保护 Office 365 全局管理员帐户

摘要:从基于破坏的全局管理员帐户的攻击保护您的 Office 365 订阅。

注意:  我们希望能够尽快以你的语言为你提供最新的帮助内容。 本页面是自动翻译的,可能包含语法错误或不准确之处。我们的目的是使此内容能对你有所帮助。可以在本页面底部告诉我们此信息是否对你有帮助吗? 请在此处查看本文的 英文版本 以便参考。

通常,泄露 Office 365 全局管理员帐户的凭据可引发 Office 365 订阅的安全漏洞,包括信息收集和钓鱼攻击。云中的安全性由你和 Microsoft 合作实现:

  • Microsoft 云服务以信任和安全为基础。Microsoft 提供有助于保护数据和应用程序的安全控件和功能。

  • 你拥有数据和标识,并负责保护这些数据和标识、本地资源的安全性,以及你控制的云组件的安全性。

Microsoft 提供的功能来帮助保护您的组织,但它们都将失去效用,只有当您使用它们。如果不使用它们,您可能受到攻击。要保护您的全局管理员帐户,Microsoft 是此处以帮助您进行到详细说明:

  1. 创建专用的 Office 365 全局管理员帐户,并仅在必要时使用这些帐户。

  2. 为专用的 Office 365 全局管理员帐户配置多重身份验证,并使用最强大的辅助身份验证形式。

  3. 启用和配置 Office 365 云应用程序安全监控可疑的全局管理员帐户活动。

注意: 虽然本文致力于全局管理员帐户,您还应考虑是否其他帐户具有广泛的权限,以访问您的订阅,如电子数据展示管理员或安全性和合规性中的数据管理员帐户应保护相同的方式。

阶段 1。创建专用的 Office 365 全局管理员帐户,并仅在必要时使用这些帐户:

有相对较少的管理任务,如到需要全局管理员权限的用户帐户分配角色。因此,而不是使用已分配的全局管理员角色的日常用户帐户,请执行下列步骤操作:

  1. 确定已分配的全局管理员角色的用户帐户的设置。使用此命令 Microsoft Azure Active Directory Module for Windows PowerShell 命令提示符处,可以执行此操作:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. 使用已分配全局管理员角色的用户帐户登录 Office 365 订阅。

  3. 创建至少 1 个最多 5 个专用的全局管理员用户帐户。使用至少 12 个字符长度的强密码。将新帐户的密码存储在安全位置。

  4. 将全局管理员角色分配给每个新的专用全局管理员用户帐户。

  5. 注销 Office 365。

  6. 使用其中一个新的专用全局管理员用户帐户登录。

  7. 对于每个在步骤 1 中已分配全局管理员角色的现有用户帐户:

    • 删除全局管理员角色。

    • 适用于该用户的作业函数和责任帐户分配管理员角色。有关在 Office 365 中的各种管理员角色的详细信息,请参阅有关 Office 365 管理员角色

  8. 注销 Office 365。

结果应为:

  • 您的订阅中具有全局管理员角色的唯一用户帐户是专用的全局管理员帐户的新组。使用以下 PowerShell 命令验证此内容:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • 管理订阅的所有其他日常用户帐户均分配有与其工作职责相关的管理员角色。

从此刻起,仅针对需要全局管理员权限的任务使用专用的全局管理员帐户登录。必须通过向用户帐户分配其他管理员角色来完成所有其他 Office 365 管理任务。

注意: 是的,这需要执行其他步骤,以注销日常用户帐户,然后使用专用的全局管理员帐户登录。但只是偶尔需要对全局管理员操作执行此步骤。全局管理员帐户被盗用后恢复 Office 365 订阅需执行更多步骤。

阶段 2。为专用的 Office 365 全局管理员帐户配置多重身份验证,并使用最强大的辅助身份验证形式

多重身份验证 (MFA) 全局管理员帐户要求之外的帐户名称和密码的附加信息。Office 365 支持这些验证方法:

  • 电话联络

  • 随机生成的密码

  • 智能卡(虚拟或物理)

  • 生物识别设备

如果您使用的用户帐户存储在云中 (云标识模型) 只小型企业版,请使用以下步骤以配置 MFA 使用电话呼叫或发送到智能手机文本消息验证代码:

  1. 启用 MFA

  2. 为 Office 365 设置双重验证,将电话呼叫或短信配置为每个专用全局管理员帐户的验证方法。

如果您正在使用的同步或联合的 Office 365 身份模型大型组织,您有其他验证选项。如果您已经有安全基础结构中更强大的辅助身份验证方法的位置,请使用以下步骤:

  1. 启用 MFA

  2. 为 Office 365 设置双重验证,以便为每个专用的全局管理员帐户配置恰当的验证方法。

如果所需的更强验证方法安全基础结构不是位置并为 Office 365 MFA 正常工作,我们强烈建议您与 MFA 配置专用全局管理员帐户使用电话呼叫或短信作为临时安全措施全局管理员帐户发送到智能手机的验证码。不要专用全局管理员帐户不 MFA 提供的更多保护。

有关详细信息,请参阅规划 Office 365 部署多重身份验证

若要使用 MFA 和 PowerShell 连接到 Office 365 服务,请参阅本文

阶段 3。启用和配置 Office 365 云应用程序安全监控可疑的全局管理员帐户活动

Office 365 云应用程序安全允许您创建策略通知您您的订阅中的可疑行为。云应用程序安全内置于 Office 365 E5,但也是单独的服务。例如,如果您没有 Office 365 E5,您可以购买各个云应用程序安全许可证分配全局管理员、 安全管理员和合规性管理员角色的用户帐户。

如果您有 Office 365 订阅中的云应用程序安全,请使用以下步骤:

  1. 登录到 Office 365 门户中分配的安全管理员或合规性管理员角色的帐户。

  2. 打开 Office 365 云应用程序安全

  3. 创建异常检测策略时通知您通过电子邮件的特权的管理活动的异常模式。

要添加到安全管理员角色,连接到 Office 365 PowerShell MFA 专用全局管理员帐户与用户帐户,请填写用户帐户,用户主体名称,然后运行以下命令:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

若要添加到合规性管理员角色的用户帐户,请填写用户主体名称的用户帐户,,然后运行以下命令:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

全局管理员帐户的其他保护

阶段 1-3,请使用这些附加方法来确保全局管理员帐户,并使用它执行配置后,将尽可能安全。

授权的访问工作站 (爪)

若要确保执行特权任务尽可能安全,请使用爪。爪是仅用于敏感配置任务,例如需要全局管理员帐户的 Office 365 配置的专用的计算机。Internet 浏览或电子邮件未每天使用此计算机,因为它是更好地保护从 Internet 攻击和威胁。

有关如何设置爪说明,请参阅http://aka.ms/cyberpaw

Azure AD 特权身份管理 (PIM)

而不是让您将永久分配全局管理员角色的全局管理员帐户,您可以使用 Azure AD PIM 需要时启用点播、 只在时间分配全局管理员角色。

而不是全局管理员帐户被永久管理员,他们将变为符合条件的管理员。全局管理员角色处于非活动状态,直到某人需要它。然后完成激活过程为在预定的时间添加到全局管理员帐户的全局管理员角色。时间过期,PIM 从全局管理员帐户中删除全局管理员角色。

使用 PIM,此过程大大减少了的全局管理员帐户很容易攻击和恶意用户占用的时间量。

有关详细信息,请参阅配置 Azure AD 特权身份管理

注意: PIM 可用与 Azure Active Directory Premium P2,这是随附了企业移动 + 安全 (EMS) E5,或者您可以购买许可证单个全局管理员帐户。

Office 365 日志记录的安全信息和事件管理 (SIEM) 软件

在服务器上运行的 SIEM 软件执行安全警报和事件创建的应用程序和网络硬件实时的分析。若要允许您 SIEM 服务器,Office 365 的安全警报和事件包括在其分析和报告功能,集成这些 SIEM 系统中:

下一步

请参阅Office 365 安全最佳做法

扩展你的技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×