Trinn 2. Beskytt microsoft 365-privilegerte kontoer
Denne artikkelen gjelder for både Microsoft 365 Enterprise og Office 365 Enterprise.
Ta en titt på alt innholdet vårt for små bedrifter i Hjelp og læring for små bedrifter.
Sikkerhetsbrudd på en Microsoft 365-leier, inkludert innhøsting av informasjon og phishing-angrep, gjøres vanligvis ved å gå på akkord med legitimasjonen til en privilegert Microsoft 365-konto. Sikkerhet i skyen er et partnerskap mellom deg og Microsoft:
Microsoft-skytjenester er bygd på et grunnlag av tillit og sikkerhet. Microsoft gir deg sikkerhetskontroller og funksjoner som hjelper deg med å beskytte dataene og programmene dine.
Du eier dataene og identitetene dine og ansvaret for å beskytte dem, sikkerheten til de lokale ressursene og sikkerheten til skykomponentene du kontrollerer.
Microsoft tilbyr funksjoner for å beskytte organisasjonen, men de er bare effektive hvis du bruker dem. Hvis du ikke bruker dem, kan du være sårbar for angrep. For å beskytte dine privilegerte kontoer er Microsoft her for å hjelpe deg med detaljerte instruksjoner for å:
Opprett dedikerte, privilegerte, skybaserte kontoer, og bruk dem bare når det er nødvendig.
Konfigurer godkjenning med flere faktorer (MFA) for de dedikerte Microsoft 365-privilegerte kontoene dine, og bruk den sterkeste formen for sekundær godkjenning.
Beskytt privilegerte kontoer med nulltillit identitets- og enhetstilgangsanbefalinger.
Obs!
Hvis du vil sikre dine privilegerte roller, kan du se anbefalte fremgangsmåter for Microsoft Entra roller for å sikre privilegert tilgang til leieren.
1. Opprett dedikerte, privilegerte, skybaserte brukerkontoer, og bruk dem bare når det er nødvendig
I stedet for å bruke vanlige brukerkontoer som har blitt tilordnet administratorroller, kan du opprette dedikerte brukerkontoer som har administratorroller i Microsoft Entra ID.
Fra nå av logger du på med de dedikerte privilegerte kontoene bare for oppgaver som krever administratorrettigheter. All annen Microsoft 365-administrasjon må gjøres ved å tilordne andre administrasjonsroller til brukerkontoer.
Obs!
Dette krever flere trinn for å logge av som den daglige brukerkontoen og logge på med en dedikert administratorkonto. Men dette trenger bare å gjøres av og til for administratoroperasjoner. Vurder at gjenoppretting av Microsoft 365-abonnementet etter et brudd på en administratorkonto krever mange flere trinn.
Du må også opprette nødtilgangskontoer for å hindre at de blir låst ute av Microsoft Entra ID ved et uhell.
Du kan ytterligere beskytte de privilegerte kontoene dine med Microsoft Entra Privileged Identity Management (PIM) for behovsbetinget tilordning av administratorroller.
2. Konfigurer godkjenning med flere faktorer for de dedikerte Microsoft 365-privilegerte kontoene dine
Godkjenning med flere faktorer (MFA) krever tilleggsinformasjon utover kontonavnet og passordet. Microsoft 365 støtter disse ekstra bekreftelsesmetodene:
- Microsoft Authenticator-appen
- En telefonsamtale
- En tilfeldig generert bekreftelseskode som sendes via en tekstmelding
- Et smartkort (virtuelt eller fysisk) (krever organisasjonsbasert godkjenning)
- En biometrisk enhet
- Oauth-token
Obs!
For organisasjoner som må følge NIST-standarder (National Institute of Standards and Technology), er bruken av en telefonsamtale eller tekstmeldingsbaserte flere bekreftelsesmetoder begrenset. Klikk her for å få mer informasjon.
Hvis du er en liten bedrift som bruker brukerkontoer som bare er lagret i skyen (den skybaserte identitetsmodellen), konfigurerer du MFA til å konfigurere MFA ved hjelp av en telefonsamtale eller en bekreftelseskode for tekstmeldinger som sendes til en smarttelefon for hver dedikerte privilegerte konto.
Hvis du er en større organisasjon som bruker en hybrid identitetsmodell for Microsoft 365, har du flere bekreftelsesalternativer. Hvis du allerede har sikkerhetsinfrastrukturen på plass for en sterkere sekundær godkjenningsmetode, konfigurerer du MFA og konfigurerer hver dedikerte privilegerte konto for riktig bekreftelsesmetode.
Hvis sikkerhetsinfrastrukturen for ønsket sterkere bekreftelsesmetode ikke er på plass og fungerer for Microsoft 365 MFA, anbefaler vi på det sterkeste at du konfigurerer dedikerte privilegerte kontoer med MFA ved hjelp av Microsoft Authenticator-appen, en telefonsamtale eller en tekstmeldingsbekreftelseskode som sendes til en smarttelefon for dine privilegerte kontoer som et midlertidig sikkerhetstiltak. Ikke forlat dine dedikerte privilegerte kontoer uten ekstra beskyttelse fra MFA.
Hvis du vil ha mer informasjon, kan du se MFA for Microsoft 365.
3. Beskytt administratorkontoer med nulltillit anbefalinger for identitets- og enhetstilgang
Microsoft gir et sett med anbefalinger for identitet og enhetstilgang for å sikre en sikker og produktiv arbeidsstyrke. Bruk anbefalingene og innstillingene i disse artiklene for identitet:
Ekstra beskyttelser for virksomhetsorganisasjoner
Bruk disse ekstra metodene for å sikre at den privilegerte kontoen og konfigurasjonen du utfører ved hjelp av den, er så sikker som mulig.
Arbeidsstasjon med privilegert tilgang
For å sikre at utførelsen av svært privilegerte oppgaver er så sikker som mulig, kan du bruke en privilegert tilgangsarbeidsstasjon (PAW). En PAW er en dedikert datamaskin som bare brukes til sensitive konfigurasjonsoppgaver, for eksempel Microsoft 365-konfigurasjon som krever en privilegert konto. Siden denne datamaskinen ikke brukes daglig for nettlesing eller e-post, er den bedre beskyttet mot Internett-angrep og trusler.
Hvis du vil ha instruksjoner om hvordan du konfigurerer en PAW, kan du se Sikre enheter som en del av den privilegerte tilgangshistorien.
Hvis du vil aktivere Azure PIM for Microsoft Entra leier- og administratorkontoer, kan du se fremgangsmåten for å konfigurere PIM.
Hvis du vil utvikle et omfattende veikart for å sikre privilegert tilgang mot cyberangripere, kan du se Sikre privilegert tilgang for hybrid- og skydistribusjoner i Microsoft Entra ID.
Privileged Identity Management
I stedet for å få de privilegerte kontoene dine permanent tilordnet en administratorrolle, kan du bruke PIM til å aktivere behovsbetinget tilordning av administratorrollen når det er nødvendig.
Administratorkontoene går fra permanente administratorer til kvalifiserte administratorer. Administratorrollen er inaktiv til noen trenger den. Deretter fullfører du en aktiveringsprosess for å legge til administratorrollen i den privilegerte kontoen for en forhåndsbestemt tidsperiode. Når tiden utløper, fjerner PIM administratorrollen fra den privilegerte kontoen.
Bruk av PIM og denne prosessen reduserer betydelig tiden da de privilegerte kontoene dine er sårbare for angrep og bruk av ondsinnede brukere.
Bruk av denne funksjonen krever enten Microsoft Entra ID-styring eller Microsoft Entra ID P2-abonnementer. Hvis du vil finne riktig lisens for kravene dine, kan du se Sammenligne generelt tilgjengelige funksjoner i Microsoft Entra ID.
Hvis du vil ha informasjon om lisenser for brukere, kan du se Lisenskrav for å bruke Privileged Identity Management.
Hvis du vil ha mer informasjon, kan du se:
- Privileged Identity Management.
- Sikre privilegert tilgang for hybrid- og skydistribusjoner i Microsoft Entra ID
Privileged Access Management
Behandling av privilegert tilgang aktiveres ved å konfigurere policyer som angir just-in-time-tilgang for aktivitetsbaserte aktiviteter i leieren. Det kan bidra til å beskytte organisasjonen mot brudd som kan bruke eksisterende privilegerte administratorkontoer med stående tilgang til sensitive data eller tilgang til kritiske konfigurasjonsinnstillinger. Du kan for eksempel konfigurere en privilegert policy for tilgangsbehandling som krever eksplisitt godkjenning for å få tilgang til og endre organisasjonens postboksinnstillinger i leieren.
I dette trinnet skal du aktivere privilegert tilgangsadministrasjon i leieren og konfigurere privilegerte tilgangspolicyer som gir ekstra sikkerhet for oppgavebasert tilgang til data- og konfigurasjonsinnstillinger for organisasjonen. Det finnes tre grunnleggende trinn for å komme i gang med privilegert tilgang i organisasjonen:
- Opprette en godkjennergruppe
- Aktivere privilegert tilgang
- Opprette godkjenningspolicyer
Privilegert tilgangsadministrasjon gjør det mulig for organisasjonen å operere med null stående rettigheter og gi et lag med forsvar mot sårbarheter som oppstår på grunn av slik stående administrativ tilgang. Privilegert tilgang krever godkjenninger for å utføre aktiviteter som har en tilknyttet godkjenningspolicy definert. Brukere som trenger å utføre oppgaver som er inkludert i godkjenningspolicyen, må be om og få tilgangsgodkjenning.
Hvis du vil aktivere privilegert tilgangsbehandling, kan du se Komme i gang med privilegert tilgangsbehandling.
Hvis du vil ha mer informasjon, kan du se Lær om privilegert tilgangsbehandling.
Programvare for sikkerhetsinformasjon og hendelsesbehandling (SIEM) for Microsoft 365-logging
SIEM-programvare som kjøres på en server, utfører sanntidsanalyse av sikkerhetsvarsler og hendelser som er opprettet av programmer og nettverksmaskinvare. Hvis du vil tillate at SIEM-serveren inkluderer microsoft 365-sikkerhetsvarsler og -hendelser i analyse- og rapporteringsfunksjonene, integrerer du Microsoft Entra ID i SEIM. Se innføring i Azure Log Integration.
Neste trinn:
Fortsett med trinn 3 for å sikre brukerkontoene dine.
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for