内部和外部网络管理员拥有访问权限，这可能会导致滥用和错误，从而暴露系统和数据。以下这些做法可以帮助避免这种情况。

信任管理员和外部顾问是安全过程的关键部分。但是管理员值得信任吗？这是一个问题。最近，一个托管服务提供商（MSP）的员工出售了对客户群的访问权限。几年前，微软安全策略师Steve Riley在公司安全会议上询问与会人员是否信任管理员。令人惊讶的是，会议室中的大多数人表示他们并不信任管理员。

正如Riley当时所说：“如果我们不能信任我们雇用的人员来建立和管理关键任务网络，因为这是成功业务的基础，那么我们不妨推翻一切重头再来。”

以下是个人对建立内部和外部管理员信任的一些建议。

一、利用端到端的流程来管理和监视

信任管理员就需要承担风险，但是经历面试、调查、雇用、监控和终止具有管理员角色的员工或顾问的流程，可以将这种风险降到最低。

查看企业管理员的教育程度和经验。对每位雇员或顾问进行背景调查，并让他们签署保密协议。确保都遵守并了解行业制定的所以相关的法规。

二、不要忘记具有管理员权限的第三方软件

此外，还需要监视另一个管理角色：具有服务账号权限的第三方软件。在Office 365部署中设置第三方软件时，应查看该软件请求哪些权限，并确保该软件将信息存储在与任务授权相符的位置。

例如，云备份过程可能需要具有特定权限的服务账号才能备份或监视企业的云资产。那么这时则需要为条件访问规则设置排除项，以正确设置账号。

三、部署、管理和监视多因素身份验证

对于所有这些角色，管理和审核访问权限的能力是关键，确保网络只允许合适的用户和管理员访问并遵守相关策略。当在企业中应用多因素身份验证（MFA）时，管理和监视MFA使用的情况也很关键。

在外包网络管理的小型企业中，一个管理顾问通常有多个员工来处理多个客户的访问。Office 365的管理员账号不需要额外的许可。在小型企业网络中，通常无需分开管理职责，并且可以将全局管理员权限分配给多个员工。此外，带有Microsoft Authenticator或Google Authenticator的MFA可以安装在多个电话设备上。因此，如果客户希望只有一个全局管理员，且可以使用MFA在多个设备上保护访问权限。

一些顾问可能会说他们无法实施MFA，因为他们不能在员工之间共享凭据。他们无法提出可行的职责分配解决方案，这意味着他们的客户将面临不必要的风险。虽然共享凭据不是理想的情况，但这不应该是不采用MFA的理由。 

实际上，Microsoft要求所有合作伙伴账号都必须使用MFA。此外，Microsoft更改了安全默认设置，在以下角色中授权MFA：全局管理员、SharePoint管理员、Exchange管理员、条件访问管理员、安全管理员、运维管理员或密码管理员、计费管理员、用户管理员和身份验证管理员。

四、共享访问风险最小化

虽然共享访问权限对于小型企业而言风险较小，但对于大型企业而言并不是一个好的解决方案。应密切监视管理权限，尤其是全局管理权限，并限制其范围。然而，这种访问不应仅限于业务流程。要求管理员提交访问文件，这不意味着是对访问的适当限制，而且通常会导致更多问题。相反，要设置管理员流程。首先，确保它们只能从适当的位置并使用适当的特权进行工作网站登录。   

然后，谨慎使用全局管理员账号。如Microsoft所述，在租户中最多设置五个全局管理员账号。再确定是否可以设定访问特定区域的子管理员账号。这类用户可以设置或重置非密码凭据，并可以更新所有用户的密码。 

五、建立紧急账户

当然，请设置紧急账号，用来访问未启用MFA的Azure或Office 365。确保在遇到Microsoft的两因素流程中的一些意外情况之后可以重置。设置一个没有MFA、不包含在策略中且密码非常长的管理账号。完成后，设置监视功能，跟踪该账号的使用情况，一旦有任何情况就能够得到提醒。

最重要的是，企业负责人不仅应该信任管理员，还应该相信他们的登录入口的安全性，相信他们只能在启用MFA的情况下登录。 

*参考来源：csoonline，Sandra1432编译，转载请注明来自FreeBuf.COM