Skydda globala administratörskonton i testmiljön Microsoft 365 för företagProtect global administrator accounts in your Microsoft 365 for enterprise test environment

Den här testlabbguiden kan endast användas för Microsoft 365 för företagstestmiljöer.This Test Lab Guide can only be used for Microsoft 365 for enterprise test environments.

Du kan förhindra digitala attacker på din organisation genom att se till att dina administratörskonton är så säkra som möjligt.You can prevent digital attacks on your organization by ensuring that your administrator accounts are as secure as possible.

I den här artikeln beskrivs hur du använder villkorsstyrda åtkomstprinciper för Azure Active Directory (Azure AD) för att skydda globala administratörskonton.This article describes how to use Azure Active Directory (Azure AD) conditional access policies to protect global administrator accounts.

Skydda globala administratörskonton i din Testmiljö för Microsoft 365 för företag innebär två faser:Protecting global administrator accounts in your Microsoft 365 for enterprise test environment involves two phases:

Testlabbguider för Microsoft Cloud

Tips

En visuell karta till alla artiklar i Microsoft 365 testlabbguide-stacken för företag finns i Testlabbguide för Microsoft 365för företag.For a visual map to all the articles in the Microsoft 365 for enterprise Test Lab Guide stack, go to Microsoft 365 for enterprise Test Lab Guide Stack.

Fas 1: Bygg ut microsoft 365 för företagstestmiljöPhase 1: Build out your Microsoft 365 for enterprise test environment

Om du vill testa kontoskyddet för globala administratörer på ett lätt sätt med minimikraven följer du anvisningarna i Enkel baskonfiguration.If you want to test global administrator account protection in a lightweight way with the minimum requirements, follow the instructions in Lightweight base configuration.

Om du vill testa kontoskydd för globala administratörer i ett simulerat företag följer du anvisningarna i Direktautentisering.If you want to test global administrator account protection in a simulated enterprise, follow the instructions in Pass-through authentication.

Anteckning

Om du testar kontoskyddet för globala administratörer krävs inte den simulerade företagstestmiljön, som omfattar ett simulerat intranät som är anslutet till Internet och katalogsynkronisering för en AD DS (Active Directory Domain Services).Testing global administrator account protection does not require the simulated enterprise test environment, which includes a simulated intranet connected to the internet and directory synchronization for an Active Directory Domain Services (AD DS). Den finns här som ett alternativ så att du kan testa det globala administratörskontoskyddet och experimentera med det i en miljö som representerar en vanlig organisation.It is provided here as an option so that you can test global administrator account protection and experiment with it in an environment that represents a typical organization.

Fas 2: Konfigurera principer för villkorsstyrd åtkomstPhase 2: Configure conditional access policies

Börja med att skapa ett nytt användarkonto som en dedikerad global administratör.First, create a new user account as a dedicated global administrator.

  1. På en separat flik öppnar du administrationscentret för Microsoft 365.On a separate tab, open the Microsoft 365 admin center.
  2. Välj Användare > Aktiva användare och välj sedan Lägg till en användare.Select Users > Active users, and then select Add a user.
  3. I fönstret Lägg till användare anger du DedicatedAdmin i rutorna Förnamn, Visningsnamn och Användarnamn.In the Add user pane, enter DedicatedAdmin in the First name, Display name, and Username boxes.
  4. Välj Lösenord, välj Låt mig skapa lösenordet och ange sedan ett starkt lösenord.Select Password, select Let me create the password, and then enter a strong password. Registrera lösenordet för det nya kontot på en säker plats.Record the password for this new account in a secure location.
  5. Välj Nästa.Select Next.
  6. I fönstret Tilldela produktlicenser väljer du Microsoft 365 E5 och sedan Nästa.In the Assign product licenses pane, select Microsoft 365 E5, and then select Next.
  7. I fönstret Valfria inställningar väljer du Rolladministrationscenter > åtkomst till Global > administratör > Nästa.In the Optional settings pane, select Roles > Admin center access > Global admin > Next.
  8. I fönstret Du är nästan klar väljer du Slutför tilläggning och sedan Stäng.On the You're almost done pane, select Finish adding, and then select Close.

Skapa sedan en ny grupp med namnet GlobalAdmins och lägg till DedicatedAdmin-kontot i den gruppen.Next, create a new group named GlobalAdmins and add the DedicatedAdmin account to it.

  1. På fliken Administrationscenter för Microsoft 365 väljer du Grupper i det vänstra navigeringsfältet och sedan Grupper.On the Microsoft 365 admin center tab, select Groups in the left navigation, and then select Groups.
  2. Välj Lägg till en grupp.Select Add a group.
  3. I fönstret Välj en grupptyp väljer du Säkerhet och sedan Nästa.In the Choose a group type pane, select Security, and then select Next.
  4. I fönstret Konfigurera grunderna väljer du Skapa grupp och sedan Stäng.In the Set up the basics pane, select Create group, and then select Close.
  5. Skriv GlobalAdmins i fönstret Granska och slutför tilläggen av gruppen och välj sedan Nästa.In the Review and finish adding group pane, enter GlobalAdmins, and then select Next.
  6. I listan över grupper väljer du gruppen GlobalAdmins.In the list of groups, select the GlobalAdmins group.
  7. I fönstret GlobalAdmins väljer du Members och sedan Visa alla och hanterar medlemmar.In the GlobalAdmins pane, select Members, and then select View all and manage members.
  8. I fönstret GlobalAdmins väljer du Lägg till medlemmar , väljer DedicatedAdmin-kontot och ditt globala administratörskonto och väljer sedan Spara > > Stäng Stäng.In the GlobalAdmins pane, select Add members, select the DedicatedAdmin account and your global admin account, and then select Save > Close > Close.

Skapa sedan villkorsstyrda åtkomstprinciper för att kräva multifaktorautentisering för globala administratörskonton och för att neka autentisering om inloggningsrisken är medium eller hög.Next, create conditional access policies to require multi-factor authentication for global administrator accounts and to deny authentication if the sign-in risk is medium or high.

Den här första principen kräver att alla globala administratörskonton använder MFA.This first policy requires that all global administrator accounts use MFA.

  1. På en ny flik i webbläsaren går du till https://portal.azure.com .In a new tab of your browser, go to https://portal.azure.com.
  2. Klicka på Villkorsstyrd åtkomst för Azure Active > > Directory-säkerhet.Click Azure Active Directory > Security > Conditional Access.
  3. I fönstret Villkorsstyrd åtkomst – Principer väljer du Baslinjeprincip: Kräv MFA för administratörer (förhandsversion).In the Conditional access – Policies pane, select Baseline policy: Require MFA for admins (preview).
  4. I fönstret Originalplansprincip väljer du Använd princip direkt > Spara.In the Baseline policy pane, select Use policy immediately > Save.

Den här andra principen blockerar åtkomst till autentisering av globalt administratörskonto när inloggningsrisken är medium eller hög.This second policy blocks access to global administrator account authentication when the sign-in risk is medium or high.

  1. I fönstret Villkorsstyrd åtkomst – Principer väljer du Ny princip.In the Conditional access – Policies pane, select New policy.
  2. I fönstret Nytt anger du Globala administratörer i Namn.In the New pane, enter Global administrators in Name.
  3. I avsnittet Uppgifter väljer du Användare och grupper.In the Assignments section, select Users and groups.
  4. På fliken Inkludera i fönstret Användare och grupper väljer du Välj användare och grupper Användare och > grupper > Välj.On the Include tab of the Users and groups pane, select Select users and groups > Users and groups > Select.
  5. I fönstret Markera väljer du gruppen GlobalAdmins och väljer sedan Select > Done.In the Select pane, select the GlobalAdmins group, and then select Select > Done.
  6. I avsnittet Uppgifter väljer du Villkor.In the Assignments section, select Conditions.
  7. I fönstret Villkor väljer du Inloggningsrisk , väljer Ja för Konfigurera , väljer Hög och Medium och sedan Välj och klar. In the Conditions pane, select Sign-in risk, select Yes for Configure, select High and Medium, and then select Select and Done.
  8. I avsnittet Access-kontroller i fönstret Nytt väljer du Tilldela.In the Access controls section of the New pane, select Grant.
  9. I fönstret Bevilja väljer du Blockera åtkomst och sedan Välj.In the Grant pane, select Block access, and then select Select.
  10. I fönstret Nytt väljer du för Aktivera princip och sedan Skapa.In the New pane, select On for Enable policy, and then select Create.
  11. Stäng flikarna Azure Portal och Administrationscenter för Microsoft 365.Close the Azure portal and Microsoft 365 admin center tabs.

Testa den första principen genom att logga ut och logga in med DedicatedAdmin-kontot.To test the first policy, sign out and sign in with the DedicatedAdmin account. Du bör uppmanas att konfigurera MFA.You should be prompted to configure MFA. Det visar att den första principen används.This demonstrates that the first policy is being applied.

Nästa stegNext step

Utforska ytterligare identitetsfunktioner i testmiljön.Explore additional identity features and capabilities in your test environment.

Se ävenSee also

IdentitetsöversiktIdentity roadmap

Testlabbguider för Microsoft 365 för företagMicrosoft 365 for enterprise Test Lab Guides

Översikt över Microsoft 365 för företagMicrosoft 365 for enterprise overview

Dokumentation om Microsoft 365 för företagMicrosoft 365 for enterprise documentation