שלב 2: הגנה על חשבונות הרשאות Microsoft 365 שלך

מאמר זה חל הן על Microsoft 365 Enterprise והן Office 365 Enterprise.

עיין בכל התוכן שלנו לעסקים קטנים בעזרה לעסקים קטנים בעזרה ולימוד לעסקים קטנים.

הפרות אבטחה של דייר של Microsoft 365, כולל תקיפות קציר מידע ודיוג, מתבצעות בדרך כלל על-ידי התפשרות על האישורים של חשבון בעל הרשאות Microsoft 365. אבטחה בענן היא שותפות בינך לבין Microsoft:

• שירותי הענן של Microsoft בנויים על בסיס אמון ואבטחה. Microsoft מספקת לך בקרות ויכולות אבטחה שיעזרו לך להגן על הנתונים והאפליקציות שלך.

• הנתונים והזיהויות שלך בבעלותך והאחריות להגן עליהם, אבטחת המשאבים המקומיים שלך והאבטחה של רכיבי הענן שאתה שולט בהם.

Microsoft מספקת יכולות כדי לסייע בהגנה על הארגון שלך, אך הן יעילות רק אם אתה משתמש בהן. אם לא תשתמש בהם, ייתכן שאתה פגיע לתקיפה. כדי להגן על החשבונות המוגנים שלך, Microsoft כאן כדי לעזור לך עם הוראות מפורטות ל:

1. צור חשבונות ייעודיים, הרשאות, מבוססי ענן והשתמש בהם רק בעת הצורך.

2. קבע תצורה של אימות רב-גורמי (MFA) עבור החשבונות הייעודי שלך ב- Microsoft 365 והשתמש בתבנית החזקה ביותר של אימות משני.

3. הגן על חשבונות הרשאות באמצעות אפס אמון זהות וגישה למכשירים.

הערה

כדי לאבטח את התפקידים המומלצים שלך, עיין בשיטות Microsoft Entra לתפקידים אלה לאבטחת גישה הרשאה לדייר שלך.

1. צור חשבונות משתמשים ייעודיים, הרשאות מבוססי ענן והשתמש בהם רק בעת הצורך

במקום להשתמש בחשבונות משתמשים יומיומיים שהוקצו להם תפקידי מנהל מערכת, צור חשבונות משתמשים ייעודיים בעלי תפקידי מנהל מערכת ב- Microsoft Entra מזהה.

מהרגע הזה והלאה, תיכנס באמצעות החשבונות הייעודיים המוהרשאות רק עבור משימות הדורשות הרשאות מנהל מערכת. יש לבצע את כל הניהולים האחרים של Microsoft 365 על-ידי הקצאת תפקידי ניהול אחרים בחשבונות משתמשים.

הערה

פעולה זו דורשת שלבים נוספים כדי לצאת כחשבון המשתמש היומיומי שלך ולהיכנס באמצעות חשבון מנהל מערכת ייעודי. עם זאת, יש לבצע זאת מעת לעת רק עבור פעולות מנהל מערכת. שקול לשחזר את מנוי Microsoft 365 שלך לאחר הפרת חשבון מנהל מערכת דורשת שלבים רבים נוספים.

בנוסף, עליך ליצור חשבונות גישה לשעת חירום כדי למנוע בטעות תינעל מחוץ Microsoft Entra מזהה.

באפשרותך להמשיך להגן על החשבונות המורשים שלך באמצעות Microsoft Entra Privileged Identity Management (PIM) עבור הקצאה לפי דרישה, בזמן של תפקידי מנהל מערכת.

2. קביעת תצורה של אימות רב-גורמי עבור חשבונות ייעודיים של Microsoft 365

אימות רב-גורמי (MFA) דורש מידע נוסף מעבר לשם החשבון ולסיסמה. Microsoft 365 תומך בשיטות אימות נוספות אלה:

• האפליקציה Microsoft Authenticator
• שיחת טלפון
• קוד אימות שנוצר באופן אקראי נשלח באמצעות הודעת טקסט
• כרטיס חכם (וירטואלי או פיזי) (דורש אימות מאוחד)
• התקן ביומטרי
• אסימון Oauth

הערה

עבור ארגונים שבהם יש לציית לתקנים הלאומיים של המכון לתקנים ולטכנולוגיה (NIST), השימוש בשיטות אימות נוספות המבוססות על הודעות טקסט או שיחת טלפון מוגבל. לחץ כאן לקבלת הפרטים.

אם אתה עסק קטן שמשתמש בחשבונות משתמשים המאוחסנים רק בענן (מודל הזהות בענן בלבד), הגדר את MFA כדי לקבוע את התצורה של MFA באמצעות שיחת טלפון או קוד אימות של הודעת טקסט שנשלח לטלפון חכם עבור כל חשבון ייעודי בעל הרשאה.

אם אתה ארגון גדול יותר המשתמש במודל זהות היברידית של Microsoft 365, יש לך אפשרויות אימות נוספות. אם כבר יש לך את תשתית האבטחה עבור שיטת אימות משנית חזקה יותר, הגדר את MFA והגדר כל חשבון ייעודי בעל הרשאה עבור שיטת האימות המתאימה.

אם תשתית האבטחה עבור שיטת האימות החזקה הרצויה אינה קיימת ולתפקד עבור Microsoft 365 MFA, מומלץ מאוד להגדיר חשבונות ייעודיים עם MFA באמצעות האפליקציה Microsoft Authenticator, שיחת טלפון או קוד אימות של הודעת טקסט שנשלח לטלפון חכם עבור החשבונות המורשים שלך כמדידת אבטחה ביניים. אל תשאיר את החשבונות הייעודי שלך ללא ההגנה הנוסף שסופקה על-ידי MFA.

לקבלת מידע נוסף, ראה MFA עבור Microsoft 365.

3. הגנה על חשבונות מנהל מערכת אפס אמון המלצות לגבי זהות וגישה למכשירים

כדי להבטיח כוח עבודה מאובטח ופרודוקטיבי, Microsoft מספקת ערכה של המלצות לגבי זהות וגישה למכשירים. עבור זהות, השתמש בהמלצות ובהגדרות במאמרים אלה:

• דרישות מוקדמות
• פריטי מדיניות נפוצים של זהות וגישה למכשירים

הגנות נוספות עבור ארגונים

השתמש בשיטות נוספות אלה כדי להבטיח שהחשבון המוהרשאות שלך, והתצורה שתבצע באמצעותו, מאובטחים ככל האפשר.

תחנת עבודה עם גישה הרשאה

כדי להבטיח שהביצוע של משימות עם הרשאה גבוהה מאובטח ככל האפשר, השתמש בתחנת עבודה לגישה (PAW) הרשאה. הפונקציה PAW היא מחשב ייעודי המשמש רק עבור משימות תצורה רגישות, כגון תצורת Microsoft 365 הדורשת חשבון הרשאות. מאחר שמחשב זה אינו משמש מדי יום לגלישה באינטרנט או לדואר אלקטרוני, הוא מוגן טוב יותר מפני תקיפות ואיומים באינטרנט.

לקבלת הוראות כיצד להגדיר את הפונקציה PAW, ראה אבטחת מכשירים כחלק מכתבת הגישה המוהרשאות.

כדי להפוך את Azure PIM לזמין עבור Microsoft Entra שלך וחשבונות מנהל מערכת, עיין בשלבים כדי לקבוע את תצורת PIM.

כדי לפתח מפת דרכים מקיפה לאבטחת גישה מורשה מפני תוקפים סייבר, ראה אבטחת גישה הרשאה עבור פריסות היברידיות וענן ב- Microsoft Entra מזהה.

Privileged Identity Management

במקום להקצות לצמיתות את החשבונות המורשים שלך לתפקיד מנהל מערכת, באפשרותך להשתמש ב- PIM כדי להפוך הקצאה לפי דרישה של תפקיד מנהל המערכת לפי דרישה לזמינה בעת הצורך.

חשבונות מנהל המערכת שלך מתאימים למנהלי מערכת קבועים. תפקיד מנהל המערכת אינו פעיל עד שמישהו זקוק לו. לאחר מכן עליך להשלים תהליך הפעלה כדי להוסיף את תפקיד מנהל המערכת לחשבון המוהרשאות במשך פרק זמן מוגדר מראש. כאשר תוקף הזמן יפוג, PIM מסיר את תפקיד מנהל המערכת מהחשבון המוהרשאות.

השימוש ב- PIM ותהליך זה מפחית באופן משמעותי את משך הזמן שבו החשבונות המוהרשאות שלך פגיעים להתקפות של משתמשים זדוניים ולהשתמש בהם.

השימוש בתכונה זו דורש מנויי ניהול מזהה Microsoft Entra או Microsoft Entra מזהה P2. כדי למצוא את הרשיון הנכון עבור הדרישות שלך, ראה השוואה בין התכונות הזמינות בדרך כלל של Microsoft Entra מזהה.

לקבלת מידע אודות רשיונות עבור משתמשים, ראה דרישות רשיון לשימוש ב- Privileged Identity Management.

לקבלת מידע נוסף, ראה:

• Privileged Identity Management.
• אבטחת גישה הרשאה עבור פריסות היברידיות וענן Microsoft Entra מזהה

ניהול גישה מורשית

ניהול גישה עם הרשאות זמין על-ידי קביעת תצורה של פריטי מדיניות המציירים גישה בזמן עבור פעילויות מבוססות משימות בדייר שלך. הוא יכול לסייע בהגנה על הארגון שלך מפני הפרות שעשויות להשתמש בחשבונות מנהלי מערכת בעלי הרשאות קיימות עם גישה בעמידה לנתונים רגישים או גישה להגדרות תצורה קריטיות. לדוגמה, באפשרותך לקבוע תצורה של מדיניות ניהול גישה הרשאה הדורשת אישור מפורש כדי לגשת אל הגדרות תיבת הדואר של הארגון ולשנות אותן בדייר שלך.

בשלב זה, הפוך את ניהול הגישה ההרשאות לזמין בדייר שלך ותגדיר פריטי מדיניות של גישה הרשאה המספקים אבטחה נוספת עבור גישה מבוססת משימות לנתונים ולהגדרות תצורה עבור הארגון שלך. קיימים שלושה שלבים בסיסיים לתחילת העבודה עם גישה הרשאה בארגון שלך:

• יצירת קבוצת מאשר
• הפיכת גישה עם הרשאות לזמין
• יצירת פריטי מדיניות אישור

ניהול גישה הרשאות מאפשר לארגון שלך לפעול עם הרשאות של אפס הרשאות בעמידה ולספק שכבה של הגנה מפני פגיעויות הנובעות גישה מנהלית עומדת כזו. גישה עם הרשאה דורשת אישורים עבור ביצוע כל משימה שהוגדרה עבורה מדיניות אישור משויכת. משתמשים צריכים לבצע משימות הכלולות במדיניות האישור חייבים לבקש אישור גישה ולהעניק לו אישור גישה.

כדי לאפשר ניהול גישה הרשאות, ראה תחילת העבודה עם ניהול גישה הרשאות.

לקבלת מידע נוסף, ראה למד אודות ניהול גישה הרשאות.

מידע אבטחה ותוכנה לניהול אירועים (SIEM) עבור רישום Microsoft 365

תוכנת SIEM הפועלת בשרת מבצעת ניתוח בזמן אמת של התראות אבטחה ואירועים שנוצרו על-ידי אפליקציות וחומרת רשת. כדי לאפשר לשרת SIEM לכלול התראות אבטחה ואירועים של Microsoft 365 בפונקציות הניתוח והדיווח שלו, שלב Microsoft Entra מזהה בתוך SEIM שלך. ראה מבוא לשילוב יומני רישום של Azure.

השלב הבא

המשך לשלב 3 כדי לאבטח את חשבונות המשתמשים שלך.