我之前有本地 Active Directory 背景,但在我的新职位上,我们公司完全采用 Microsoft 365/Azure AD。我们没有任何本地部署。
我们的员工分散在全国各地,都使用笔记本电脑,目前在使用 Windows 10 计算机时使用本地帐户或个人 Microsoft 帐户,并且仅使用他们的 AAD 凭据访问电子邮件、Sharepoint、Teams 等。
我计划将计算机加入 AAD 并使用 Intune 进行管理,但我们的一些 C 级人员拥有 M365/AAD 系统的全局管理员访问权限。使用本地部署时,我们从未将域管理员权限分配给常规用户帐户,而是使用常规帐户进行日常工作,并使用单独的帐户进行管理。 我是否正确地假设我应该对 AAD 执行同样的事情 - 取消其常规帐户的全局管理员权限? 如果某些恶意软件进入他们加入域的 PC 并且他们以全局管理员身份登录,这似乎就是灾难的根源。或者此设置是否有我不知道的机制来防范这种情况?
需要明确的是,我相信这些人不会滥用权力,但我正在努力防范攻击。任何指向良好 M365/AAD 安全最佳实践文档的链接也将不胜感激。(而不是建议我升级到 AAD Prem P2 以订阅其安全服务的 Microsoft“最佳实践”文章)
答案1
我是否正确地假设我应该对 AAD 执行同样的事情 - 取消其常规帐户的全局管理员权限?
您完全正确。这并非 Office 365 所特有的。这是标准最佳实践。他们(和您)应使用“标准”Office 365/Azure AD 用户帐户(无 Office 365 或 Azure 管理角色)登录您的计算机,并且您应该使用专用的、命名的 Global Admin 帐户来执行需要该角色的任务。
是否有安全措施?只有实施了这些措施才会有。其中之一是使用 Office 365 安全默认值,并为所有具有 Office 365 或 Azure AD 管理角色的帐户实施多因素身份验证。全局管理员就是全局管理员,拥有全局管理员的所有权利、权限和能力。没有保护机制可以说“哦,这个全局管理员正在从加入 Azure AD 的计算机登录,所以我们将限制他们的全局管理员能力。”