保護您的 Office 365 全域管理員帳戶

摘要:保護您的全域管理員帳戶,請執行以下步驟。

重要:  本文係由機器翻譯而成,請參閱免責聲明。本文的英文版本請見這裡,以供參考。

若要更有效地攻擊根據洩露全域管理員帳戶的保護您的 Office 365 訂閱,您必須執行下列立即

  1. 建立專屬的 Office 365 全域管理員帳戶,然後使用這些僅在必要時。

  2. 設定多重因素驗證您專屬的 Office 365 全域管理員帳戶,並使用強的第二個驗證。

  3. 啟用和設定 Office 365 雲端應用程式安全性監控可疑的全域管理員帳戶活動。

Office 365 訂閱,包括資訊蒐集和網路釣魚攻擊的安全性漏洞通常是由損害的 Office 365 全域管理員帳戶認證。在雲端中的安全性是您和 Microsoft 之間的合作關係:

  • Microsoft 雲端服務的內建在信任及安全性的基礎。Microsoft 提供您的安全性控制項,可協助您保護您的資料與應用程式的功能。

  • 您擁有您的資料與身分識別,保護其、 您的內部部署資源的安全性和安全性的雲端元件,您可以控制的責任。

保護自己,您必須放在 Microsoft 提供的控制項與功能。

附註: 雖然這份文件,將焦點放在 [全域管理員帳戶,您也必須考量是否有其他帳戶使用廣泛的權限來存取您的訂閱,例如 eDiscovery 系統管理員或安全性或法規遵循中的資料系統管理員帳戶應該會受到保護,以相同的方式。

階段 1。建立專用的 Office 365 全域管理員帳戶,並使用這些僅在必要時

有少數系統管理工作的詳細資訊,例如將角色指派給使用者帳戶,需要全域管理員權限。因此,而不是使用每日例行的使用者帳戶已指派的全域管理員角色,立即執行下列動作

  1. 決定已指派的全域管理員角色的使用者帳戶的設定。您可以在 Office 365 PowerShell 中使用此命令:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  2. 登入 Office 365 訂閱已指派的全域管理員角色的使用者帳戶。

  3. 建立至少一個,最多五個專用的全域管理員的使用者帳戶。使用強式密碼至少 12 字元長。將新帳戶的密碼儲存在 [安全的位置。

  4. 將全域管理員角色指派給每個新的固定的全域管理員使用者帳戶。

  5. 登出 Office 365。

  6. 使用其中一個新的專用的全域管理員使用者帳戶登入。

  7. 針對每個現有的使用者帳戶的已被指派全域管理員角色的步驟 1:

    • 移除的全域管理員角色。

    • 指派管理員角色適用於該使用者的工作和責任的帳戶。如需在 Office 365 中的各種管理員角色的詳細資訊,請參閱關於 Office 365 管理員角色

  8. 登出 Office 365。

結果應該是下列動作:

  • 您的訂閱中全域管理員角色的使用者僅限的使用者帳戶是專用的全域管理員帳戶的新的設定。驗證使用下列 PowerShell 命令的 Azure Active Directory 模組的 Windows PowerShell 的 Windows 命令提示字元:

    Get-MsolRoleMember -RoleObjectId (Get-MsolRole -RoleName "Company Administrator").ObjectId
  • 所有其他管理您的訂閱的每日例行的使用者帳戶已指派的工作內容與相關聯的管理員角色。

在此開始,您使用登入的專用的全域管理員帳戶僅適用於需要全域管理員權限的工作。將其他系統管理角色指派給使用者帳戶,必須完成所有其他的 Office 365 管理。

附註: 是的需要額外的步驟來為您的每日例行的使用者帳戶登出後再使用專用的全域管理員帳戶登入。不過這只需要完成的偶爾為全域管理員作業。請考慮的全域管理員帳戶違反需要更多的步驟之後,復原您的 Office 365 訂閱。

階段 2。設定多重因素驗證,針對您專屬的 Office 365 全域管理員帳戶與使用強的第二個驗證

多重因素驗證 (MFA) 的全域管理員帳戶需要以外的帳戶名稱和密碼的其他資訊。Office 365 支援下列驗證方法:

  • 電話

  • 隨機產生的密碼

  • 智慧卡 (虛擬或實體)

  • 生物特徵辨識裝置

如果您使用的儲存在雲端 (雲端身分識別模型) 僅限的使用者帳戶的小型企業,請立即執行下列動作以設定 MFA 使用電話或文字訊息的驗證碼傳送至智慧型手機中:

  1. 啟用 MFA

  2. 設定 Office 365 的步驟 2 驗證設定每個專用電話或文字訊息的全域管理員帳戶的驗證方法。

如果您是較大的組織使用同步處理或同盟 Office 365 身分識別模型的您會有更多的驗證選項。如果您已經安全性基礎結構中位置更嚴密的第二個驗證方法,立即執行下列動作

  1. 啟用 MFA

  2. 設定 Office 365 的步驟 2 驗證設定每個專用的全域管理員帳戶的適當的驗證方法。

如果想要更嚴密的驗證方法的安全性基礎結構不是位置和運作的 Office 365 MFA 中,我們強烈建議您立即使用 MFA 設定專用的全域管理員帳戶使用電話或文字中期安全性措施傳送至智慧型手機的全域管理員帳戶的郵件驗證碼。不要讓您專屬的全域管理員帳戶不提供 MFA 的其他保護。

如需詳細資訊,請參閱規劃 Office 365 部署多重因素驗證

若要連線至 Office 365 服務 MFA 與 PowerShell,請參閱本文

階段 3。啟用和設定 Office 365 雲端應用程式安全性監控可疑的全域管理員帳戶活動

Office 365 雲端應用程式的安全性,可讓您建立原則時通知您的訂閱中可疑的行為。雲端應用程式的安全性內建到 Office 365 E5,但也有以不同的服務。例如,如果您沒有 Office 365 E5,您可以購買個別雲端應用程式的安全性授權指派全域管理員、 安全性系統管理員,而且規範管理員角色的使用者帳戶。

如果您有雲端應用程式的安全性,在您的 Office 365 訂閱,立即執行下列動作

  1. 登入 Office 365 入口網站指派安全性系統管理員或法規遵循管理員角色的帳戶。

  2. 開啟 Office 365 雲端應用程式的安全性

  3. 透過電子郵件的權限管理活動的異常模式時通知您建立異常偵測原則

若要新增的安全性系統管理員角色、連線至 Office 365 PowerShell專用的全域管理員帳戶與 MFA 使用者帳戶,填入 [使用者主要名稱的使用者帳戶,並執行下列動作命令:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress $upn -RoleName "Security Administrator"

若要新增的規範系統管理員角色的使用者帳戶,填入使用者主要名稱的使用者帳戶,並執行下列命令:

$upn="<User principal name of the account>"
Add-MsolRoleMember -RoleMemberEmailAddress  $upn -RoleName "Compliance Administrator"

全域管理員帳戶的其他保護

階段 1-3,使用這些額外的方法,以確保您的全域管理員帳戶,您使用它來執行設定之後,就盡可能項目。

有權限的存取工作站 (爪)

若要確保儘可能安全高權限的工作的執行,使用爪。爪是專用的電腦,僅用於機密設定工作,例如需要全域管理員帳戶的 Office 365 設定。這台電腦沒有每日使用網際網路瀏覽或電子郵件,因為它是更受保護網際網路攻擊及威脅。

如需如何設定爪指示,請參閱http://aka.ms/cyberpaw

Azure AD 權限的身分識別管理 (PIM)

而不是讓您將會永久指派全域管理員角色的全域管理員帳戶,您可以使用 Azure AD PIM 需要時,啟用視、 只時間工作分派的全域管理員角色。

而不是您正在的永久管理員的全域管理員帳戶,就會變成符合資格的管理員。全域管理員角色,停用,直到需要有人。然後啟動程序完成全域管理員角色加入預先定義的一段時間的全域管理員帳戶。當時間到期時,PIM 會將全域管理員角色,移除全域管理員帳戶。

使用 PIM 和此程序會大幅降低的全域管理員帳戶受到攻擊,並使用惡意使用者的時間量。

如需詳細資訊,請參閱設定 Azure AD 有權限的身分識別管理

附註: PIM 皆可取得 Azure Active Directory 進階版 P2,是隨附於企業版行動性 + 安全性 (EMS) E5,或您可以購買個別授權的全域管理員帳戶。

Office 365 記錄的安全性資訊和事件管理 (SIEM) 軟體

在伺服器上執行的 SIEM 軟體執行即時分析的安全性警訊與應用程式與網路硬體所建立的事件。若要允許 SIEM 伺服器,Office 365 的安全性警告和事件在其分析與報告函數,整合 SIEM 系統中的下列動作:

下一步

請參閱Office 365 的安全性最佳作法

附註: 機器翻譯免責聲明︰本文係以電腦系統翻譯而成,未經人為介入。Microsoft 提供此等機器翻譯旨在協助非英語系使用者輕鬆閱讀 Microsoft 產品、服務及技術相關內容。基於本文乃由機器翻譯而成,因此文中可能出現詞辭、語法、文法上之錯誤。

擴展您的技能
探索訓練
優先取得新功能
加入 Office 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與其中一位 Office 支援專員連絡以深入了解您的意見。

×