ניהול וניטור של חשבונות מועדפים

כל ארגון של Microsoft 365 כולל משתמשים חיוניים כמו מנהלים, מנהיגים או אחרים שיש להם גישה למידע רגיש, קנייני או בעדיפות גבוהה. באפשרותך להגדיר עד 250 ממשתמשים אלה כחשבונות בעדיפות גבוהה וכן (בהתאם למינוי שלך) להשתמש בתכונות ספציפיות לאפליקציה, המעניקות להם הגנה וניראות נוספות.

מאמר זה מתאר כיצד לתייג משתמשים וקבוצות כחשבונות בעדיפות גבוהה, ואת ההגנות והניראות הנוספות שהם מקבלים כחשבונות בעדיפות גבוהה.

עצה

לקבלת שיטות עבודה מומלצות לאבטחה עבור חשבונות בעדיפות גבוהה, ראה המלצות אבטחה עבור חשבונות בעדיפות גבוהה בארגונים בענן.

מה עליך לדעת לפני שתתחיל?

• המספר המרבי של חשבונות בעדיפות גבוהה הוא 250.

• עליך לקבל הרשאות מוקצות לפני שתוכל לבצע את ההליכים במאמר זה. בנוסף, עומדות לרשותך האפשרויות הבאות:

  • בקרת גישה מאוחדת המבוססת על תפקיד (RBAC) של Microsoft Defender XDR‏ (אם ההרשאות של דואר אלקטרוני ושיתוף פעולה>Defender עבור Office 365 הן פעילות. משפיע רק על פורטל Defender, לא על PowerShell): ‏אישורים והגדרות/הגדרות מערכת/ניהול או ‏אישורים והגדרות/הגדרות מערכת/קריאה בלבד.
  • הרשאות דואר אלקטרוני ושיתוף פעולה בפורטל Microsoft Defender:
    • ‏החלה והסרה של תג חשבון בעדיפות גבוהה ממשתמשים: נדרש להיות חבר בקבוצות התפקידים מנהל אבטחה ומנהל מערכת של Exchange‏.
  • ‏הרשאות Microsoft Entra‏: חברות בתפקידי מנהל מערכת כללי^* או מנהל אבטחה מעניקה למשתמשים את ההרשאות הנדרשות וכן הרשאות לתכונות אחרות ב- Microsoft 365.

חשוב

^* Microsoft ממליצה להשתמש בתפקידים עם הכי פחות הרשאות. שימוש בחשבונות עם הרשאות נמוכות יותר עוזר לשפר את האבטחה בארגון שלך. מנהל מערכת כללי הוא תפקיד בעל הרשאה גבוהה שאמור להיות מוגבל לתרחישי חירום כאשר אין באפשרותך להשתמש בתפקיד קיים.

ניהול חשבונות בעדיפות גבוהה

באפשרותך לנהל חשבונות בעדיפות גבוהה בפורטל Microsoft Defender או במרכז הניהול של Microsoft 365.

ניהול חשבונות בעדיפות גבוהה בפורטל Microsoft Defender

1. בפורטל Microsoft Defender ב- https://security.microsoft.com, עבור אל הגדרות> דואר אלקטרוני ושיתוף פעולה>תגיות משתמשים. לחלופין, כדי לעבור ישירות לדף תגיות משתמשים, השתמש ב- https://security.microsoft.com/securitysettings/userTags.

2. בדף תגיות משתמש, בצע אחת מהפעולות הבאות כדי לבחור ולערוך את תגית החשבון בעדיפות גבוהה:

   • בחר את תיבת הסימון לצד העמודה הראשונה של השורה חשבון בעדיפות גבוהה, ולאחר מכן בחר את הפעולה ערוך שמופיעה.
   • לחץ בכל מקום בשורת חשבון בעדיפות גבוהה, למעט תיבת הסימון. בתפריט הנשלף הפרטים שנפתח, בחר ערוך בראש התפריט הנשלף

3. אשף עריכת תגית חשבון בעדיפות גבוהה נפתח. בדף הקצאת חברים, בצע אחת מהפעולות הבאות:

   • הוספת חברים: בצע אחת מהפעולות הבאות:

     • בחר הוספת חברים. בתפריט הנשלף הוספת חברים שנפתח, בצע אחת מהפעולות הבאות כדי להוסיף משתמשים או קבוצות באופן פרטני בתיבת חיפוש משתמשים וקבוצות להוספה:

       • לחץ בתוך התיבה וגלול ברשימה.
       • התחל להקליד שם כדי לסנן את הרשימה, ולאחר מכן בחר את הערך שמתחת לתיבה.

       כדי להוסיף חברים נוספים, לחץ באזור ריק בתיבה וחזור על השלב הקודם.

       כדי להסיר ערכים בודדים מהתיבה, בחר לצד הערך.

       בסיום בתפריט הנשלף הוספת חברים, בחר הוסף.

       בחזרה לדף הקצאת חברים, המשתמשים והקבוצות שהוספת יופיעו לפי שם וסוג.

     • בחר ייבוא כדי לבחור קובץ טקסט שמכיל כתובות דוא"ל של המשתמשים או הקבוצות (הזנה אחת לכל שורה).

     • הסרת חברים: ברשימת החברים שבדף הקצאת חברים, בחר מחק בשורת הערך.

   בסיום בדף הקצאת חברים, בחר הבא.

4. בדף סקירת תגית, עיין בהגדרות שלך. ניתן לבחור ערוך בכל מקטע כדי לשנות את ההגדרות שבו. או לבחור חזרה או את הדף הספציפי באשף.

   בסיום בדף סקירת תגית, בחר שלח.

5. בדף תגית חשבון בעדיפות גבוהה עודכנה, ניתן לבחור קישורים להוספת תגית חדשה או לניהול חברי התגית.

   בסיום בדף תגית חדשה נוצרה, בחר סיום.

   עצה

   החלת תגיות מלאה עשויה להימשך עד 8 שעות.

ניהול חשבונות בעדיפות גבוהה במרכז הניהול של Microsoft

1. במרכז הניהול של Microsoft בכתובת https://admin.cloud.microsoft, עבור לדף חשבונות בעדיפות גבוהה בכתובת https://admin.microsoft.com/Adminportal/Home#/priorityaccounts.

   אם אתה מעדיף את הדרך הארוכה, עבור אל משתמשים>משתמשים פעילים>, בדף משתמשים פעילים, בחר פעולות נוספות>ניהול חשבונות בעדיפות גבוהה.

2. בדף חשבונות בעדיפות גבוהה, בצע אחת מהפעולות הבאות:

   • הוספת חברים:

     1. בחר תיוג חשבונות. בתפריט הנשלף תיוג חשבונות משתמש כעדיפות גבוהה שנפתח, בחר אחד מהערכים הבאים תחת כיצד ברצונך לחפש חשבונות?:

        • שם וכתובת דוא"ל (ברירת מחדל)
        • תפקיד
        • רשימת תפוצה

        לאחר שתסיים, בחר הבא.

     2. בתפריט הנשלף שנפתח, חפש ובחר את המשתמשים או קבוצות התפוצה ולאחר מכן בחר תיוג.

     3. התהליך מתחיל מחדש בתפריט הנשלף תיוג חשבונות משתמש כעדיפות גבוהה, כאשר סך החשבונות שתויגו כעדיפות גבוהה מתעדכן (המקסימום הוא 250). בחר הבא כדי לתייג משתמשים או קבוצות תפוצה נוספים, או בחר ביטול כדי לסיים.

     בחזרה לדף חשבונות בעדיפות גבוהה, המשתמשים או הקבוצות שבחרת יופיעו ברשימה.

   • הסרת חברים: ברשימת החברים שבדף חשבונות בעדיפות גבוהה, בצע אחת מהפעולות הבאות:

     • בחר ערך אחד או יותר מהרשימה על ידי סימון תיבת הסימון לצד העמודה שם תצוגה, בחר את הפעולה הסר תגית שמופיעה, ולאחר מכן בחר הסר בתיבת הדו-שיח שמופיעה.
     • בין ערכי העמודות שם תצוגה ושם משתמש של ערך מסוים, בחר ⋮פעולות נוספות>הסר תגית, ולאחר מכן בחר הסר בתיבת האישור שמופיעה.

ניטור חשבונות בעדיפות גבוהה

לאחר שתייגת משתמשים או קבוצות כחשבונות בעדיפות גבוהה, הם מקבלים את ההגנה והחשיפה הבאות ב- Microsoft 365:

• ‏נראות בדוחות ב- Microsoft Defender for Office 365 Plan 1 או Plan 2: ‏Microsoft 365 Business Premium ומינויים אחרים הכוללים את Defender עבור Office 365 (לדוגמה, Microsoft 365 E5 או מינוי הרחבה) תומכים בתגיות של חשבונות בעדיפות גבוהה כמסננים בהתראות, דוחות וחקירות. למידע נוסף, ראה תגיות משתמש ב- Microsoft Defender עבור Office 365.

• ‏הגנה על חשבונות בעדיפות גבוהה ב- Defender עבור Office 365 Plan 2: שאלה טבעית היא, "האם לא כל המשתמשים הם בעדיפות גבוהה? למה לא להגדיר את כל המשתמשים כחשבונות בעדיפות גבוהה לצורך הגנה כזו?" אכן, כל המשתמשים חשובים, אך ההגנה על חשבונות בעדיפות גבוהה ב- Defender עבור Office 365 Plan 2 (למשל, ב- Business Premium עם הרחבת סוויטת Microsoft Defender עבור הרחבת Business Premium) מציעה את היתרונות הבאים:

  • ‏היוריסטיקות נוספות: הניתוח שלנו של תעבורת הדוא"ל במרכזי הנתונים של Microsoft מראה שתבניות התעבורה של מנהלים בכירים שונות מאלה של משתמשים רגילים. ההגנה על חשבונות בעדיפות גבוהה מציעה היוריסטיקות ייחודיות המיועדות במיוחד למנהלים בכירים, ולא תורמות למשתמשים רגילים.
  • ‏נראות נוספת בדוחות: תיוג כחשבון בעדיפות גבוהה מאפשר למקד חקירות לפי מסנן ייעודי.

  למידע נוסף, ראה הגדרה ובדיקה של הגנה על חשבונות בעדיפות גבוהה ב- Microsoft Defender עבור Office 365.

  עצה

  כאשר מחילים הגנה על חשבון בעדיפות גבוהה על תיבת דוא"ל, יש להחיל אותה גם על משתמשים שיש להם גישה לתיבה. לדוגמה, המנכ"ל והעוזר הבכיר שלו.

• ‏ניטור דוא"ל ב- Exchange Online: התכונות לניטור דוא"ל עבור חשבונות בעדיפות גבוהה דורשות את התנאים הבאים:

  • לפחות 5,000 רישיונות, מכל שילוב של המוצרים הבאים:

    • Office 365 E3
    • Microsoft 365 E3
    • Office 365 E3
    • Microsoft 365 E5

    לדוגמה, אם לארגון שלך יש 3,000 רישיונות Office 365 E3 ו־2,500 רישיונות Microsoft 365 E5, יש לך בסך הכול 5,500 רישיונות ממוצרים מתאימים.

  • לפחות 50 משתמשים פעילים בחודש באחד או יותר מהשירותים המרכזיים:

    • Microsoft Teams
    • OneDrive
    • SharePoint
    • Lync for Mac 2011
    • אפליקציות היעילות של Microsoft 365

  אם הארגון שלך עומד בשני התנאים האלו, ניתן להשתמש בתכונות ניטור הדוא"ל הבאות עבור חשבונות בעדיפות גבוהה:

  • ‏ניטור חשבונות בעדיפות גבוהה ב- Exchange Online: ניתן לצפות בתקינות החשבונות בתרחישים כמו רישוי Exchange, אחסון תיבות דואר, מגבלות הודעות ומסירה. למידע נוסף, ראה תרחישים לניטור חשבונות בעדיפות גבוהה.

  • ‏ניטור זרימת דואר פרימיום: זרימת דוא"ל תקינה עשויה להיות קריטית להצלחת העסק, ועיכובים או כשלים במסירה עלולים לפגוע בו. ניתן להגדיר סף לכשל או עיכוב במסירה, לקבל התראות כאשר הסף חורג, ולסקור דוח בעיות דוא"ל עבור חשבונות בעדיפות גבוהה. למידע נוסף, ראה דוח בעיות דוא"ל עבור חשבונות בעדיפות גבוהה בממשק EAC החדש

מידע נוסף

שימוש בחשבונות בעדיפות גבוהה ב- Microsoft 365