Suojaa yleisen järjestelmänvalvojan tilit Microsoft 365 for Enterprise -testiympäristössä

  • Artikkeli
  • 2 minuutin lukuaika

Tätä testilaboratorion opasta voidaan käyttää vain Microsoft 365 suuryrityksen testiympäristöissä.

Voit estää digitaaliset hyökkäykset organisaatiotasi vastaan varmistamalla, että järjestelmänvalvojatilit ovat mahdollisimman turvallisia.

Tässä artikkelissa kuvataan, miten voit käyttää Azure Active Directoryn (Azure AD) ehdollisia käyttöoikeuskäytäntöjä yleisten järjestelmänvalvojatilien suojaamiseksi.

Yleisen järjestelmänvalvojan tilien suojaaminen Microsoft 365 for Enterprise -testiympäristössä sisältää kaksi vaihetta:

Testilaboratorion oppaat Microsoft pilvipalvelulle.

Vihje

Jos haluat visuaalisen kartan kaikkiin artikkeleihin Microsoft 365 for Enterprise Test Lab Guide stackissa, siirry Microsoft 365 for Enterprise Test Lab Guide Stackiin.

Vaihe 1: Microsoft 365 for Enterprise -testiympäristön luominen

Jos haluat testata yleistä järjestelmänvalvojatilin suojausta kevyellä tavalla minimivaatimuksilla, noudata ohjeita kohdassa Kevyt kantamääritys.

Jos haluat testata yleistä järjestelmänvalvojan tilin suojausta simuloidussa yrityksessä, noudata läpivientitodennuksen ohjeita.

Huomautus

Yleisen järjestelmänvalvojatilin suojauksen testaaminen ei edellytä simuloitua yrityksen testiympäristöä, joka sisältää simuloidun intranetin, joka on yhdistetty Internet-yhteyteen ja hakemistosynkronointiin Active Directory -toimialueen palvelut (AD DS). Se tarjotaan tässä vaihtoehtona, jotta voit testata yleistä järjestelmänvalvojan tilin suojausta ja kokeilla sitä ympäristössä, joka edustaa tyypillistä organisaatiota.

Vaihe 2: Ehdollisten käyttöoikeuskäytäntöjen määrittäminen

Luo ensin uusi käyttäjätili varatuksi yleiseksi järjestelmänvalvojaksi.

  1. Avaa Microsoft 365 -hallintakeskus erillisessä välilehdessä.
  2. Valitse Käyttäjät>Aktiiviset käyttäjät ja valitse sitten Lisää käyttäjä.
  3. Kirjoita Lisää käyttäjä -ruudussa DedicatedAdminEtunimi-, Näyttönimi- ja Käyttäjänimi-ruutuihin .
  4. Valitse Salasana, valitse Anna minun luoda salasana ja kirjoita sitten vahva salasana. Tallenna tämän uuden tilin salasana suojattuun sijaintiin.
  5. Valitse Seuraava.
  6. Valitse Määritä tuotteen käyttöoikeudet -ruudussa Microsoft 365 E5 ja valitse sitten Seuraava.
  7. Valitse Valinnaiset asetukset -ruudussa Roolit>Hallinta keskuskäyttö>Yleinen järjestelmänvalvoja>Seuraava.
  8. Valitse Olet melkein valmis -ruudussa Lopeta lisääminen ja valitse sitten Sulje.

Luo seuraavaksi uusi ryhmä nimeltä GlobalAdmins ja lisää siihen DedicatedAdmin-tili.

  1. Valitse Microsoft 365 -hallintakeskus-välilehden vasemmasta siirtymisruudusta Ryhmät ja valitse sitten Ryhmät.
  2. Valitse Lisää ryhmä.
  3. Valitse Valitse ryhmätyyppi -ruudussa Suojaus ja valitse sitten Seuraava.
  4. Valitse Määritä perustiedot - ruudussa Luo ryhmä ja valitse sitten Sulje.
  5. Kirjoita Tarkista ja lopeta ryhmä -ruudussa YleisetHallinta ja valitse sitten Seuraava.
  6. Valitse ryhmäluettelosta GlobalAdmins-ryhmä .
  7. Valitse YleisetHallinta-ruudussaJäsenet ja valitse sitten Näytä kaikki ja hallitse jäseniä.
  8. Valitse YleisetHallinta-ruudussa Lisää jäseniä, valitse DedicatedAdmin-tili ja yleisen järjestelmänvalvojan tili ja valitse sitten Tallenna>Sulje Sulje>.

Luo seuraavaksi ehdolliset käyttöoikeuskäytännöt, jotka edellyttävät monimenetelmäistä todentamista yleisille järjestelmänvalvojatileille ja todennuksen estämistä, jos kirjautumisriski on keskitasoinen tai suuri.

Tämä ensimmäinen käytäntö edellyttää, että kaikki yleiset järjestelmänvalvojatilit käyttävät monimenetelmäistä todentamista.

  1. Siirry selaimen uudessa välilehdessä osoitteeseen https://portal.azure.com.
  2. Valitse Azure Active Directory ->suojauksen>ehdollinen käyttöoikeus.
  3. Valitse Ehdolliset käyttöoikeudet – Käytännöt -ruudussa Perusaikataulun käytäntö: Edellytä monimenetelmäistä todentamista järjestelmänvalvojille (esikatselu).
  4. Valitse Perusaikataulun käytäntö -ruudussa Käytä käytäntöä heti > Tallenna.

Tämä toinen käytäntö estää yleisen järjestelmänvalvojatilin todennuksen käytön, kun kirjautumisriski on keskitasoinen tai suuri.

  1. Valitse Ehdollinen käyttöoikeus – Käytännöt -ruudussa Uusi käytäntö.
  2. Kirjoita Uusi-ruutuunYleiset järjestelmänvalvojat kohtaan Nimi.
  3. Valitse Määritykset-osiostaKäyttäjät ja ryhmät.
  4. Valitse Käyttäjät ja ryhmät -ruudun Sisällytä-välilehdeltäValitse käyttäjät ja ryhmät>Käyttäjät ja ryhmät>Valitse.
  5. Valitse Valitse-ruudussaGlobalAdmins-ryhmä ja valitse sitten Valitse>Valmis.
  6. Valitse Määritykset-osiostaEhdot.
  7. Valitse Ehdot-ruudussa Kirjautumisriski, valitse Kyllä määritykselle, valitse Suuri ja Normaali ja valitse sitten Valitse ja Valmis.
  8. Valitse Uusi-ruudun Käyttöoikeuksien hallinta -osiossa Myönnä.
  9. Valitse Myönnä-ruudussaEstä käyttö ja valitse sitten Valitse.
  10. Valitse Uusi-ruudussaOta käytäntö käyttöön-kohdassa Käytössä ja valitse sitten Luo.
  11. Sulje Azure-portaali ja Microsoft 365 -hallintakeskus välilehdet.

Jos haluat testata ensimmäistä käytäntöä, kirjaudu ulos ja kirjaudu sisään DedicatedAdmin-tilillä. Monimenetelmäistä todentamista pyydetään määrittämään. Tämä osoittaa, että ensimmäistä politiikkaa sovelletaan.

Seuraavat vaiheet

Tutustu muihin testiympäristön käyttäjätieto-ominaisuuksiin ja ominaisuuksiin.

Tutustu myös seuraaviin ohjeartikkeleihin:

Ota käyttäjätiedot käyttöön

Microsoft 365 for Enterprise Test Lab -oppaat

Microsoft 365 for enterprisen yleiskatsaus

Microsoft 365 for Enterprise -ohjeet