Bảo vệ tài khoản người quản trị toàn cầu Office 365 của bạn

Quan trọng:  Bài viết này là dịch máy, hãy xem tuyên bố miễn trừ trách nhiệm. Bạn hãy tìm phiên bản tiếng Anh của bài viết này tại đây để tham khảo.

Tóm tắt: Bảo vệ tài khoản người quản trị toàn cầu của bạn với các bước sau đây.

Để bảo vệ tốt hơn thuê bao Office 365 của bạn từ tấn công dựa trên thỏa hiệp của tài khoản người quản trị toàn cục, bạn phải thực hiện thao tác sau đây ngay bây giờ:

  1. Tạo tài khoản người quản trị toàn cầu Office 365 riêng biệt và dùng chúng chỉ khi cần thiết.

  2. Cấu hình xác thực đa yếu tố cho tài khoản người quản trị toàn cầu Office 365 riêng của bạn và sử dụng biểu mẫu mạnh phụ xác thực.

  3. Bật và cấu hình Office 365 điện toán đám mây ứng dụng bảo mật để giám sát hoạt động tài khoản người quản trị toàn cầu đáng ngờ.

Vi phạm bảo mật của gói đăng ký Office 365, bao gồm thông tin thu hoạch và tấn công lừa đảo, thường được thực hiện bởi ảnh hưởng đến thông tin xác thực của tài khoản người quản trị toàn cầu Office 365. Bảo mật trong điện toán đám mây là một quan hệ đối tác giữa bạn và Microsoft:

  • Dịch vụ điện toán đám mây của Microsoft được xây dựng trên nền tảng tin cậy và bảo mật. Microsoft cung cấp cho bạn các điều khiển bảo mật và chức năng để giúp bạn bảo vệ dữ liệu và các ứng dụng của bạn.

  • Bạn sở hữu dữ liệu của bạn và căn cước và trách nhiệm bảo vệ chúng, bảo mật của tài nguyên tại chỗ của bạn, và bảo mật của điện toán đám mây cấu phần bạn điều khiển.

Để bảo vệ bản thân, bạn phải đặt tại chỗ các điều khiển và chức năng Microsoft cung cấp.

Ghi chú: Mặc dù các bài viết này tập trung vào các tài khoản người quản trị toàn cục, bạn cũng nên cân nhắc xem thêm tài khoản với rộng quyền truy nhập dữ liệu trong gói đăng ký của bạn, chẳng hạn như người quản trị khám phá điện tử hoặc bảo mật hoặc tuân thủ tài khoản người quản trị, nên được bảo vệ giống nhau.

Giai đoạn 1. Tạo tài khoản người quản trị toàn cầu Office 365 riêng biệt và dùng chúng chỉ khi cần thiết

Không có vài tương đối tác vụ quản trị, chẳng hạn như gán vai trò cho tài khoản người dùng, yêu cầu đặc quyền của người quản trị toàn cầu. Do đó, thay vì dùng tài khoản người dùng hàng ngày mà đã được gán vai trò quản trị toàn cầu, hãy làm như sau ngay lập tức:

  1. Xác định thiết lập tài khoản người dùng đã được gán vai trò quản trị toàn cục. Bạn có thể làm điều này trong Office 365 PowerShell với lệnh này:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. Đăng nhập vào thuê bao Office 365 của bạn với tài khoản người dùng đã được phân công vai trò quản trị toàn cục.

  3. Tạo ít nhất một và lên tới tối đa năm dành riêng cho tài khoản người dùng người quản trị toàn cầu. Sử dụng mật khẩu mạnh ít 12 ký tự lâu Lưu trữ mật khẩu cho tài khoản mới trong một vị trí bảo mật.

  4. Gán vai trò quản trị toàn cầu cho từng tài khoản người dùng người quản trị toàn cục mới dành riêng.

  5. Đăng xuất khỏi Office 365.

  6. Đăng nhập bằng một trong các tài khoản người dùng riêng người quản trị toàn cục mới.

  7. Cho mỗi tài khoản người dùng hiện có mà đã được phân công vai trò quản trị toàn cục từ bước 1:

    • Loại bỏ vai trò quản trị toàn cục.

    • Gán vai trò quản trị cho tài khoản thích hợp để chức năng công việc và trách nhiệm của người dùng đó. Để biết thêm thông tin về vai trò quản trị khác nhau trong Office 365, hãy xem các vai trò quản trị về Office 365.

  8. Đăng xuất khỏi Office 365.

Kết quả nên là như sau:

  • Tài khoản người dùng duy nhất trong thuê bao của bạn có vai trò quản trị toàn cục là bộ mới của tài khoản người quản trị toàn cầu riêng biệt. Xác nhận này với lệnh PowerShell sau đây khi được nhắc lệnh Windows Azure Active Directory Module cho Windows PowerShell:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • Tất cả các tài khoản người dùng hàng ngày quản lý thuê bao của bạn có vai trò quản trị được gán được liên kết với việc trách nhiệm của họ.

Từ thời điểm này trở đi, bạn đăng nhập bằng tài khoản người quản trị toàn cầu riêng chỉ cho các nhiệm vụ yêu cầu đặc quyền của người quản trị toàn cầu. Tất cả các quản trị Office 365 khác cần thực hiện việc gán vai trò quản trị khác cho tài khoản người dùng.

Ghi chú: Có, điều này yêu cầu bước bổ sung để đăng xuất dưới dạng tài khoản người dùng hàng ngày của bạn và đăng nhập bằng tài khoản người quản trị toàn cầu riêng biệt. Nhưng đây chỉ cần thực hiện thỉnh thoảng cho người quản trị toàn cầu hoạt động. Cân nhắc mà phục hồi thuê bao Office 365 của bạn sau khi một tài khoản người quản trị toàn cầu phạm cần các bước tốt hơn.

Giai đoạn 2. Cấu hình xác thực đa yếu tố cho tài khoản người quản trị toàn cầu Office 365 riêng của bạn và sử dụng biểu mẫu mạnh phụ xác thực

Xác thực đa yếu tố (MFA) đối với tài khoản người quản trị toàn cầu của bạn yêu cầu thông tin bổ sung ngoài tên tài khoản và mật khẩu. Office 365 hỗ trợ các phương pháp xác nhận thao tác sau:

  • Cuộc gọi điện thoại

  • Mật mã được tạo ngẫu nhiên

  • Thẻ thông minh (ảo hoặc thực)

  • Thiết bị sinh trắc

Nếu bạn là doanh nghiệp nhỏ đang sử dụng tài khoản người dùng được lưu trữ trong đám mây (mô hình căn cước điện toán đám mây), hãy làm như sau ngay lập tức để cấu hình MFA sử dụng cuộc gọi điện thoại hoặc mã xác nhận tin nhắn văn bản được gửi đến điện thoại thông minh:

  1. Bật MFA.

  2. Thiết lập xác thực 2 bước dành cho Office 365 để cấu hình mỗi dành riêng cho tài khoản người quản trị toàn cầu cho cuộc gọi hoặc tin nhắn văn bản dưới dạng phương pháp xác nhận.

Nếu bạn là một tổ chức lớn đang sử dụng mẫu căn cước Office 365 được đồng bộ hóa hoặc được liên kết, bạn có nhiều tùy chọn xác nhận. Nếu bạn đã cơ sở hạ tầng bảo mật ở vị trí cho một phương pháp xác thực phụ mạnh hơn, hãy làm như sau ngay lập tức:

  1. Bật MFA.

  2. Thiết lập xác thực 2 bước dành cho Office 365 để cấu hình mỗi dành riêng cho tài khoản người quản trị toàn cầu cho phương pháp xác thực phù hợp.

Nếu cơ sở hạ tầng bảo mật cho phương pháp xác thực mạnh mong muốn trong vị trí và hoạt động cho Office 365 MFA, chúng tôi khuyên bạn ngay lập tức cấu hình tài khoản người quản trị toàn cầu riêng biệt với MFA sử dụng cuộc gọi điện thoại hoặc văn bản thông báo mã xác nhận gửi đến điện thoại thông minh cho tài khoản người quản trị toàn cầu của bạn như một thước đo bảo mật tạm thời. Không rời khỏi tài khoản người quản trị toàn cầu riêng của bạn mà không bảo vệ bổ sung được cung cấp bởi MFA.

Để biết thêm thông tin, hãy xem lập kế hoạch cho xác thực đa yếu tố cho việc triển khai Office 365.

Để kết nối với dịch vụ Office 365 với MFA và PowerShell, hãy xem bài viết này.

Giai đoạn 3. Bật và cấu hình Office 365 điện toán đám mây ứng dụng bảo mật để giám sát hoạt động tài khoản người quản trị toàn cầu đáng ngờ

Office 365 điện toán đám mây ứng dụng bảo mật cho phép bạn tạo chính sách thông báo cho bạn biết về hành vi đáng ngờ trong thuê bao của bạn. Điện toán đám mây ứng dụng bảo mật được xây dựng vào Office 365 E5, nhưng cũng là sẵn dùng như một dịch vụ riêng biệt. Ví dụ, nếu bạn không có Office 365 E5, bạn có thể mua giấy phép cá nhân điện toán đám mây ứng dụng bảo mật đối với tài khoản người dùng được gán người quản trị toàn cầu, người quản trị bảo mật và tuân thủ vai trò người quản trị.

Nếu bạn có điện toán đám mây ứng dụng bảo mật trong thuê bao Office 365 của bạn, hãy làm như sau ngay lập tức:

  1. Đăng nhập vào cổng thông tin Office 365 bằng tài khoản được phân công vai trò người quản trị bảo mật hoặc người quản trị tuân thủ.

  2. Giới thiệu về Office 365 điện toán đám mây ứng dụng bảo mật.

  3. Tạo bất thường phát hiện chính sách thông báo cho bạn bằng email về các mẫu hình bất thường có đặc quyền hoạt động quản trị.

Để thêm tài khoản người dùng vai trò người quản trị bảo mật, kết nối với Office 365 PowerShell với tài khoản người quản trị toàn cầu riêng biệt và MFA, điền vào tên người dùng chính của tài khoản người dùng, và sau đó chạy lệnh sau đây lệnh:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Để thêm tài khoản người dùng vai trò người quản trị tuân thủ, điền vào tên người dùng chính của tài khoản người dùng, và sau đó chạy lệnh sau đây:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

Bảo vệ bổ sung cho tài khoản người quản trị toàn cầu của bạn

Sau khi giai đoạn 1-3, sử dụng các phương pháp bổ sung để đảm bảo rằng tài khoản người quản trị toàn cầu của bạn và cấu hình mà bạn thực hiện bằng cách sử dụng nó, là an toàn có thể xảy ra.

Có đặc quyền truy nhập Workstation (VUỐT)

Để đảm bảo thực hiện các tác vụ có đặc quyền đặc biệt là an toàn có thể xảy ra, hãy dùng một VUỐT. VUỐT một là một máy tính riêng biệt mà chỉ được dùng cho các nhiệm vụ nhạy cảm cấu hình, chẳng hạn như Office 365 cấu hình đòi hỏi phải có tài khoản người quản trị toàn cầu. Vì máy tính này không được dùng hàng ngày cho trình duyệt Internet hoặc email, nó được bảo vệ tốt hơn từ Internet tấn công và thách thức.

Để được hướng dẫn về cách thiết lập một VUỐT, hãy xem http://aka.ms/cyberpaw.

Quản lý căn cước Azure AD đặc quyền (PIM)

Thay vì có tài khoản người quản trị toàn cầu vĩnh viễn được phân công vai trò người quản trị toàn cục, bạn có thể dùng Azure AD PIM để cho phép theo yêu cầu, chỉ trong thời gian giao vai trò người quản trị toàn cầu khi nó cần thiết.

Trên các từ, thay vì tài khoản người quản trị toàn cầu của bạn là người quản trị cố định, chúng sẽ trở thành người quản trị đủ điều kiện. Vai trò người quản trị toàn cầu là không hoạt động cho đến khi người nào đó cần nó. Sau đó bạn hoàn thành quy trình kích hoạt để thêm vai trò người quản trị toàn cầu vào tài khoản người quản trị toàn cầu cho một khoảng thời gian định trước. Khi thời gian hết hạn, PIM sẽ loại bỏ vai trò người quản trị toàn cầu từ tài khoản người quản trị toàn cầu.

Sử dụng PIM và quy trình này làm giảm đáng kể khoảng thời gian có tài khoản người quản trị toàn cầu của bạn dễ bị tấn công và sử dụng bởi người dùng độc hại.

Để biết thêm thông tin, hãy xem cấu hình Azure AD có đặc quyền quản lý căn cước.

Ghi chú: PIM sẵn dùng với Azure Active Directory Premium P2, vốn được đưa vào tính di động Enterprise + E5 bảo mật (EMS), hoặc bạn có thể mua giấy phép cá nhân cho tài khoản người quản trị toàn cầu của bạn.

Bảo mật thông tin và sự kiện (Xiêm) phần mềm quản lý cho Office 365 ghi nhật ký

Phần mềm Xiêm và máy chủ chạy nó thực hiện phân tích thời gian thực của cảnh báo bảo mật và sự kiện được tạo bởi ứng dụng và các phần cứng mạng. Để cho phép máy chủ Xiêm để bao gồm Office 365 cảnh báo bảo mật và sự kiện trong phân tích và chức năng báo cáo, tích hợp các thao tác sau trong hệ thống Xiêm của bạn:

Bước tiếp theo

Hãy xem cách thực hành tốt nhất bảo mật cho Office 365.

Ghi chú: Tuyên bố miễn trừ trách nhiệm Dịch Máy: Bài viết này do một hệ thống máy tính dịch mà không có sự can thiệp của con người. Microsoft cung cấp những bản dịch máy này để giúp người dùng không nói tiếng Anh hiểu nội dung về các sản phẩm, dịch vụ và công nghệ của Microsoft. Do bài viết này được dịch máy nên có thể có các lỗi về từ vựng, cú pháp hoặc ngữ pháp.

Phát triển các kỹ năng của bạn
Khám phá nội dung đào tạo
Sở hữu tính năng mới đầu tiên
Tham gia Người dùng nội bộ Office

Thông tin này có hữu ích không?

Cảm ơn phản hồi của bạn!

Cảm ơn bạn đã phản hồi! Để trợ giúp tốt hơn, có lẽ chúng tôi sẽ kết nối bạn với một trong những nhân viên hỗ trợ Office của chúng tôi.

×