Passaggio 5: Proteggere gli account di amministratore globaleStep 5: Protect global administrator accounts

In questo passaggio è obbligatorio e si applica a E3 sia E5 versioni di Microsoft 365 EnterpriseThis step is required and applies to both the E3 and E5 versions of Microsoft 365 Enterprise

Nel passaggio 5, si verrà evitare digitale nella propria organizzazione verificando che l'account amministratore sono la massima protezione. A tale scopo, è necessario:In Step 5, you'll help prevent digital attacks on your organization by ensuring that your administrator accounts are as secure as possible. To do this, you must:

  • Creare gli account di amministratore globale dedicato con molto password complesse e utilizzarli solo quando necessario.Create dedicated global administrator accounts with very strong passwords and use them only when necessary.
  • Esecuzione di attività amministrative quotidiane mediante l'assegnazione di ruoli di amministratore specifico, ad esempio l'amministratore di Exchange o la Password, ovvero agli account utente di personale IT in base alle esigenze.Perform day-to-day administration by assigning specific administrator roles—such as Exchange administrator or Password administrator—to user accounts of IT staff as needed.

Per gli account di amministratore globale dedicati, è inoltre necessario:For your dedicated global admin accounts, you must also:

  1. Account di test per ogni utente o impostazioni condizionale basata sull'accesso autenticazione a più fattori (MFA) su un account utente di test per verificare che MFA funzioni correttamente e prevedibile. MFA richiede un modulo di autenticazione, ad esempio un codice di verifica inviato a un telefono smart secondario.Test per-user account or conditional access-based multi-factor authentication (MFA) settings on a test user account to ensure that MFA works correctly and predictably. MFA requires a secondary form of authentication, such as a verification code sent to a smart phone.
  2. Configurare MFA per ognuno degli account di amministratore globale di Office 365 dedicato e utilizzare il modulo più sicuro dell'autenticazione secondario disponibile nell'organizzazione. Per ulteriori informazioni, vedere autenticazione a più fattori .Configure MFA for each of the dedicated Office 365 global administrator accounts, and use the strongest form of secondary authentication available in your organization. See Multi-factor authentication for more information.
  3. Utilizzare un criterio di accesso condizionale per richiedere l'autenticazione a più fattori per gli account di amministratore globale e Nega l'autenticazione se il rischio di accesso è medio o elevato. Per ulteriori informazioni, vedere Information protection Microsoft 365 Enterprise .Use a conditional access policy to require multifactor authentication for global administrator accounts and to deny authentication if the sign-in risk is medium or high. See Information protection for Microsoft 365 Enterprise for more information.
  4. Utilizzare un criterio di protezione di applicazioni di Office 365 Cloud per monitorare l'attività dell'account amministratore globale. Per ulteriori informazioni, vedere Information protection Microsoft 365 Enterprise .Use an Office 365 Cloud App Security policy to monitor global administrator account activity. See Information protection for Microsoft 365 Enterprise for more information.

Per ulteriori informazioni sulla configurazione, vedere gli account amministratore globale di protezione di Office 365 .See Protect your Office 365 global administrator accounts for more information about configuration.

Nota

Le organizzazioni dovrebbero utilizzare le identità cloud-only per creare gli account privilegiati, ad esempio gli amministratori globali, per gli scenari di interruzione di ingrandimento in caso di emergenza, ad esempio un cyberattack.Organizations should use cloud-only identities to create privileged accounts, such as global administrators, for break-glass scenarios in emergencies, such as a cyberattack.

I risultati di questo passaggio sono:The results of this step are:

  • Gli account utente solo dell'abbonamento con il ruolo amministratore globale sono il nuovo set di account di amministratore globale dedicato. Eseguire questa verifica con il comando PowerShell V2 di Windows Azure Active Directory seguente:The only user accounts in your subscription that have the global admin role are the new set of dedicated global administrator accounts. Verify this with the following Windows Azure AD V2 PowerShell command: Get-AzureADDirectoryRole | Where { $_.DisplayName -eq "Company Administrator" } | Get-AzureADDirectoryRoleMember | Ft DisplayName
  • Tutti gli altri account utente quotidiane che gestisce la sottoscrizione disporre dei ruoli di amministratore assegnati associati responsabilità.All other everyday user accounts that manage your subscription have admin roles assigned that are associated with their job responsibilities.

Nota

Per istruzioni sull'installazione del modulo di Azure Active Directory V2 PowerShell e accesso a Office 365, vedere Connect to Office 365 PowerShell .See Connect to Office 365 PowerShell for instructions on installing the Azure AD V2 PowerShell module and signing in to Office 365.

Come un punto di arresto provvisoria, è possibile visualizzare i criteri di uscita per questo passaggio.As an interim checkpoint, you can see the exit criteria for this step.

Passaggio successivoNext step

Passaggio 6: Impostare gli amministratori globali su richiestaStep 6: Set up on-demand global administrators