Ochrona kont administratorów

Ponieważ konta administratorów mają podwyższone uprawnienia, są one cennymi celami dla cyberataków. W tym artykule opisano:

• Jak skonfigurować inne konto administratora w nagłych wypadkach.
• Jak utworzyć konto administratora awaryjnego.
• Jak utworzyć konto użytkownika dla siebie.
• Jak chronić konta administratorów.
• Dodatkowe zalecenia i następny krok.

Gdy zarejestrujesz się w usłudze Microsoft 365 i wprowadzisz swoje informacje, automatycznie zostaniesz administratorem globalnym (nazywanym również administratorem globalnym). Administrator globalny ma ostateczną kontrolę nad kontami użytkowników i wszystkimi innymi ustawieniami w centrum administracyjnym firmy Microsoft (https://admin.microsoft.com), ale istnieje wiele różnych rodzajów kont administratorów o różnym stopniu dostępu. Zobacz informacje o rolach administratora , aby uzyskać informacje o różnych poziomach dostępu dla każdego rodzaju roli administratora.

Tworzenie innych kont administratorów

Używaj kont administratora tylko na potrzeby administracji platformy Microsoft 365. Administratorzy powinni mieć oddzielne konto użytkownika do regularnego korzystania z Aplikacje Microsoft 365 i używać konta administracyjnego tylko wtedy, gdy jest to konieczne do zarządzania kontami i urządzeniami oraz podczas pracy z innymi funkcjami administratora. Dobrym pomysłem jest również usunięcie licencji platformy Microsoft 365 z kont administratorów, aby nie trzeba było płacić za dodatkowe licencje.

Należy skonfigurować co najmniej jedno inne konto administratora globalnego w celu udzielenia dostępu administratora innemu zaufanemu pracownikowi. Możesz również utworzyć oddzielne konta administratora do zarządzania użytkownikami (ta rola nosi nazwę Administrator zarządzania użytkownikami). Aby uzyskać więcej informacji, zobacz o rolach administratora.

Ważna

Mimo że zalecamy skonfigurowanie zestawu kont administratorów, należy ograniczyć liczbę administratorów globalnych w organizacji. Ponadto zalecamy przestrzeganie koncepcji dostępu z najniższymi uprawnieniami, co oznacza udzielenie dostępu tylko do danych i operacji potrzebnych do wykonywania ich zadań. Dowiedz się więcej o zasadzie najniższych uprawnień.

Aby utworzyć więcej kont administratorów:

1. W Centrum administracyjne platformy Microsoft 365 wybierz pozycję Użytkownicy>Aktywni użytkownicy w lewej nawigacji.

   

2. Na stronie Aktywni użytkownicy wybierz pozycję Dodaj użytkownika w górnej części strony.

3. W panelu Dodawanie użytkownika wprowadź podstawowe informacje, takie jak nazwa i nazwa użytkownika.

4. Wprowadź i skonfiguruj informacje o licencjach produktów .

5. W obszarze Ustawienia opcjonalne zdefiniuj rolę użytkownika, w tym w razie potrzeby dodaj dostęp Administracja centrum.

   

6. Zakończ i przejrzyj ustawienia, a następnie wybierz pozycję Zakończ dodawanie , aby potwierdzić szczegóły.

Tworzenie konta administratora awaryjnego

Należy również utworzyć konto kopii zapasowej, które nie jest skonfigurowane przy użyciu uwierzytelniania wieloskładnikowego (MFA), aby nie blokować się przypadkowo (na przykład w przypadku utraty telefonu używanego jako druga forma weryfikacji). Upewnij się, że hasło dla tego konta ma frazę lub długość co najmniej 16 znaków. To konto administratora awaryjnego jest często określane jako "konto typu break-glass".

Tworzenie konta użytkownika dla siebie

Jeśli jesteś administratorem, musisz mieć konto użytkownika do wykonywania regularnych zadań służbowych, takich jak sprawdzanie poczty. Nadaj swoim kontom nazwę, aby wiedzieć, która z nich jest. Na przykład poświadczenia administratora mogą być podobne do Alice.Chavez@Contoso.org, a zwykłe konto użytkownika może być podobne do alice@Contoso.com.

Aby utworzyć nowe konto użytkownika:

1. Przejdź do Centrum administracyjne platformy Microsoft 365, a następnie wybierz pozycję Użytkownicy>aktywni użytkownicy w lewej nawigacji.

2. Na stronie Aktywni użytkownicy wybierz pozycję Dodaj użytkownika w górnej części strony, a następnie na panelu Dodawanie użytkownika wprowadź nazwę i inne informacje.

3. W sekcji Licencje produktów zaznacz pole wyboru Microsoft 365 Business Premium (bez dostępu administracyjnego).

4. W sekcji Ustawienia opcjonalne pozostaw domyślny przycisk radiowy wybrany dla pozycji Użytkownik (brak dostępu do centrum administracyjnego).

5. Zakończ i przejrzyj ustawienia, a następnie wybierz pozycję Zakończ dodawanie , aby potwierdzić szczegóły.

Ochrona kont administratorów

Aby chronić wszystkie konta administratorów, postępuj zgodnie z następującymi zaleceniami:

• Wymagaj, aby wszystkie konta administratorów używały uwierzytelniania bez hasła (na przykład Windows Hello lub aplikacji uwierzytelniacza) lub uwierzytelniania wieloskładnikowego. Aby dowiedzieć się więcej o tym, dlaczego uwierzytelnianie bez hasła jest ważne, zobacz oficjalny dokument dotyczący zabezpieczeń firmy Microsoft: ochrona bez hasła.

• Unikaj używania uprawnień niestandardowych dla administratorów. Zamiast udzielać uprawnień określonym użytkownikom, przypisz uprawnienia za pośrednictwem ról w Microsoft Entra identyfikatorze. Ponadto przyznaj dostęp tylko do danych i operacji potrzebnych do wykonania zadania. Dowiedz się więcej o rolach o najniższych uprawnieniach w Microsoft Entra identyfikatorze.

• Użyj wbudowanych ról do przypisywania uprawnień tam, gdzie to możliwe. Kontrola dostępu oparta na rolach (RBAC) platformy Azure ma kilka wbudowanych ról, których można użyć. Dowiedz się więcej na temat Microsoft Entra wbudowanych ról.

Dodatkowe zalecenia

• Przed użyciem kont administratorów zamknij wszystkie niepowiązane sesje przeglądarki i aplikacje, w tym osobiste konta e-mail. Można również używać w oknach przeglądarki prywatnej lub incognito.

• Po wykonaniu zadań administratora wyloguj się z sesji przeglądarki.

Następny krok

Zwiększanie ochrony przed zagrożeniami dla Microsoft 365 Business Premium