Bảo vệ quyền truy cập vào dữ liệu và dịch vụ Office 365

Bảo vệ quyền truy cập vào dữ liệu và dịch vụ Office 365 của bạn đóng vai trò cực kì quan trọng trong việc bảo vệ chống lại các cuộc tấn công mạng và chống mất dữ liệu. Các biện pháp bảo vệ tương tự có thể được áp dụng cho các ứng dụng SaaS khác trong môi trường của bạn và thậm chí cho các ứng dụng trong máy đi kèm với Proxy ứng dụng Azure Active Directory.

1. Bảo vệ người dùng và quyền truy cập vào dữ liệu

Bước 1: Xem xét đề xuất

Bạn nên cân nhắc các đề xuất nhằm bảo vệ danh tính và thiết bị truy cập Office 365, các ứng dụng SaaS khác trong môi trường của bạn và thậm chí cho các ứng dụng trong máy đi kèm với Proxy ứng dụng Azure Active Directory.

Bước 2: Bảo vệ tài khoản quản trị viên và quyền truy cập

Các tài khoản quản trị bạn sử dụng để quản trị môi trường Office 365 bao gồm các đặc quyền nâng cao. Đây là những mục tiêu có giá trị cho tin tặc và tội phạm mạng.

Chúng ta bắt đầu bằng cách sử dụng tài khoản quản trị viên. Quản trị viên nên có một tài khoản người dùng riêng để sử dụng với chế độ không quản trị và chỉ sử dụng tài khoản quản trị của họ khi cần thiết để hoàn thành một nhiệm vụ liên quan đến chức năng công việc.

Bảo vệ tài khoản quản trị viên của bạn với xác thực đa yếu tố và truy cập có điều kiện.

Tiếp theo, định cấu hình quản lý truy cập đặc quyền trong Office 365. Quản lý truy cập đặc quyền cho phép kiểm soát truy cập chi tiết đối với các tác vụ quản trị viên đặc quyền trong Office 365. Nó có thể giúp bảo vệ tổ chức của bạn tránh khỏi các vi phạm mà sử dụng tài khoản quản trị viên đặc quyền hiện có với quyền truy cập vào dữ liệu nhạy cảm hoặc quyền truy cập quan trọng thiết lập cấu hình.

Một đề xuất hàng đầu khác là sử dụng các workstations được cấu hình cụ thể cho công việc hành chính. Đây là những thiết bị chuyên dụng chỉ được sử dụng cho các nhiệm vụ quản trị.

Cuối cùng, bạn có thể giảm thiểu tác động của việc mất quyền truy cập bằng cách tạo hai hoặc nhiều tài khoản truy cập khẩn cấp trong tenant của bạn.

Bước 3: Định cấu hình nhận dạng được đề xuất và chính sách truy cập thiết bị

Xác thực đa yếu tố (MFA) và các chính sách truy cập có điều kiện là các công cụ mạnh mẽ để giảm thiểu các tài khoản bị xâm nhập và truy cập trái phép. Chúng tôi khuyên bạn nên thực hiện một bộ chính sách đã được thử nghiệm song hành.

Các chính sách này thực hiện các khả năng sau:

  • Xác thực đa yếu tố
  • Truy cập có điều kiện
  • Bảo vệ ứng dụng Intune (bảo vệ ứng dụng và dữ liệu cho thiết bị)
  • Tuân thủ thiết bị Intune
  • Bảo vệ danh tính Azure AD

Áp dụng tuân thủ thiết bị Intune yêu cầu đăng ký thiết bị. Quản lý thiết bị cho phép bạn đảm bảo rằng chúng an toàn và tuân thủ tốt trước khi cho phép chúng truy cập vào tài nguyên trong môi trường của bạn.

Bước 4: Định cấu hình chính sách truy cập thiết bị SharePoint

Microsoft khuyên bạn nên bảo vệ nội dung trong các trang SharePoint có nội dung nhạy cảm và được kiểm soát chặt chẽ với các điều khiển truy cập thiết bị.

2. Quản lý truy cập đặc quyền trong Office 365

Quản lý truy cập đặc quyền (Privileged access management) cho phép kiểm soát truy cập chi tiết đối với các tác vụ quản trị viên đặc quyền trong Office 365. Nó có thể giúp bảo vệ tổ chức của bạn tránh xa các vi phạm (sử dụng tài khoản quản trị đặc quyền với quyền truy cập thường xuyên vào dữ liệu nhạy cảm hoặc truy cập vào cài đặt cấu hình quan trọng). Quản lý truy cập đặc quyền yêu cầu người dùng có quyền truy cập kịp thời để hoàn thành các nhiệm vụ nâng cao và đặc quyền thông qua quy trình phê duyệt có phạm vi cao và giới hạn thời gian. Điều này cho phép người dùng truy cập vừa đủ để thực hiện tác vụ liền tay mà không có nguy cơ lộ dữ liệu nhạy cảm hoặc cài đặt cấu hình quan trọng. Kích hoạt quản lý truy cập đặc quyền trong Office 365 cho phép tổ chức của bạn hoạt động với các đặc quyền thường trực và cung cấp một lớp bảo vệ chống lại các lỗ hổng truy cập quản trị thường trực.

2.1. Các lớp bảo vệ

Quản lý truy cập đặc quyền bổ sung cho các bảo vệ về mặt dữ liệu và tính năng truy cập khác trong kiến trúc bảo mật của Office 365. Quản lý truy cập đặc quyền đóng vai trò như một phần của cách tiếp cận tích hợp và phân lớp để bảo mật, cung cấp một mô hình bảo mật nhằm tối đa hóa việc bảo vệ thông tin nhạy cảm và cài đặt cấu hình Office 365. Như được hiển thị trong sơ đồ, quản lý truy cập đặc quyền được xây dựng trên sự bảo vệ được cung cấp với mã hóa riêng của dữ liệu Office 365 và mô hình bảo mật kiểm soát truy cập dựa trên vai trò của các dịch vụ Office 365.

Quản lý truy cập đặc quyền trong Office 365 được xác định và giới hạn ở cấp độ nhiệm vụ, trong khi Quản lý danh tính đặc quyền Azure AD (Azure AD Privileged Identity Management) áp dụng bảo vệ ở cấp vai trò với khả năng thực thi nhiều tác vụ. Quản lý truy cập đặc quyền Azure AD chủ yếu cho phép quản lý truy cập cho các vai trò và nhóm vai trò AD, trong khi quản lý truy cập đặc quyền trong Office 365 chỉ áp dụng ở cấp độ nhiệm vụ.

  • Kích hoạt quản lý truy cập đặc quyền trong Office 365 trong khi đã sử dụng Quản lý nhận dạng đặc quyền Azure AD: Thêm quản lý truy cập đặc quyền trong Office 365 cung cấp một lớp bảo vệ và khả năng kiểm tra chi tiết khác để truy cập đặc quyền vào dữ liệu Office 365.
  • Bật Quản lý danh tính đặc quyền Azure AD trong khi đã sử dụng quản lý truy cập đặc quyền trong Office 365: Thêm Quản lý nhận dạng đặc quyền Azure AD vào quản lý truy cập đặc quyền trong Office 365 có thể mở rộng quyền truy cập vào dữ liệu bên ngoài Office 365 mà chủ yếu được xác định bởi vai trò hoặc danh tính của người dùng.

2.2. Kiến trúc quản lý truy cập đặc quyền và quy trình xử lý

Mỗi luồng quy trình sau phác thảo Kiến trúc quản lý truy cập đặc quyền và cách nó tương tác với Office 365 substrate, Office 365 auditing và không gian quản lý Exchange Management.

Bước 1: Định cấu hình chính sách truy cập đặc quyền

Bước 2: Yêu cầu truy cập

Bước 3: Phê duyệt truy cập

Bước 4: Xử lý truy cập

2.3. Các câu hỏi thường gặp

SKU nào có thể sử dụng quyền truy cập đặc quyền trong Office 365?

Quản lý truy cập đặc quyền có sẵn cho khách hàng với Office 365 E5 và SKU tuân thủ nâng cao.

Khi nào quyền truy cập đặc quyền sẽ hỗ trợ khối lượng công việc Office 365 ngoài Exchange?

Quản lý truy cập đặc quyền sẽ sớm có sẵn trong các khối lượng công việc khác của Office 365.

Tổ chức của tôi cần hơn 30 chính sách truy cập đặc quyền, liệu giới hạn này có được tăng lên không?

Có, việc tăng giới hạn hiện tại của 30 chính sách truy cập đặc quyền cho mỗi tổ chức Office 365 nằm trong lộ trình tính năng.

Tôi có cần phải là Quản trị viên Toàn cầu để quản lý quyền truy cập đặc quyền trong Office 365 không?

Không, bạn cần có vai trò Exchange Role Management được gán cho các tài khoản quản lý quyền truy cập đặc quyền trong Office 365. Nếu bạn không muốn định cấu hình vai trò Role Management dưới dạng quyền tài khoản độc lập, vai trò Quản trị viên toàn cầu bao gồm vai trò này theo mặc định và có thể quản lý truy cập đặc quyền. Người dùng được bao gồm trong nhóm người phê duyệt, không cần phải là Quản trị viên Toàn cầu hoặc được phân công vai trò Role Management để xem xét và phê duyệt các yêu cầu.

3. Định cấu hình quản lý truy cập đặc quyền trong Office 365

3.1. Kích hoạt và cấu hình quản lý truy cập đặc quyền

Thực hiện theo các bước sau để thiết lập và sử dụng quyền truy cập đặc quyền trong tổ chức Office 365 của bạn:

Bước 1: Tạo nhóm của người phê duyệt

  1. Đăng nhập vào Trung tâm quản trị Microsoft 365 bằng thông tin đăng nhập cho tài khoản quản trị viên trong tổ chức của bạn.
  2. Trong Trung tâm quản trị, đi đến Nhóm > Thêm nhóm.
  3. Chọn nhóm bảo mật kích hoạt thư và sau đó hoàn thành các trường Tên, địa chỉ email của nhóm và các trường Mô tả cho nhóm mới.
  4. Lưu nhóm. Có thể mất vài phút để nhóm được định cấu hình đầy đủ và xuất hiện trong trung tâm quản trị Microsoft 365.
  5. Chọn nhóm người phê duyệt mới và chọn chỉnh sửa để thêm người dùng vào nhóm.
  6. Lưu nhóm.

Bước 2: Cho phép truy cập đặc quyền

  1. Đăng nhập vào Trung tâm quản trị Microsoft 365 bằng thông tin đăng nhập cho tài khoản quản trị viên trong tổ chức của bạn
  2. Trong Trung tâm quản trị, truy cập Cài đặt > Bảo mật & quyền riêng tư > Quyền truy cập đặc quyền.
  3. Kích hoạt phê duyệt Yêu cầu cho kiểm soát truy cập đặc quyền.
  4. Chỉ định nhóm của người phê duyệt mà bạn đã tạo ở Bước 1 làm nhóm người phê duyệt mặc định.
  5. Lưu và Đóng.

Bước 3: Tạo chính sách truy cập

  1. Đăng nhập vào Trung tâm quản trị Microsoft 365 bằng thông tin đăng nhập cho tài khoản quản trị viên trong tổ chức của bạn.
  2. Trong Trung tâm quản trị, truy cập Cài đặt> Bảo mật & quyền riêng tư> Quyền truy cập đặc quyền.
  3. Chọn Quản lý chính sách truy cập và yêu cầu.
  4. Chọn Cấu hình chính sách và chọn Thêm chính sách.
  5. Từ các trường thả xuống, chọn các giá trị phù hợp cho tổ chức của bạn:
  • Loại chính sách: Nhiệm vụ, Vai trò hoặc Nhóm vai trò
  • Phạm vi chính sách: Trao đổi
  • Tên chính sách: Chọn từ các chính sách có sẵn
  • Loại phê duyệt: Thủ công hoặc Tự động
  • Nhóm phê duyệt: Chọn nhóm người phê duyệt được tạo ở Bước 1
  1. Chọn Tạo và sau đó Đóng. Có thể mất vài phút để chính sách được cấu hình và kích hoạt đầy đủ.

Bước 4: Gửi/phê duyệt các yêu cầu truy cập đặc quyền

  1. Đăng nhập vào Trung tâm quản trị Microsoft 365 bằng thông tin đăng nhập của bạn.
  2. Trong Trung tâm quản trị, truy cập Cài đặt > Bảo mật & quyền riêng tư > Quyền truy cập đặc quyền.
  3. Chọn Quản lý chính sách truy cập và yêu cầu.
  4. Chọn Yêu cầu mới. Từ các trường thả xuống, chọn các giá trị phù hợp cho tổ chức của bạn:
  • Loại yêu cầu: Nhiệm vụ, Vai trò hoặc Nhóm vai trò
  • Phạm vi yêu cầu: Trao đổi
  • Yêu cầu: Chọn từ các chính sách có sẵn
  • Thời lượng (giờ): Số giờ truy cập được yêu cầu. Không có giới hạn về số giờ có thể được yêu cầu.
  • Nhận xét: Trường văn bản cho ý kiến liên quan đến yêu cầu truy cập của bạn
  1. Chọn Lưu và sau đó Đóng. Yêu cầu của bạn sẽ được gửi đến nhóm của người phê duyệt qua email.

Xóa chính sách truy cập đặc quyền trong Office 365

  1. Đăng nhập vào trung tâm quản trị Microsoft 365 bằng thông tin đăng nhập cho tài khoản quản trị viên trong tổ chức của bạn.
  2. Trong trung tâm quản trị, truy cập Cài đặt> Bảo mật & Quyền riêng tư> Quyền truy cập đặc quyền.
  3. Chọn Quản lý chính sách truy cập và yêu cầu.
  4. Chọn Cấu hình chính sách.
  5. Chọn chính sách bạn muốn xóa, sau đó chọn Xóa Chính sách.
  6. Chọn Đóng.

Vô hiệu hóa quyền truy cập đặc quyền trong Office 365

  1. Đăng nhập vào trung tâm quản trị Microsoft 365 bằng thông tin đăng nhập cho tài khoản quản trị viên trong tổ chức của bạn.
  2. Trong Trung tâm quản trị, truy cập Cài đặt > Bảo mật & quyền riêng tư > Quyền truy cập đặc quyền.
  3. Kích hoạt phê duyệt Yêu cầu cho kiểm soát truy cập đặc quyền.

Bài viết thuộc về: Office365vietnam.info

Ý kiến của bạn:

This site uses Akismet to reduce spam. Learn how your comment data is processed.