管理者アカウントを保護する

[アーティクル]
03/29/2023

管理者アカウントには昇格された特権が付属しているため、サイバー攻撃の重要なターゲットです。この記事の内容

緊急時に別の管理者アカウントを設定する方法。
緊急管理者アカウントを作成する方法。
自分でユーザーアカウントを作成する方法。
管理者アカウントを保護する方法。
その他の推奨事項と次の手順。

Microsoft 365 にサインアップして情報を入力すると、自動的にグローバル管理者 (社内管理者とも呼ばれます) になります。グローバル管理者は、ユーザーアカウントとその他のすべての設定を Microsoft 管理センター (https://admin.microsoft.com) で最終的に制御できますが、アクセス度が異なるさまざまな管理者アカウントが多数存在します。管理者ロールの種類ごとに異なるアクセスレベルについて詳しくは、管理者ロールに関するページをご覧ください。

別の管理者アカウントを作成する

管理者アカウントは、Microsoft 365 の管理にのみ使用します。管理者は、Microsoft 365 Appsの定期的な使用のために別のユーザーアカウントを持つ必要があります。また、アカウントとデバイスの管理に必要な場合にのみ管理アカウントを使用し、他の管理機能で作業する必要があります。また、管理者アカウントから Microsoft 365 ライセンスを削除して、追加のライセンス料金が発生しないようにすることをお勧めします。

管理者が別の信頼できる従業員に、少なくとも 1 つの別のグローバル管理者アカウントを設定し、管理者アクセス権を付与する必要があります。ユーザー管理用に別の管理者アカウントを作成することもできます (このロールは ユーザー管理の管理者と呼ばれます)。詳細については、「管理者の役割について」を参照してください。

重要

一連の管理者アカウントを設定することをお勧めしますが、組織のグローバル管理者の数を制限する必要があります。さらに、最小特権アクセスの概念に従うことをお勧めします。つまり、業務を実行するのに必要なデータと操作にのみアクセス権を付与します。最小特権の原則について詳しくは、こちらを参照してください。

追加の管理者アカウントを作成するには:

Microsoft 365 管理センターで、左側のナビゲーションで [ユーザー>アクティブユーザー] を選択します。
[アクティブなユーザー] ページで、ページの上部にある [ユーザーの追加] を選択します。
[ユーザーの追加] パネルで、名前やユーザー名の情報などの基本情報を入力します。
[製品ライセンス] 情報を入力して設定します。
[オプションの設定] で、管理センターへのアクセスを追加するなど、ユーザーのロールを必要に応じて定義します。
設定を完了してから確認し、詳細を確定するために [追加の完了] を選択します。

緊急管理者アカウントを作成する

また、多要素認証 (MFA) で設定されていないバックアップアカウントを作成して、誤って自分をロックアウトしないようにする必要があります (たとえば、2 つ目の認証形式として使用しているスマートフォンを紛失した場合)。このアカウントのパスワードがフレーズであること、または 16 文字以上であることを確認します。緊急管理者アカウントは多くの場合、"ブレークグラスアカウント" と呼ばれます。

自分のユーザーアカウントを作成する

管理者である場合は、メールの確認など、通常の業務タスク用のユーザーアカウントが必要です。どちらがどちらであるかを把握できるように、アカウントに名前を付けます。たとえば、管理者の資格情報は Alice.Chavez@Contoso.org に似ている場合があり、通常のユーザーアカウントは Alice@Contoso.com に似ている場合があります。

新しいユーザーアカウントを作成するには:

Microsoft 365 管理センターに移動し、左側のナビゲーションで [ユーザー>のアクティブなユーザー] を選択します。
[アクティブなユーザー] ページで、ページの上部にある [ユーザーの追加] を選択して、[ユーザーの追加] パネルで名前などの情報を入力します。
[製品ライセンス] セクションで、[Microsoft 365 Business Premium (管理アクセスなし)] のチェックボックスをオンにします。
[オプションの設定] セクションにある、[ユーザー (管理センターへのアクセスなし)] ラジオボタンの選択は既定のままにします。
設定を完了してから確認し、詳細を確定するために [追加の完了] を選択します。