保护 Office 365 全局管理员帐户

重要:  本文是由机器翻译的,请参阅免责声明。请在 此处 中查找本文的英文版本以便参考。

摘要:保护您的全局管理员帐户,这些步骤。

若要更好地从基于破坏的全局管理员帐户的攻击保护您的 Office 365 订阅,您必须执行以下目前

  1. 创建专用的 Office 365 全局管理员帐户,并仅在必要时使用这些帐户。

  2. 为专用的 Office 365 全局管理员帐户配置多重身份验证,并使用最强大的辅助身份验证形式。

  3. 启用和配置 Office 365 云应用程序安全监控可疑的全局管理员帐户活动。

通常,泄露 Office 365 全局管理员帐户的凭据可引发 Office 365 订阅的安全漏洞,包括信息收集和钓鱼攻击。云中的安全性由你和 Microsoft 合作实现:

  • Microsoft 云服务以信任和安全为基础。Microsoft 提供有助于保护数据和应用程序的安全控件和功能。

  • 你拥有数据和标识,并负责保护这些数据和标识、本地资源的安全性,以及你控制的云组件的安全性。

若要保护自己,必须实施 Microsoft 提供的控件和功能。

注意: 虽然本文致力于全局管理员帐户,您还应考虑是否其他帐户具有广泛的权限,以访问您的订阅,如电子数据展示管理员或安全性和合规性中的数据管理员帐户应保护相同的方式。

阶段 1。创建专用的 Office 365 全局管理员帐户,并仅在必要时使用这些帐户:

需要全局管理员权限的管理任务(例如向用户帐户分配角色)相对较少。因此,请立即执行以下操作,而不是使用已分配全局管理员角色的日常用户帐户:

  1. 确定已分配全局管理员角色的用户帐户组。为此,可在 Office 365 PowerShell 中使用以下命令:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. 使用已分配全局管理员角色的用户帐户登录 Office 365 订阅。

  3. 创建至少 1 个最多 5 个专用的全局管理员用户帐户。使用至少 12 个字符长度的强密码。将新帐户的密码存储在安全位置。

  4. 将全局管理员角色分配给每个新的专用全局管理员用户帐户。

  5. 注销 Office 365。

  6. 使用其中一个新的专用全局管理员用户帐户登录。

  7. 对于每个在步骤 1 中已分配全局管理员角色的现有用户帐户:

    • 删除全局管理员角色。

    • 适用于该用户的作业函数和责任帐户分配管理员角色。有关在 Office 365 中的各种管理员角色的详细信息,请参阅有关 Office 365 管理员角色

  8. 注销 Office 365。

结果应如下:

  • 订阅中唯一具备全局管理员角色的用户帐户是一组新的专用全局管理员帐户。在 Windows PowerShell 的 Microsoft Azure Active Directory 模块命令提示符处,使用以下 PowerShell 命令对此进行验证:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • 管理订阅的所有其他日常用户帐户均分配有与其工作职责相关的管理员角色。

从此刻起,仅针对需要全局管理员权限的任务使用专用的全局管理员帐户登录。必须通过向用户帐户分配其他管理员角色来完成所有其他 Office 365 管理任务。

注意: 是的,这需要执行其他步骤,以注销日常用户帐户,然后使用专用的全局管理员帐户登录。但只是偶尔需要对全局管理员操作执行此步骤。全局管理员帐户被盗用后恢复 Office 365 订阅需执行更多步骤。

阶段 2。为专用的 Office 365 全局管理员帐户配置多重身份验证,并使用最强大的辅助身份验证形式

全局管理员帐户的多重身份验证 (MFA) 需要帐户名称和密码以外的其他信息。Office 365 支持以下验证方法:

  • 电话联络

  • 随机生成的密码

  • 智能卡(虚拟或物理)

  • 生物识别设备

如果你是使用仅存储在云中的用户帐户(云身份模型)的小型企业,请立即执行下列操作,使用电话呼叫或发送到智能手机的短信验证码配置 MFA:

  1. 启用 MFA

  2. 为 Office 365 设置双重验证,将电话呼叫或短信配置为每个专用全局管理员帐户的验证方法。

如果你是使用同步或联合 Office 365 身份模型的大型组织,则有更多验证选项。如果已拥有安全基础结构作为较强辅助身份验证方法,请立即执行下列操作

  1. 启用 MFA

  2. 为 Office 365 设置双重验证,以便为每个专用的全局管理员帐户配置恰当的验证方法。

如果不具有所需较强验证方法的安全基础结构,或者其不适用于 Office 365 MFA,强烈建议你立即配置具有 MFA 的专用全局管理员帐户,方法是使用电话呼叫或发送到智能手机的短信验证码作为全局管理员帐户的临时安全措施。切勿让专用全局管理员帐户缺少 MFA 提供的额外保护。

有关详细信息,请参阅规划 Office 365 部署多重身份验证

若要使用 MFA 和 PowerShell 连接到 Office 365 服务,请参阅本文

阶段 3。启用和配置 Office 365 云应用程序安全监控可疑的全局管理员帐户活动

Office 365 云应用程序安全允许您创建策略通知您您的订阅中的可疑行为。云应用程序安全内置于 Office 365 E5,但也是单独的服务。例如,如果您没有 Office 365 E5,您可以购买各个云应用程序安全许可证分配全局管理员、 安全管理员和合规性管理员角色的用户帐户。

如果您在 Office 365 订阅,请立即执行下列有云应用程序安全:

  1. 登录到 Office 365 门户中分配的安全管理员或合规性管理员角色的帐户。

  2. 打开 Office 365 云应用程序安全

  3. 创建异常检测策略时通知您通过电子邮件的特权的管理活动的异常模式。

若要向安全管理员角色添加用户帐户,请使用专用的全局管理员帐户和 MFA 连接到 Office 365 PowerShell,填写用户帐户的用户主体名称,然后运行以下命令:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

若要向符合性管理员角色添加用户帐户,请填写用户帐户的用户主体名称,然后运行以下命令:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

全局管理员帐户的其他保护

阶段 1-3,请使用这些附加方法来确保全局管理员帐户,并使用它执行配置后,将尽可能安全。

授权的访问工作站 (爪)

若要确保执行特权任务尽可能安全,请使用爪。爪是仅用于敏感配置任务,例如需要全局管理员帐户的 Office 365 配置的专用的计算机。Internet 浏览或电子邮件未每天使用此计算机,因为它是更好地保护从 Internet 攻击和威胁。

有关如何设置爪说明,请参阅http://aka.ms/cyberpaw

Azure AD 特权身份管理 (PIM)

而不是让您将永久分配全局管理员角色的全局管理员帐户,您可以使用 Azure AD PIM 需要时启用点播、 只在时间分配全局管理员角色。

在其他单词,而不是全局管理员帐户被永久的管理员,他们将变为符合条件的管理员。全局管理员角色处于非活动状态,直到某人需要它。然后完成激活过程为在预定的时间添加到全局管理员帐户的全局管理员角色。时间过期,PIM 从全局管理员帐户中删除全局管理员角色。

使用 PIM,此过程大大减少了的全局管理员帐户很容易攻击和恶意用户占用的时间量。

有关详细信息,请参阅配置 Azure AD 特权身份管理

注意: PIM 可用与 Azure Active Directory Premium P2,这是随附了企业移动 + 安全 (EMS) E5,或者您可以购买许可证单个全局管理员帐户。

Office 365 日志记录的安全信息和事件管理 (SIEM) 软件

SIEM 软件和运行它的服务器执行安全警报和事件创建的应用程序和网络硬件实时的分析。若要允许您 SIEM 服务器,Office 365 的安全警报和事件包括在其分析和报告功能,集成 SIEM 系统中的下列操作:

下一步

请参阅Office 365 安全最佳做法

注意: 机器翻译免责声明:本文是由无人工介入的计算机系统翻译的。Microsoft 提供机器翻译是为了帮助非英语国家/地区用户方便阅读有关 Microsoft 产品、服务和技术的内容。由于机器翻译的原因,本文可能包含词汇、语法或文法方面的错误。

扩展你的技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×