附註: 我們想要以您的語言,用最快的速度為您提供最新的說明內容。 本頁面是經由自動翻譯而成,因此文中可能有文法錯誤或不準確之處。讓這些內容對您有所幫助是我們的目的。希望您能在本頁底部告訴我們這項資訊是否有幫助。 此為 英文文章 出處,以供參考。
摘要:從基礎洩露全域管理員帳戶的保護您的 Office 365 訂閱。
Office 365 訂閱,包括資訊蒐集和網路釣魚攻擊的安全性漏洞通常是由損害的 Office 365 全域管理員帳戶認證。在雲端中的安全性是您和 Microsoft 之間的合作關係:
-
Microsoft 雲端服務的內建在信任及安全性的基礎。Microsoft 提供您的安全性控制項,可協助您保護您的資料與應用程式的功能。
-
您擁有您的資料與身分識別,保護其、 您的內部部署資源的安全性和安全性的雲端元件,您可以控制的責任。
Microsoft 提供的功能,以協助保護您的組織,但只有當您使用這些更有效率。如果您不使用它們,您可能會受到攻擊。若要保護您的全域管理員帳戶,Microsoft 以下是可協助您要的詳細指示:
-
建立專屬的 Office 365 全域管理員帳戶,然後使用這些僅在必要時。
-
設定多重因素驗證您專屬的 Office 365 全域管理員帳戶,並使用強的第二個驗證。
-
啟用和設定 Office 365 雲端應用程式安全性監控可疑的全域管理員帳戶活動。
附註: 雖然這份文件,將焦點放在 [全域管理員帳戶,您也必須考量是否有其他帳戶使用廣泛的權限來存取您的訂閱,例如 eDiscovery 系統管理員或安全性或法規遵循中的資料系統管理員帳戶應該會受到保護,以相同的方式。
步驟 1。建立專用的 Office 365 全域管理員帳戶,並使用這些僅在必要時
有少數系統管理工作的詳細資訊,例如將角色指派給使用者帳戶,需要全域管理員權限。因此,而不是使用每日例行的使用者帳戶已指派的全域管理員角色,請執行下列步驟:
-
決定已指派的全域管理員角色的使用者帳戶的設定。您可以使用這個命令,在 Microsoft Azure Active Directory 模組的 Windows PowerShell 命令提示字元:
Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
-
登入 Office 365 訂閱已指派的全域管理員角色的使用者帳戶。
-
建立至少一個,最多五個專用的全域管理員的使用者帳戶。使用強式密碼至少 12 字元長。如需詳細資訊,請參閱建立強式密碼。將新帳戶的密碼儲存在 [安全的位置。
-
將全域管理員角色指派給每個新的固定的全域管理員使用者帳戶。
-
登出 Office 365。
-
使用其中一個新的專用的全域管理員使用者帳戶登入。
-
針對每個現有的使用者帳戶的已被指派全域管理員角色的步驟 1:
-
移除的全域管理員角色。
-
指派管理員角色適用於該使用者的工作和責任的帳戶。如需在 Office 365 中的各種管理員角色的詳細資訊,請參閱關於 Office 365 管理員角色。
-
-
登出 Office 365。
結果應該是:
-
您的訂閱中全域管理員角色的使用者僅限的使用者帳戶是專用的全域管理員帳戶的新的設定。驗證使用下列 PowerShell 命令:
Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
-
所有其他管理您的訂閱的每日例行的使用者帳戶已指派的工作內容與相關聯的管理員角色。
在此開始,您使用登入的專用的全域管理員帳戶僅適用於需要全域管理員權限的工作。將其他系統管理角色指派給使用者帳戶,必須完成所有其他的 Office 365 管理。
附註: 是的需要額外的步驟來為您的每日例行的使用者帳戶登出後再使用專用的全域管理員帳戶登入。不過這只需要完成的偶爾為全域管理員作業。請考慮的全域管理員帳戶違反需要更多的步驟之後,復原您的 Office 365 訂閱。
步驟 2。設定多重因素驗證,針對您專屬的 Office 365 全域管理員帳戶與使用強的第二個驗證
多重因素驗證 (MFA) 的全域管理員帳戶需要以外的帳戶名稱和密碼的其他資訊。Office 365 支援這些驗證方法:
-
電話
-
隨機產生的密碼
-
智慧卡 (虛擬或實體)
-
生物特徵辨識裝置
如果您使用的儲存在雲端 (雲端身分識別模型) 僅限的使用者帳戶的小型企業,請按照以下步驟以設定 MFA 使用電話或傳送至智慧型手機文字訊息驗證碼:
-
設定 Office 365 的步驟 2 驗證設定每個專用電話或文字訊息的全域管理員帳戶的驗證方法。
如果您是較大的組織使用的 Office 365 的混合式身分識別模型的您會有更多的驗證選項。如果您已可供更嚴密的次要驗證方法有安全性基礎結構,請按照以下步驟:
-
設定 Office 365 的步驟 2 驗證設定每個專用的全域管理員帳戶的適當的驗證方法。
如果想要更嚴密的驗證方法的安全性基礎結構不是位置和運作的 Office 365 MFA 中,我們強烈建議您在使用 MFA 設定專用的全域管理員帳戶使用電話或文字訊息中期安全性措施傳送至智慧型手機的全域管理員帳戶的驗證碼。不要讓您專屬的全域管理員帳戶不提供 MFA 的其他保護。
如需詳細資訊,請參閱規劃 Office 365 部署多重因素驗證。
若要連線至 Office 365 服務 MFA 與 PowerShell,請參閱本文。
步驟 3。監視可疑的全域管理員帳戶活動
Office 365 雲端應用程式的安全性,可讓您建立原則時通知您的訂閱中可疑的行為。雲端應用程式的安全性內建到 Office 365 E5,但也有以不同的服務。例如,如果您沒有 Office 365 E5,您可以購買個別雲端應用程式的安全性授權指派全域管理員、 安全性系統管理員,而且規範管理員角色的使用者帳戶。
如果您有 Office 365 訂閱中的雲端應用程式的安全性,請使用下列步驟:
-
登入 Office 365 入口網站指派安全性系統管理員或法規遵循管理員角色的帳戶。
-
檢閱您的異常偵測原則時通知您使用的權限管理活動的異常模式的電子郵件。
若要新增的安全性系統管理員角色的使用者帳戶,連線至 Office 365 PowerShell與專用的全域管理員帳戶和 MFA,填入 [使用者主要名稱的使用者帳戶,並執行下列命令:
$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"
若要新增的規範系統管理員角色的使用者帳戶,填入使用者主要名稱的使用者帳戶,並執行下列命令:
$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Compliance Administrator"
其他的企業組織的保護
步驟 1-3,使用這些額外的方法,以確保您的全域管理員帳戶,您使用它來執行設定之後,就盡可能項目。
有權限的存取工作站 (爪)
若要確保儘可能安全高權限的工作的執行,使用爪。爪是專用的電腦,僅用於機密設定工作,例如需要全域管理員帳戶的 Office 365 設定。這台電腦沒有每日使用網際網路瀏覽或電子郵件,因為它是更受保護網際網路攻擊及威脅。
如需如何設定爪指示,請參閱http://aka.ms/cyberpaw。
Azure AD 權限的身分識別管理 (PIM)
而不是讓您將會永久指派全域管理員角色的全域管理員帳戶,您可以使用 Azure AD PIM 需要時,啟用視、 只時間工作分派的全域管理員角色。
而不是您正在的永久管理員的全域管理員帳戶,就會變成符合資格的系統管理員。全域管理員角色,停用,直到需要有人。然後啟動程序完成全域管理員角色加入預先定義的一段時間的全域管理員帳戶。當時間到期時,PIM 會將全域管理員角色,移除全域管理員帳戶。
使用 PIM 和此程序會大幅降低的全域管理員帳戶受到攻擊,並使用惡意使用者的時間量。
如需詳細資訊,請參閱設定 Azure AD 有權限的身分識別管理。
附註: PIM 皆可取得 Azure Active Directory 進階版 P2,是隨附於企業版行動性 + 安全性 (EMS) E5,或您可以購買個別授權的全域管理員帳戶。
Office 365 記錄的安全性資訊和事件管理 (SIEM) 軟體
在伺服器上執行的 SIEM 軟體執行即時分析的安全性警訊與應用程式與網路硬體所建立的事件。若要允許 SIEM 伺服器,Office 365 的安全性警告和事件在其分析與報告函數,整合這些 SIEM 系統中:
-
Azure AD
如需詳細資訊,請參閱Azure 資源到 SIEM 系統整合記錄。
-
Office 365 雲端 App 安全性
如需詳細資訊,請參閱整合 Office 365 雲端應用程式的安全性與您 SIEM 伺服器。