信任管理員和外部顧問是安全過程的關鍵部分。但是管理員值得信任嗎?這是一個問題。最近，一個托管服務提供商(MSP)的員工出售了對客戶群的訪問權限。幾年前，微軟安全策略師Steve Riley在公司安全會議上詢問與會人員是否信任管理員。令人驚訝的是，會議室中的大多數人表示他們并不信任管理員。

正如Riley當時所說：“如果我們不能信任我們雇用的人員來建立和管理關鍵任務網絡，因為這是成功業務的基礎，那么我們不妨推翻一切重頭再來。”

以下是個人對建立內部和外部管理員信任的一些建議。

[[317762]]

一、利用端到端的流程來管理和監視

信任管理員就需要承擔風險，但是經歷面試、調查、雇用、監控和終止具有管理員角色的員工或顧問的流程，可以將這種風險降到最低。

查看企業管理員的教育程度和經驗。對每位雇員或顧問進行背景調查，并讓他們簽署保密協議。確保都遵守并了解行業制定的所以相關的法規。

二、不要忘記具有管理員權限的第三方軟件

此外，還需要監視另一個管理角色：具有服務賬號權限的第三方軟件。在Office 365部署中設置第三方軟件時，應查看該軟件請求哪些權限，并確保該軟件將信息存儲在與任務授權相符的位置。

例如，云備份過程可能需要具有特定權限的服務賬號才能備份或監視企業的云資產。那么這時則需要為條件訪問規則設置排除項，以正確設置賬號。

三、部署、管理和監視多因素身份驗證

對于所有這些角色，管理和審核訪問權限的能力是關鍵，確保網絡只允許合適的用戶和管理員訪問并遵守相關策略。當在企業中應用多因素身份驗證(MFA)時，管理和監視MFA使用的情況也很關鍵。

在外包網絡管理的小型企業中，一個管理顧問通常有多個員工來處理多個客戶的訪問。Office 365的管理員賬號不需要額外的許可。在小型企業網絡中，通常無需分開管理職責，并且可以將全局管理員權限分配給多個員工。此外，帶有Microsoft Authenticator或Google Authenticator的MFA可以安裝在多個電話設備上。因此，如果客戶希望只有一個全局管理員，且可以使用MFA在多個設備上保護訪問權限。

一些顧問可能會說他們無法實施MFA，因為他們不能在員工之間共享憑據。他們無法提出可行的職責分配解決方案，這意味著他們的客戶將面臨不必要的風險。雖然共享憑據不是理想的情況，但這不應該是不采用MFA的理由。

實際上，Microsoft要求所有合作伙伴賬號都必須使用MFA。此外，Microsoft更改了安全默認設置，在以下角色中授權MFA：全局管理員、SharePoint管理員、Exchange管理員、條件訪問管理員、安全管理員、運維管理員或密碼管理員、計費管理員、用戶管理員和身份驗證管理員。

[[317763]]

四、共享訪問風險最小化

雖然共享訪問權限對于小型企業而言風險較小，但對于大型企業而言并不是一個好的解決方案。應密切監視管理權限，尤其是全局管理權限，并限制其范圍。然而，這種訪問不應僅限于業務流程。要求管理員提交訪問文件，這不意味著是對訪問的適當限制，而且通常會導致更多問題。相反，要設置管理員流程。首先，確保它們只能從適當的位置并使用適當的特權進行工作網站登錄。

然后，謹慎使用全局管理員賬號。如Microsoft所述，在租戶中最多設置五個全局管理員賬號。再確定是否可以設定訪問特定區域的子管理員賬號。這類用戶可以設置或重置非密碼憑據，并可以更新所有用戶的密碼。

五、建立緊急賬戶

當然，請設置緊急賬號，用來訪問未啟用MFA的Azure或Office 365。確保在遇到Microsoft的兩因素流程中的一些意外情況之后可以重置。設置一個沒有MFA、不包含在策略中且密碼非常長的管理賬號。完成后，設置監視功能，跟蹤該賬號的使用情況，一旦有任何情況就能夠得到提醒。

最重要的是，企業負責人不僅應該信任管理員，還應該相信他們的登錄入口的安全性，相信他們只能在啟用MFA的情況下登錄。