Skydda dina Microsoft 365 globala administratörskonton
Denna artikel gäller för både Microsoft 365 Enterprise och Office 365 Enterprise.
Säkerhetsöverträdelser i Microsoft 365-abonnemang, som informationsattacker och nätfiskeattacker, utförs vanligtvis genom att autentiseringsuppgifter för ett Microsoft 365 globalt administratörskonto komprometterande. Säkerheten i molnet är ett samarbete mellan dig och Microsoft:
Microsofts molntjänster vilar på en grund av säkerhet och förtroende. Microsoft tillhandahåller säkerhetskontroller och funktioner som hjälper dig att skydda dina data och program.
Du äger dina data och identiteter och ansvarar för att skydda dem. Du ansvarar också för säkerheten för dina lokala resurser och de molnkomponenter som du styr.
Microsoft tillhandahåller funktioner som hjälper dig att skydda din organisation, men de är bara effektiva om du använder dem. Om du inte använder dem kan du vara sårbar för angrepp. För att skydda dina globala administratörskonton finns Microsoft här för att hjälpa dig med detaljerade anvisningar för att:
Skapa dedikerade Microsoft 365 globala administratörskonton och använd dem bara när det behövs.
Konfigurera multifaktorautentisering för dina dedikerade Microsoft 365 globala administratörskonton och använd den starkaste formen av sekundär autentisering.
Anteckning
Även om den här artikeln fokuserar på globala administratörskonton bör du överväga om ytterligare konton med omfattande behörigheter för att få åtkomst till data i din prenumeration, till exempel eDiscovery-administratör eller konton för säkerhets- och efterlevnadsadministratörer, ska skyddas på samma sätt.
Ett globalt administratörskonto kan skapas utan att några licenser läggs till.
Steg 1. Skapa dedikerade Microsoft 365 globala administratörskonton och bara använda dem när det behövs
Det är ganska få administrativa uppgifter, till exempel tilldelning av roller till användarkonton, som kräver global administratörsbehörighet. I stället för att använda vanliga användarkonton som har tilldelats rollen global administratör gör du följande:
- Fastställ vilka användarkonton som har tilldelats rollen som global administratör. Du kan göra detta i Administrationscenter för Microsoft 365 eller med följande Azure Active-katalogkommando (Azure AD) PowerShell för Graph:
Get-AzureADDirectoryRole | where { $_.DisplayName -eq "Global Administrator" } | Get-AzureADDirectoryRoleMember | Ft DisplayName
Logga in på Microsoft 365-prenumerationen med ett användarkonto som har tilldelats den globala administratörsrollen.
Skapa upp till fyra dedikerade globala administratörsanvändarkonton. Använd starka lösenord, minst 12 tecken långa. Mer information finns i Skapa ett starkt lösenord. Lagra lösenorden för de nya kontona på en säker plats.
Tilldela den globala administratörsrollen till vart och ett av de nya, dedikerade globala administratörsanvändarkontona.
Logga ut från Microsoft 365.
Logga in med ett av de nya, dedikerade globala administratörsanvändarkontona.
Gör följande för varje befintligt användarkonto som har tilldelats rollen global administratör från steg 1:
Ta bort den globala administratörsrollen.
Tilldela administratörsroller till det konto som är lämpligt för den användarens arbetsuppgifter och ansvar. Mer information om olika administratörsroller i Microsoft 365 finns i Om administratörsroller.
- Logga ut från Microsoft 365.
Resultatet ska vara:
De enda användarkonton i prenumerationen som har global administratörsroll är den nya uppsättningen dedikerade globala administratörskonton. Kontrollera detta med följande PowerShell-kommando:
Get-AzureADDirectoryRole | where { $_.DisplayName -eq "Company Administrator" } | Get-AzureADDirectoryRoleMember | Ft DisplayNameAlla andra vanliga användarkonton som hanterar din prenumeration har administratörsroller som är kopplade till deras arbetsuppgifter.
Från och med nu loggar du bara in med de dedikerade globala administratörskontona för de uppgifter som kräver global administratörsbehörighet. Alla andra Microsoft 365 måste göras genom att tilldela andra administratörsroller till användarkonton.
Anteckning
Det här kräver ytterligare steg för att logga ut som ditt vanliga användarkonto och logga in med ett dedikerat globalt administratörskonto. Men det behöver bara göras då och då för globala administratörsåtgärder. Tänk på att det krävs många fler steg för Microsoft 365-prenumerationen efter att ett globalt administratörskonto har brytningar.
Steg 2. Konfigurera multifaktorautentisering för dina dedikerade Microsoft 365 globala administratörskonton
Multifaktorautentisering (MFA) kräver ytterligare information utöver kontonamn och lösenord. Microsoft 365 här ytterligare verifieringsmetoder:
Microsoft Authenticator-appen
Ett telefonsamtal
En slumpmässigt genererad verifieringskod som skickas via ett SMS
Ett smartkort (virtuellt eller fysiskt)
En biometrisk enhet
Anteckning
I organisationer som måste följa National Institute of Standards and Technology (NIST) är användningen av ett telefonsamtal eller SMS-baserade ytterligare verifieringsmetoder begränsad. Klicka här för mer information.
Om du har ett litet företag som använder användarkonton som endast lagras i molnet (den molnbaserade identitetsmodellen) konfigurerar du MFA för att konfigurera MFA med ett telefonsamtal eller med en verifieringskod i ett SMS som skickas till en smartphone för varje dedikerat globalt administratörskonto.
Om du är en större organisation som använder en Microsoft 365 en hybrididentitetsmodell har du fler verifieringsalternativ. Om du redan har säkerhetsinfrastrukturen på plats för en starkare sekundär autentiseringsmetod konfigurerar du MFA och konfigurerar varje dedikerat globalt administratörskonto för lämplig verifieringsmetod.
Om säkerhetsinfrastrukturen för den önskade, starkare verifieringsmetoden inte finns på plats och är fungerande för Microsoft 365 MFA rekommenderar vi starkt att du konfigurerar dedikerade globala administratörskonton med MFA med Microsoft Authenticator-appen, ett telefonsamtal eller en verifieringskod i ett SMS som skickas till en smartphone för dina globala administratörskonton som en tillfällig säkerhet mått. Lämna inte dina dedikerade globala administratörskonton utan det extra skydd som MFA ger.
Mer information finns i MFA för Microsoft 365.
Information om hur du Microsoft 365 tjänster med MFA och PowerShell finns i följande artiklar:
- PowerShell för Microsoft 365 för användarkonton, grupper och licenser
- Microsoft Teams
- Exchange Online
- SharePoint Online
- Skype för företag Online
Ytterligare skydd för företag
Använd de här metoderna för att säkerställa att ditt globala administratörskonto och konfigurationen du utför med det är så säker som möjligt.
Arbetsstation med privilegierad åtkomst
Använd en arbetsstation med behörighet (SÅ SNART SOM MÖJLIGT) för att säkerställa att körningen av aktiviteter med hög behörighet är så säker som möjligt. EN ÄR EN dedikerad dator som endast används för känsliga konfigurationsuppgifter, t.ex. Microsoft 365 konfiguration som kräver ett globalt administratörskonto. Eftersom den här datorn inte används dagligen för surfning eller e-post på Internet är den bättre skyddad mot Internetattacker och -hot.
Anvisningar om hur du ställer in en TIDE finns i https://aka.ms/cyberpaw .
Mer information om hur du konfigurerar PIM för Azure AD-klientorganisationen och administratörskonton finns i stegen för att konfigurera PIM.
Mer information om hur du skapar en omfattande översikt för att skydda skyddad åtkomst för cyberangripare finns i Säker åtkomst för åtkomst för hybrid- och molndistributioner i Azure AD.
Azure Active Directory Privileged Identity Management
I stället för att dina globala administratörskonton permanent tilldelas rollen som global administratör kan du använda Azure AD Privileged Identity Management (PIM) för att aktivera tilldelning på begäran och i tid av den globala administratörsrollen när det behövs.
Dina globala administratörskonton går från att vara permanenta administratörer till behöriga administratörer. Rollen som global administratör är inaktiv tills någon behöver den. Sedan slutför du aktiveringen och lägger till den globala administratörsrollen i det globala administratörskontot under en förutbestämd tidsperiod. När tiden går ut tar PIM bort rollen som global administratör från det globala administratörskontot.
Genom att använda PIM och den här processen minskar avsevärt tiden som dina globala administratörskonton är sårbara för angrepp och användning av skadliga användare.
PIM finns i Azure Active Directory Premium P2, som ingår i Microsoft 365 E5. Alternativt kan du köpa enskilda Azure Active Directory Premium P2-licenser för dina administratörskonton.
Mer information finns i Azure AD-Privileged Identity Management.
Privileged Access Management
Privileged Access Management aktiveras genom att principer konfigureras som ställer in just-in-time-åtkomst för uppgiftsbaserade aktiviteter i klientorganisationen. Det kan hjälpa dig att skydda din organisation från intrång som kan använda befintliga privilegierade administratörskonton med ständig åtkomst till känsliga data eller åtkomst till kritiska konfigurationsinställningar. Du kan t.ex. konfigurera en Privileged Access Management-princip som kräver uttryckligt godkännande för åtkomst till och ändring av inställningar för organisationens postlådor i klientorganisationen.
I det här steget ska du aktivera Privileged Access Management i din klientorganisation och konfigurera principer för privilegierad åtkomst som ger ytterligare säkerhet för aktivitetsbaserad åtkomst till data- och konfigurationsinställningar för din organisation. Det finns tre grundläggande steg för att komma igång med privilegierad åtkomst i din organisation:
- Skapa en godkännargrupp
- Aktivera privilegierad åtkomst
- Skapa godkännandeprinciper
Med hantering av privilegierad åtkomst kan organisationen agera utan några stående behörigheter och skapa ett skyddslager mot svagheter som uppstår på grund av sådan administrativ åtkomst. Privilegierad åtkomst kräver godkännanden för att kunna utföra en aktivitet som har en kopplad och definierad godkännandeprincip. Användare som behöver utföra uppgifter som ingår i godkännandeprincipen måste begära åtkomstgodkännande.
Information om hur du aktiverar hantering av privilegierad åtkomst finns i Konfigurera hantering av behörighetsbehörighet.
Mer information finns i Hantera privilegierad åtkomst.
Säkerhetsinformation och händelsehanteringsprogram (SIEM) för Microsoft 365 loggning
SIEM-programvara som körs på en server utför analyser i realtid av säkerhetsvarningar och händelser som skapats av program och nätverksmaskinvara. För att tillåta att din SIEM-server tar Microsoft 365 säkerhetsvarningar och händelser i sina analys- och rapporteringsfunktioner integrerar du Azure AD i din SEIM. Se Introduktion till Azure Log Integration.
Nästa steg
Om du inställningar för identitet för din Microsoft 365 prenumeration kan du läsa:
- Molnidentiteter om du använder molnidentitet
- Förbereda för katalogsynkronisering om du använder hybrididentitet