管理者アカウントを保護するProtect your administrator accounts

管理者アカウントには昇格された特権が付与されていますので、ハッカーやサイバー犯罪者にとって貴重なターゲットです。Because admin accounts come with elevated privileges, they're valuable targets for hackers and cyber criminals. この記事の内容This article describes:

  • 緊急事態に備え、追加の管理者アカウントを設定する方法。How to set up an additional administrator account for emergencies.
  • これらのアカウントを保護する方法。How to protect these accounts.

Microsoft 365 にサインアップして情報を入力すると、自動的にグローバル管理者になります。グローバル管理者は、Microsoft 管理センターのユーザー アカウントと他のすべての設定を最終的に制御できますが、アクセスの程度が異なるさまざまな種類の管理アカウントがあります。When you sign up for Microsoft 365 and enter your information, you automatically become the Global admin. A Global admin has the ultimate control of user accounts and all the other settings in the Microsoft admin center, but there are many different kinds of admin accounts with varying degrees of access. 管理 役割の種類ごとに異 なるアクセス レベルの詳細については、管理者の役割に関するページを参照してください。See about admin roles for information about the different access levels for each kind of admin role.

追加の管理者アカウントを作成するCreate additional admin accounts

管理アカウントは管理にのみ使用します。Use admin accounts only for administration. 管理者は、Office アプリを定期的に使用するための個別のユーザー アカウントを持ち、アカウントやデバイスの管理や他の管理機能の作業に必要な場合にのみ管理アカウントを使用する必要があります。Admins should have a separate user account for regular use of Office apps and only use their administrative account when necessary to manage accounts and devices, and while working on other admin functions. また、管理者アカウントから Microsoft 365 ライセンスを削除して、支払いを行う必要がなさる必要がなさるのも良い考えです。It's also a good idea to remove the Microsoft 365 license from the admin accounts so you don't have to pay for them.

別の信頼できる従業員に管理者アクセス権を与えるために、少なくとも 1 つの追加のグローバル管理者アカウントをセットアップする必要があります。You'll want to set up at least one additional Global admin account to give admin access to another trusted employee. ユーザー管理用に個別の管理者アカウントを作成することもできます (この役割はユーザー管理 管理者と呼ばれています)。You can also create separate admin accounts for user management (this role is called User management administrator). 詳細については、「管理者の役割 」を参照してくださいFor more information, see about admin roles.

追加の管理者アカウントを作成するには、次の方法を実行します。To create additional admin accounts:

  1. 管理センターに移動 し、 左側のナビゲーションで [ユーザー > のアクティブな ユーザー] を選択します。Go to the admin center and then choose Users > Active users in the left nav.

    左側のナビゲーションで [ユーザー] と [アクティブ ユーザー] の順に選択します。

  2. [アクティブ なユーザー] ページで、ページの上部にある [ユーザーの追加]を選択し、[新しいユーザー] パネルで名前と他の情報を入力します。On the Active users page, select Add a user at the top of the page, and on the New user panel, enter the name and other information.

  3. [役割] セクションを展開 し、[グローバル管理者] 選択して、このユーザーにグローバル管理者アクセス権を付与します。Expand the Roles section, and choose Global administrator to give this user global admin access. [カスタマイズされた管理者] を選択し 、表示される役割を選択することもできます。You can also choose Customized administrator and choose any of the roles that are displayed.

    [代替メール アドレス] テキスト ボックス に別のメールを 入力します。Enter an alternate email in the Alternative email address text box. ロックアウトされた場合は、このアドレスを使用してパスワード情報を回復できます。グローバル管理者の場合、請求明細書もこのアドレスに送信されます。You can use this address to recover your password information if you get locked out. For Global admins, a billing statement will also be sent to this address.

    管理者の役割を選択する

  4. [製品 ライセンス] セクション、Microsoft 365 Business のセレクターを [オフ] に、製品ライセンスなしでユーザーを作成するを [オン ]移動しますIn the Product licenses section, move the selector for Microsoft 365 Business to Off and the Create user without product license to On.

    製品ライセンスの選択

緊急管理者アカウントを作成するCreate an emergency admin account

また、多要素認証 (MFA) でセットアップされていないバックアップ アカウントを作成して、誤って自分自身をロックアウトしないようにする必要があります (たとえば、第 2 の検証形式として使用している携帯電話を紛失した場合など)。You should also create a backup account that isn't set up with multi-factor authentication (MFA) so you don't accidentally lock yourself out (for example if you lose your phone that you're using as a second form of verification). このアカウントのパスワードが語句または 16 文字以上である必要があります。Make sure that the password for this account is a phrase or at least 16 characters long. これは、多くの場合、"break-glass アカウント" と呼ばれます。This is often referred to as a "break-glass account."

自分でユーザー アカウントを作成するCreate a user account for yourself

ユーザー アカウントを使用して、メールの確認など、組織との共同作業に参加します。Use your user account to participate in collaboration with your organization, including checking mail. つまり、管理者資格情報は *Alice.Chavez @Contoso.org* に似ている可能性があります。通常のユーザー アカウントは Alice @Contoso.com に似ている可能性がありますThis means your admin credentials might be similar to Alice.Chavez @Contoso.org and your regular user account might be similar to Alice@Contoso.com.

新しいユーザー アカウントを作成するには、次の方法を実行します。To create a new user account:

  1. 管理センターに移動 し、 左側のナビゲーションで [ユーザー > のアクティブな ユーザー] を選択します。Go to the admin center and then choose Users > Active users in the left nav.
  2. [アクティブ なユーザー] ページで、ページの上部にある [ユーザーの追加]を選択し、[新しいユーザー] パネルで名前と他の情報を入力します。On the Active users page, select Add a user at the top of the page, and on the New user panel, enter the name and other information.
  3. [役割] セクションを展開 し、[ユーザー] (管理アクセスなし) を選択しますExpand the Roles section, and choose User (no administrative access).
  4. [製品 ライセンス] セクション、Microsoft 365 Business のセレクターを [オン] に移動 しますIn the Product licenses section, move the selector for Microsoft 365 Business to On.

セキュリティの既定値を有効にするTurn on security defaults

セキュリティの既定値は、Microsoft が組織の代わりに管理する構成済みのセキュリティ設定を提供することで、組織を ID 関連の攻撃から保護するのに役立ちます。Security defaults help protect your organization from identity-related attacks by providing preconfigured security settings that Microsoft manages on behalf of your organization. これらの設定には、すべての管理者およびユーザー アカウントに対して多要素認証 (MFA) を有効にする機能が含まれます。These settings include enabling multi-factor authentication (MFA) for all admins and user accounts. セキュリティの既定値の詳細と有効にする方法については、「セキュリティの既定値を有効にする 」を参照してくださいFor more information about security defaults and to learn how to enable them on, see Turn on security defaults.

その他の推奨事項Additional recommendations

  • 管理者アカウントを使用する前に、関連のないブラウザー セッションとアプリ (個人用メール アカウントを含む) を閉じます。Before using admin accounts, close out all unrelated browser sessions and apps, including personal email accounts. プライベート ウィンドウまたはシークレット ブラウザー ウィンドウでも使用できます。You can also use in private, or incognito browser windows.
  • 管理タスクを完了した後は、必ずブラウザー セッションからサインアウトしてください。After completing admin tasks, be sure to sign out of the browser session.