за їхній захист, безпеку локальних ресурсів, а також безпеку хмарних компонентів, якими керуєте.

Щоб захиститися, потрібно запровадити на місці елементи керування та можливості, які надає корпорація Майкрософт.

Етап 1. Створіть спеціальні облікові записи глобального адміністратора Office 365 і використовуйте їх тільки за потреби

Адміністративних завдань, які вимагають дозволів глобального адміністратора, відносно мало. Це, зокрема, призначення ролей обліковим записам користувачів. Таким чином, замість використання звичайних облікових записів користувачів, яким призначено роль глобального адміністратора, негайно виконайте ці дії:

  1. Визначте набір облікових записів користувачів, яким призначено роль глобального адміністратора. Це можна зробити в PowerShell для Office 365 за допомогою такої команди:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Увійдіть в передплату на Office 365 під обліковим записом користувача, якому призначено роль глобального адміністратора.

  3. Створіть принаймні один, але не більше п’яти спеціальних облікових записів глобального адміністратора. Використовуйте надійні паролі, що складаються принаймні з 12 символів. Зберігайте паролі для нових облікових записів у безпечному розташуванні.

  4. Призначте роль глобального адміністратора кожному з нових спеціальних облікових записів глобального адміністратора.

  5. Вийдіть з Office 365.

  6. Увійдіть під одним зі спеціальних облікових записів глобального адміністратора.

  7. Для кожного наявного облікового запису користувача, якому призначено роль глобального адміністратора на кроці 1, виконайте такі дії:

    • вилучіть роль глобального адміністратора;

    • призначте обліковому запису ролі адміністратора відповідно до обов’язків і завдань цього користувача. Докладні відомості про різноманітні ролі адміністратора в Office 365 див. тут.

  8. Вийдіть з Office 365.

Ви маєте отримати такий результат:

  • До нової групи спеціальних облікових записів глобального адміністратора входять лише ті облікові записи користувачів вашої передплати, яким призначено роль глобального адміністратора. Перевірити це можна за допомогою команди PowerShell у модулі Microsoft Azure Active Directory для Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Усім іншим звичайним обліковим записам користувачів для керування передплатою призначено ролі адміністратора відповідно до покладених на них завдань.

Надалі ви маєте входити в спеціальні облікові записи глобального адміністратора лише для виконання завдань, які інакше (без дозволів глобального адміністратора) виконати не можна. Щоб виконувати всі інші завдання з адміністрування Office 365, потрібно призначити інші ролі адміністратора обліковим записам користувачів.

Примітка : Так, для цього потрібно вийти зі звичайного облікового запису користувача та ввійти під спеціальним обліковим записом глобального адміністратора. Проте це доведеться робити тільки зрідка й виключно для виконання завдань глобального адміністратора. Зауважте: відновити передплату на Office 365 після зламу облікового запису глобального адміністратора значно складніше.

Етап 2. Налаштуйте багатофакторну автентифікацію для спеціальних облікових записів глобального адміністратора Office 365 і використовуйте найсуворішу форму додаткової автентифікації

Для багатофакторної автентифікації (MFA) облікових записів глобального адміністратора не достатньо імені й пароля користувача. В Office 365 використовуються такі способи перевірки:

  • телефонний виклик;

  • випадково згенерований код доступу;

  • смарт-картка (віртуальна або фізична);

  • біометричний пристрій.

Якщо ви представник малого бізнесу, і облікові записи ваших співробітників зберігаються тільки в хмарі (модель хмарної ідентичності), негайно виконайте наведені нижче дії, щоб налаштувати багатофакторну автентифікацію за допомогою телефонного виклику або коду підтвердження, надісланого в текстовому повідомленні на смартфон.

  1. Увімкніть багатофакторну автентифікацію.

  2. Установіть двоетапну перевірку в Office 365, щоб налаштувати спосіб перевірки всіх спеціальних облікових записів глобального адміністратора за допомогою телефонного виклику або текстового повідомлення.

Якщо це більша організація, у якій використовуються моделі синхронізованих або федеративних ідентичностей Office 365, ви маєте більше варіантів перевірки. Якщо інфраструктуру безпеки для посиленої додаткової автентифікації вже запроваджено, негайно виконайте ці дії:

  1. Увімкніть багатофакторну автентифікацію.

  2. Установіть двоетапну перевірку в Office 365, щоб налаштувати відповідний спосіб перевірки всіх спеціальних облікових записів глобального адміністратора.

Якщо інфраструктуру безпеки для надійнішого способу перевірки не запроваджено на місці для багатофакторної автентифікації Office 365, настійно радимо негайно налаштувати спеціальні облікові записи глобального адміністратора з багатофакторною автентифікацією з використанням телефонного виклику або коду підтвердження з текстового повідомлення, надісланого на смартфон, як тимчасовий засіб захисту. Не виходьте зі спеціальних облікових записів глобального адміністратора без додаткового захисту, який передбачає багатофакторна автентифікація.

Докладні відомості див. в статті Планування багатофакторної автентифікації для розгортань Office 365.

Відомості про підключення до служб Office 365 за допомогою багатофакторної автентифікації та PowerShell див. тут.

Етап 3. Увімкніть і налаштуйте функцію "Розширене керування безпекою", щоб відстежувати підозрілі дії в обліковому записі глобального адміністратора

Функція "Розширене керування безпекою" дає змогу створювати політики оповіщення про підозрілі дії у вашій передплаті. Цю функцію вбудовано в Office 365 E5, але вона також доступна як окрема служба. Наприклад, якщо у вас немає передплати на Office 365 E5, ви можете придбати окремі ліцензії на службу "Розширене керування безпекою" для облікових записів користувачів, яким призначено ролі глобального адміністратора, адміністратора безпеки та адміністратора з перевірки відповідності.

Якщо функція "Розширене керування безпекою" входить до вашої передплати на Office 365, негайно виконайте ці дії:

  1. Увійдіть на портал Office 365 під обліковим записом користувача, якому призначено роль адміністратора безпеки або адміністратора з перевірки відповідності.

  2. Увімкніть функцію "Розширене керування безпекою".

  3. Створіть політики оповіщення електронною поштою про наступне:

    • нетипові дії з адміністрування;

    • додавання учасників до ролей.

Щоб додати обліковий запис користувача до ролі адміністратора безпеки, підключіться до Office 365 в PowerShell за допомогою спеціального облікового запису глобального адміністратора та багатофакторної автентифікації, введіть ім’я учасника-користувача облікового запису, а потім виконайте ці команди:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Щоб додати обліковий запис користувача до ролі адміністратора з перевірки відповідності, введіть ім’я учасника-користувача облікового запису, а потім виконайте ці команди:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Наступний етап

Див. статтю Практичні поради щодо безпеки Office 365.

Див. також

Відомості про ролі адміністратора в Office 365

Планування багатофакторної автентифікації для розгортань Office 365

Увімкнення функції "Розширене керування безпекою"

Отримуйте нові функції раніше за інших
Приєднайтеся до оцінювачів Office

Ця інформація корисна?

Дякуємо за ваш відгук!

Дякуємо за відгук! Схоже, вам може стати в нагоді допомога одного з наших спеціалістів служби підтримки Office, з яким ми вас можемо з’єднати.

×