步骤 2. 保护 Microsoft 365 特权帐户
此文章适用于 Microsoft 365 企业版和 Office 365 企业版。
查看有关小型企业帮助和学习的所有小型企业内容。
Microsoft 365 租户的安全漏洞(包括信息收集和网络钓鱼攻击)通常通过泄露 Microsoft 365 特权帐户的凭据来完成。 云中的安全性是你和 Microsoft 之间的合作关系:
Microsoft 云服务以信任和安全为基础。 Microsoft 提供有助于保护数据和应用程序的安全控件和功能。
你的数据和身份为个人所有,并且你负责对这些数据和身份、本地资源安全性和所控制的云组件安全性进行保护。
Microsoft 提供有助于保护组织的功能,但仅当你使用这些功能时,这些功能才有效。 如果不使用它们,则可能容易受到攻击。 为了保护你的特权帐户,Microsoft 将为你提供详细说明,以便:
创建基于云的专用特权帐户,并仅在必要时使用它们。
为专用 Microsoft 365 特权帐户配置多重身份验证 (MFA) ,并使用最强形式的辅助身份验证。
使用零信任标识和设备访问建议保护特权帐户。
注意
若要保护特权角色,检查Microsoft Entra角色的最佳做法,以保护对租户的特权访问。
1. 创建专用的特权基于云的用户帐户,并仅在必要时使用它们
创建在 Microsoft Entra ID 中具有管理员角色的专用用户帐户,而不是使用分配有管理员角色的日常用户帐户。
从此刻起,仅针对需要管理员权限的任务使用专用特权帐户登录。 所有其他 Microsoft 365 管理必须通过向用户帐户分配其他管理角色来完成。
注意
这需要额外的步骤才能注销为日常用户帐户,并使用专用管理员帐户登录。 但是,这只需要偶尔为管理员操作执行。 请考虑在管理员帐户泄露后恢复 Microsoft 365 订阅需要执行更多步骤。
还需要创建紧急访问帐户,以防止意外锁定Microsoft Entra ID。
可以使用 Microsoft Entra Privileged Identity Management (PIM) 进一步保护特权帐户,以便按需、实时分配管理员角色。
2. 为专用 Microsoft 365 特权帐户配置多重身份验证
多重身份验证 (MFA) 需要帐户名称和密码以外的其他信息。 Microsoft 365 支持以下额外验证方法:
- Microsoft Authenticator 应用
- 电话联络
- 通过短信发送的随机生成的验证码
- 智能卡 (虚拟或物理) (需要联合身份验证)
- 生物识别设备
- Oauth 令牌
注意
对于必须遵守国家标准与技术研究院 (NIST) 标准的组织,将限制使用基于电话或短信的其他验证方法。 单击此处了解详细信息。
如果你是一家仅使用存储在云中的用户帐户 (仅限云标识模型) 的小型企业,请为每个专用特权帐户 设置 MFA 以使用电话呼叫或发送到智能手机的短信验证码来配置 MFA。
如果你是使用 Microsoft 365 混合标识模型的较大组织,则有更多的验证选项。 如果已为更强大的辅助身份验证方法设置了安全基础结构, 请设置 MFA 并为相应的验证方法配置每个专用特权帐户。
如果所需的更强验证方法的安全基础结构未到位,并且适用于 Microsoft 365 MFA,我们强烈建议你使用 Microsoft Authenticator 应用、电话呼叫或发送到智能手机的短信验证码(作为临时安全措施)配置具有 MFA 的专用特权帐户。 如果没有 MFA 提供的额外保护,请不要离开专用特权帐户。
有关详细信息,请参阅 MFA for Microsoft 365。
3. 使用零信任标识和设备访问建议保护管理员帐户
为了帮助确保员工的安全和高效,Microsoft 提供了一组有关 标识和设备访问的建议。 对于标识,请使用以下文章中的建议和设置:
企业组织的其他保护
使用这些附加方法可确保特权帐户以及使用它执行的配置尽可能安全。
特权访问工作站
若要确保高特权任务的执行尽可能安全,请使用特权访问工作站 (PAW) 。 PAW 是专用计算机,仅用于敏感配置任务,例如需要特权帐户的 Microsoft 365 配置。 由于此计算机不每天用于 Internet 浏览或电子邮件,因此更好地保护它免受 Internet 攻击和威胁。
有关如何设置 PAW 的说明,请参阅 将保护设备作为特权访问故事的一部分。
若要为Microsoft Entra租户和管理员帐户启用 Azure PIM,请参阅配置 PIM 的步骤。
若要制定全面的路线图来保护针对网络攻击者的特权访问,请参阅在 Microsoft Entra ID 中保护混合和云部署的特权访问。
Privileged Identity Management
可以使用 PIM 在需要时启用管理员角色的按需实时分配,而不是让特权帐户永久分配管理员角色。
管理员帐户从永久管理员更改为符合条件的管理员。 有人需要管理员角色时,才会激活它。 然后完成激活过程,在预定的时间内将管理员角色添加到特权帐户。 当时间过期时,PIM 会从特权帐户中删除管理员角色。
使用 PIM 和此过程可显著减少特权帐户容易受到恶意用户攻击和使用的时间。
使用此功能需要Microsoft Entra ID 治理或Microsoft Entra ID P2 订阅。 若要找到适合你的要求的许可证,请参阅比较Microsoft Entra ID的正式版功能。
有关用户许可证的信息,请参阅使用Privileged Identity Management的许可证要求。
有关更多信息,请参阅:
特权访问管理
特权访问管理是通过配置策略来为租户中基于任务的活动指定实时访问来实现的。 它可以帮助保护组织免受可能使用现有特权管理员帐户的违规行为,这些帐户具有对敏感数据的永久访问权限或对关键配置设置的访问权限。 例如,可以配置特权访问管理策略,该策略需要显式批准才能访问和更改租户中的组织邮箱设置。
在此步骤中,你将在租户中启用特权访问管理,并配置特权访问策略,以便为组织的基于任务的访问和配置设置提供额外的安全性。 在组织中开始使用特权访问有三个基本步骤:
- 创建审批者的组
- 启用特权访问
- 创建审批策略
特权访问管理使你的组织能够以零长期特权运行,并提供一层防御漏洞,因为这种长期管理访问。 特权访问需要批准来执行定义了关联审批策略的任何任务。 需要执行审批策略中包含的任务的用户必须请求并被授予访问权限审批。
若要启用特权访问管理,请参阅 特权访问管理入门。
有关详细信息,请参阅 了解特权访问管理。
Microsoft 365 日志记录 (SIEM) 软件的安全信息和事件管理
在服务器上运行的 SIEM 软件对应用程序和网络硬件创建的安全警报和事件执行实时分析。 若要允许 SIEM 服务器在其分析和报告功能中包含 Microsoft 365 安全警报和事件,请将Microsoft Entra ID集成到 SEIM 中。 请参阅Azure 日志集成简介。
后续步骤
继续 执行步骤 3 来保护用户帐户。