摘要:
若要更有效地攻擊保護您的 Office 365 訂閱,您必須執行下列立即:
-
建立專屬的 Office 365 全域管理員帳戶,然後使用這些僅在必要時。
-
設定多重因素驗證您專屬的 Office 365 全域管理員帳戶,並使用強的第二個驗證。
-
啟用和設定進階安全性管理監控可疑的全域管理員帳戶活動。
Office 365 訂閱,包括資訊蒐集和網路釣魚攻擊的安全性漏洞通常是由損害的 Office 365 全域管理員帳戶認證。在雲端中的安全性是您和 Microsoft 之間的合作關係:
-
Microsoft 雲端服務的內建在信任及安全性的基礎。Microsoft 提供您的安全性控制項,可協助您保護您的資料與應用程式的功能。
-
您擁有您的資料與身分識別,保護其、 您的內部部署資源的安全性和安全性的雲端元件,您可以控制的責任。
保護自己,您必須放在 Microsoft 提供的控制項與功能。
階段 1。建立專用的 Office 365 全域管理員帳戶,並使用這些僅在必要時
有少數系統管理工作的詳細資訊,例如將角色指派給使用者帳戶,需要全域管理員權限。因此,而不是使用每日例行的使用者帳戶已指派的全域管理員角色,立即執行下列動作:
-
決定已指派的全域管理員角色的使用者帳戶的設定。您可以在 Office 365 PowerShell 中使用此命令:
Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
-
登入 Office 365 訂閱已指派的全域管理員角色的使用者帳戶。
-
建立至少一個,最多五個專用的全域管理員的使用者帳戶。使用強式密碼至少 12 字元長。將新帳戶的密碼儲存在 [安全的位置。
-
將全域管理員角色指派給每個新的固定的全域管理員使用者帳戶。
-
登出 Office 365。
-
使用其中一個新的專用的全域管理員使用者帳戶登入。
-
針對每個現有的使用者帳戶的已被指派全域管理員角色的步驟 1:
-
移除的全域管理員角色。
-
指派管理員角色適用於該使用者的工作和責任的帳戶。如需在 Office 365 中的各種管理員角色的詳細資訊,請參閱關於 Office 365 管理員角色。
-
-
登出 Office 365。
結果應該是下列動作:
-
您的訂閱中全域管理員角色的使用者僅限的使用者帳戶是專用的全域管理員帳戶的新的設定。驗證使用下列 PowerShell 命令的 Azure Active Directory 模組的 Windows PowerShell 的 Windows 命令提示字元:
Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
-
所有其他管理您的訂閱的每日例行的使用者帳戶已指派的工作內容與相關聯的管理員角色。
在此開始,您使用登入的專用的全域管理員帳戶僅適用於需要全域管理員權限的工作。將其他系統管理角色指派給使用者帳戶,必須完成所有其他的 Office 365 管理。
附註: 是的需要額外的步驟來為您的每日例行的使用者帳戶登出後再使用專用的全域管理員帳戶登入。不過這只需要完成的偶爾為全域管理員作業。請考慮的全域管理員帳戶違反需要更多的步驟之後,復原您的 Office 365 訂閱。
階段 2。設定多重因素驗證,針對您專屬的 Office 365 全域管理員帳戶與使用強的第二個驗證
多重因素驗證 (MFA) 的全域管理員帳戶需要以外的帳戶名稱和密碼的其他資訊。Office 365 支援下列驗證方法:
-
電話
-
隨機產生的密碼
-
智慧卡 (虛擬或實體)
-
生物特徵辨識裝置
如果您使用的儲存在雲端 (雲端身分識別模型) 僅限的使用者帳戶的小型企業,請立即執行下列動作以設定 MFA 使用電話或文字訊息的驗證碼傳送至智慧型手機中:
-
設定 Office 365 的步驟 2 驗證設定每個專用電話或文字訊息的全域管理員帳戶的驗證方法。
如果您是較大的組織使用同步處理或同盟 Office 365 身分識別模型的您會有更多的驗證選項。如果您已經安全性基礎結構中位置更嚴密的第二個驗證方法,立即執行下列動作:
-
設定 Office 365 的步驟 2 驗證設定每個專用的全域管理員帳戶的適當的驗證方法。
如果想要更嚴密的驗證方法的安全性基礎結構中位置,而運作的 Office 365 MFA,我們強烈建議您立即設定專用的全域管理員帳戶的 MFA 使用電話或文字訊息驗證碼的全域管理員帳戶傳送至智慧型手機作為中期的安全性考量。不要讓您專屬的全域管理員帳戶不提供 MFA 的其他保護。
如需詳細資訊,請參閱規劃 Office 365 部署多重因素驗證。
若要連線至 Office 365 服務 MFA 與 PowerShell,請參閱本文。
階段 3。啟用和設定進階安全性管理監控可疑的全域管理員帳戶活動
進階安全性管理 (ASM) 可讓您建立原則時通知您的訂閱中可疑的行為。ASM 內建到 Office 365 E5,但也有以不同的服務。例如,如果您沒有 Office 365 E5,您可以購買個別 ASM 授權指派全域管理員、 安全性系統管理員,而且規範管理員角色的使用者帳戶。
如果您有 ASM 在 Office 365 訂閱,立即執行下列動作:
若要新增使用者帳戶的安全性系統管理員角色、連線至 Office 365 PowerShell專用的全域管理員帳戶與 MFA,填入使用者主要名稱的使用者帳戶,並執行下列命令:
$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"
若要新增的規範系統管理員角色的使用者帳戶,填入使用者主要名稱的使用者帳戶,並執行下列命令:
$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Compliance Administrator"
下一步
附註: 機器翻譯免責聲明︰本文係以電腦系統翻譯而成,未經人為介入。Microsoft 提供此等機器翻譯旨在協助非英語系使用者輕鬆閱讀 Microsoft 產品、服務及技術相關內容。基於本文乃由機器翻譯而成,因此文中可能出現詞辭、語法、文法上之錯誤。
