Bảo vệ tài khoản người quản trị toàn cầu Office 365 của bạn

Lưu ý:  Chúng tôi muốn cung cấp cho bạn nội dung trợ giúp mới nhất ở chính ngôn ngữ của bạn, nhanh nhất có thể. Trang này được dịch tự động nên có thể chứa các lỗi về ngữ pháp hoặc nội dung không chính xác. Mục đích của chúng tôi là khiến nội dung này trở nên hữu ích với bạn. Vui lòng cho chúng tôi biết ở cuối trang này rằng thông tin có hữu ích với bạn không? Dưới đây là bài viết bằng Tiếng Anh để bạn tham khảo dễ hơn.

Tóm tắt: Bảo vệ thuê bao Office 365 của bạn từ tấn công dựa trên thỏa hiệp của tài khoản người quản trị toàn cầu.

Vi phạm bảo mật của gói đăng ký Office 365, bao gồm thông tin thu hoạch và tấn công lừa đảo, thường được thực hiện bởi ảnh hưởng đến thông tin xác thực của tài khoản người quản trị toàn cầu Office 365. Bảo mật trong điện toán đám mây là một quan hệ đối tác giữa bạn và Microsoft:

 • Dịch vụ điện toán đám mây của Microsoft được xây dựng trên nền tảng tin cậy và bảo mật. Microsoft cung cấp cho bạn các điều khiển bảo mật và chức năng để giúp bạn bảo vệ dữ liệu và các ứng dụng của bạn.

 • Bạn sở hữu dữ liệu của bạn và căn cước và trách nhiệm bảo vệ chúng, bảo mật của tài nguyên tại chỗ của bạn, và bảo mật của điện toán đám mây cấu phần bạn điều khiển.

Microsoft cung cấp chức năng bảo vệ tổ chức của bạn, nhưng chúng có hiệu quả chỉ khi bạn dùng chúng. Nếu bạn không sử dụng chúng, bạn có thể dễ bị tấn công. Để bảo vệ tài khoản người quản trị toàn cầu của bạn, Microsoft là ở đây để giúp bạn các hướng dẫn chi tiết để:

 1. Tạo tài khoản người quản trị toàn cầu Office 365 riêng biệt và dùng chúng chỉ khi cần thiết.

 2. Cấu hình xác thực đa yếu tố cho tài khoản người quản trị toàn cầu Office 365 riêng của bạn và sử dụng biểu mẫu mạnh phụ xác thực.

 3. Bật và cấu hình Office 365 điện toán đám mây ứng dụng bảo mật để giám sát hoạt động tài khoản người quản trị toàn cầu đáng ngờ.

Lưu ý: Mặc dù các bài viết này tập trung vào các tài khoản người quản trị toàn cục, bạn cũng nên cân nhắc xem thêm tài khoản với rộng quyền truy nhập dữ liệu trong gói đăng ký của bạn, chẳng hạn như người quản trị khám phá điện tử hoặc bảo mật hoặc tuân thủ tài khoản người quản trị, nên được bảo vệ giống nhau.

Bước 1. Tạo tài khoản người quản trị toàn cầu Office 365 riêng biệt và dùng chúng chỉ khi cần thiết

Không có vài tương đối tác vụ quản trị, chẳng hạn như gán vai trò cho tài khoản người dùng, yêu cầu đặc quyền của người quản trị toàn cầu. Do đó, thay vì dùng tài khoản người dùng hàng ngày mà đã được gán vai trò quản trị toàn cầu, hãy thực hiện các bước sau đây:

 1. Xác định thiết lập tài khoản người dùng đã được gán vai trò quản trị toàn cục. Bạn có thể làm điều này với lệnh này tại dấu nhắc lệnh Microsoft Azure Active Directory Module cho Windows PowerShell:

  Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
 2. Đăng nhập vào thuê bao Office 365 của bạn với tài khoản người dùng đã được phân công vai trò quản trị toàn cục.

 3. Tạo ít nhất một và lên tới tối đa năm dành riêng cho tài khoản người dùng người quản trị toàn cầu. Sử dụng mật khẩu mạnh ít 12 ký tự lâu Hãy xem tạo mật khẩu mạnh cho biết thêm thông tin. Lưu trữ mật khẩu cho tài khoản mới trong một vị trí bảo mật.

 4. Gán vai trò quản trị toàn cầu cho từng tài khoản người dùng người quản trị toàn cục mới dành riêng.

 5. Đăng xuất khỏi Office 365.

 6. Đăng nhập bằng một trong các tài khoản người dùng riêng người quản trị toàn cục mới.

 7. Cho mỗi tài khoản người dùng hiện có mà đã được phân công vai trò quản trị toàn cục từ bước 1:

  • Loại bỏ vai trò quản trị toàn cục.

  • Gán vai trò quản trị cho tài khoản thích hợp để chức năng công việc và trách nhiệm của người dùng đó. Để biết thêm thông tin về vai trò quản trị khác nhau trong Office 365, hãy xem các vai trò quản trị về Office 365.

 8. Đăng xuất khỏi Office 365.

Kết quả nên là:

 • Tài khoản người dùng duy nhất trong thuê bao của bạn có vai trò quản trị toàn cục là bộ mới của tài khoản người quản trị toàn cầu riêng biệt. Xác nhận này với lệnh PowerShell sau đây:

  Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
 • Tất cả các tài khoản người dùng hàng ngày quản lý thuê bao của bạn có vai trò quản trị được gán được liên kết với việc trách nhiệm của họ.

Từ thời điểm này trở đi, bạn đăng nhập bằng tài khoản người quản trị toàn cầu riêng chỉ cho các nhiệm vụ yêu cầu đặc quyền của người quản trị toàn cầu. Tất cả các quản trị Office 365 khác cần thực hiện việc gán vai trò quản trị khác cho tài khoản người dùng.

Lưu ý: Có, điều này yêu cầu bước bổ sung để đăng xuất dưới dạng tài khoản người dùng hàng ngày của bạn và đăng nhập bằng tài khoản người quản trị toàn cầu riêng biệt. Nhưng đây chỉ cần thực hiện thỉnh thoảng cho người quản trị toàn cầu hoạt động. Cân nhắc mà phục hồi thuê bao Office 365 của bạn sau khi một tài khoản người quản trị toàn cầu phạm cần các bước tốt hơn.

Bước 2. Cấu hình xác thực đa yếu tố cho tài khoản người quản trị toàn cầu Office 365 riêng của bạn và sử dụng biểu mẫu mạnh phụ xác thực

Xác thực đa yếu tố (MFA) đối với tài khoản người quản trị toàn cầu của bạn yêu cầu thông tin bổ sung ngoài tên tài khoản và mật khẩu. Office 365 hỗ trợ các phương pháp xác thực:

 • Cuộc gọi điện thoại

 • Mật mã được tạo ngẫu nhiên

 • Thẻ thông minh (ảo hoặc thực)

 • Thiết bị sinh trắc

Nếu bạn là doanh nghiệp nhỏ đang sử dụng tài khoản người dùng được lưu trữ trong đám mây (mô hình căn cước điện toán đám mây), hãy dùng các bước sau đây để cấu hình MFA sử dụng cuộc gọi điện thoại hoặc mã xác nhận tin nhắn văn bản được gửi đến điện thoại thông minh:

 1. Bật MFA.

 2. Thiết lập xác thực 2 bước dành cho Office 365 để cấu hình mỗi dành riêng cho tài khoản người quản trị toàn cầu cho cuộc gọi hoặc tin nhắn văn bản dưới dạng phương pháp xác nhận.

Nếu bạn là một tổ chức lớn đang sử dụng mô hình căn cước Office 365 hỗn hợp, bạn có nhiều tùy chọn xác nhận. Nếu bạn đã cơ sở hạ tầng bảo mật ở vị trí cho một phương pháp xác thực phụ mạnh, dùng các bước sau đây:

 1. Bật MFA.

 2. Thiết lập xác thực 2 bước dành cho Office 365 để cấu hình mỗi dành riêng cho tài khoản người quản trị toàn cầu cho phương pháp xác thực phù hợp.

Nếu cơ sở hạ tầng bảo mật cho phương pháp xác thực mạnh mong muốn trong vị trí và hoạt động cho Office 365 MFA, chúng tôi khuyên bạn cấu hình tài khoản người quản trị toàn cầu riêng biệt với MFA sử dụng cuộc gọi hoặc tin nhắn văn bản Mã xác nhận gửi đến điện thoại thông minh cho tài khoản người quản trị toàn cầu của bạn như một thước đo bảo mật tạm thời. Không rời khỏi tài khoản người quản trị toàn cầu riêng của bạn mà không bảo vệ bổ sung được cung cấp bởi MFA.

Để biết thêm thông tin, hãy xem lập kế hoạch cho xác thực đa yếu tố cho việc triển khai Office 365.

Để kết nối với dịch vụ Office 365 với MFA và PowerShell, hãy xem bài viết này.

Bước 3. Màn hình để hoạt động tài khoản người quản trị toàn cầu đáng ngờ

Office 365 điện toán đám mây ứng dụng bảo mật cho phép bạn tạo chính sách thông báo cho bạn biết về hành vi đáng ngờ trong thuê bao của bạn. Điện toán đám mây ứng dụng bảo mật được xây dựng vào Office 365 E5, nhưng cũng là sẵn dùng như một dịch vụ riêng biệt. Ví dụ, nếu bạn không có Office 365 E5, bạn có thể mua giấy phép cá nhân điện toán đám mây ứng dụng bảo mật đối với tài khoản người dùng được gán người quản trị toàn cầu, người quản trị bảo mật và tuân thủ vai trò người quản trị.

Nếu bạn có điện toán đám mây ứng dụng bảo mật trong thuê bao Office 365 của bạn, hãy dùng các bước sau đây:

 1. Đăng nhập vào cổng thông tin Office 365 bằng tài khoản được phân công vai trò người quản trị bảo mật hoặc người quản trị tuân thủ.

 2. Giới thiệu về Office 365 điện toán đám mây ứng dụng bảo mật.

 3. Xem lại của bạn bất thường phát hiện chính sách thông báo cho bạn bằng email về các mẫu hình bất thường có đặc quyền hoạt động quản trị.

Để thêm tài khoản người dùng vai trò người quản trị bảo mật, kết nối với Office 365 PowerShell với tài khoản người quản trị toàn cầu riêng biệt và MFA, điền vào tên người dùng chính của tài khoản người dùng, và sau đó chạy các lệnh này:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

Để thêm tài khoản người dùng vai trò người quản trị tuân thủ, điền vào tên người dùng chính của tài khoản người dùng, và sau đó chạy các lệnh này:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Compliance Administrator"

Thêm bảo vệ cho các tổ chức doanh nghiệp

Sau khi bước 1-3, sử dụng các phương pháp bổ sung để đảm bảo rằng tài khoản người quản trị toàn cầu của bạn và cấu hình mà bạn thực hiện bằng cách sử dụng nó, là an toàn có thể xảy ra.

Có đặc quyền truy nhập Workstation (VUỐT)

Để đảm bảo thực hiện các tác vụ có đặc quyền đặc biệt là an toàn có thể xảy ra, hãy dùng một VUỐT. VUỐT một là một máy tính riêng biệt mà chỉ được dùng cho các nhiệm vụ nhạy cảm cấu hình, chẳng hạn như Office 365 cấu hình đòi hỏi phải có tài khoản người quản trị toàn cầu. Vì máy tính này không được dùng hàng ngày cho trình duyệt Internet hoặc email, nó được bảo vệ tốt hơn từ Internet tấn công và thách thức.

Để được hướng dẫn về cách thiết lập một VUỐT, hãy xem http://aka.ms/cyberpaw.

Quản lý căn cước Azure AD đặc quyền (PIM)

Thay vì có tài khoản người quản trị toàn cầu vĩnh viễn được phân công vai trò người quản trị toàn cục, bạn có thể dùng Azure AD PIM để cho phép theo yêu cầu, chỉ trong thời gian giao vai trò người quản trị toàn cầu khi nó cần thiết.

Thay vì tài khoản người quản trị toàn cầu của bạn là người quản trị cố định, chúng sẽ trở thành người quản trị đủ điều kiện. Vai trò người quản trị toàn cầu là không hoạt động cho đến khi người nào đó cần nó. Sau đó bạn hoàn thành quy trình kích hoạt để thêm vai trò người quản trị toàn cầu vào tài khoản người quản trị toàn cầu cho một khoảng thời gian định trước. Khi thời gian hết hạn, PIM sẽ loại bỏ vai trò người quản trị toàn cầu từ tài khoản người quản trị toàn cầu.

Sử dụng PIM và quy trình này làm giảm đáng kể khoảng thời gian có tài khoản người quản trị toàn cầu của bạn dễ bị tấn công và sử dụng bởi người dùng độc hại.

Để biết thêm thông tin, hãy xem quản lý căn cước cấu hình Azure AD có đặc quyền.

Lưu ý: PIM sẵn dùng với Azure Active Directory Premium P2, vốn được đưa vào tính di động Enterprise + E5 bảo mật (EMS), hoặc bạn có thể mua giấy phép cá nhân cho tài khoản người quản trị toàn cầu của bạn.

Bảo mật thông tin và sự kiện (Xiêm) phần mềm quản lý cho Office 365 ghi nhật ký

Phần mềm Xiêm chạy trên một máy chủ sẽ thực hiện phân tích thời gian thực của cảnh báo bảo mật và sự kiện được tạo bởi ứng dụng và các phần cứng mạng. Để cho phép máy chủ Xiêm để bao gồm Office 365 cảnh báo bảo mật và sự kiện trong phân tích và chức năng báo cáo, tích hợp những mục này trong hệ thống Xiêm của bạn:

Bước tiếp theo

Hãy xem cách thực hành tốt nhất bảo mật cho Office 365.

Phát triển kỹ năng Office của bạn
Khám phá nội dung đào tạo
Sở hữu tính năng mới đầu tiên
Tham gia Người dùng nội bộ Office

Thông tin này có hữu ích không?

Cảm ơn phản hồi của bạn!

Cảm ơn bạn đã phản hồi! Để trợ giúp tốt hơn, có lẽ chúng tôi sẽ kết nối bạn với một trong những nhân viên hỗ trợ Office của chúng tôi.

×