在 Microsoft 365 商務進階版中保護您的系統管理員帳戶

由於系統管理員帳戶具有較高的權限,因此它們是駭客和網路犯罪的價值目標。本文說明:

當您註冊 Microsoft 365 並輸入資訊時,您會自動成為全域系統管理員 (也稱為全域管理員)。 全域系統管理員在 Microsoft 系統管理中心 (https://admin.microsoft.com) 擁有使用者帳戶和所有其他設定的最終控制權,但也有許多不同類型的系統管理員帳戶具有不同存取層級。 請參閱系統管理員角色,以取得各種系統管理員角色不同存取層級的資訊。

建立其他系統管理員帳戶

使用僅適用於 Microsoft 365 管理的系統管理員帳戶。 系統管理員應擁有個別使用者帳戶,以定期使用 Office App,且只有在需要管理帳戶和裝置時,以及處理其他系統管理功能時,才使用其系統管理帳戶。 您也可以從系統管理員帳戶移除 Microsoft 365 授權,這樣您就不需要支付額外的授權費用。

您會想要設定至少一個其他全域系統管理員帳戶,以將系統管理員存取權授予另一個受信任的員工。 您也可以為使用者管理建立個別的系統管理員帳戶 (此角色稱為 [使用者管理管理員])。 如需詳細資訊,請參閱系統管理員角色

重要

雖然我們建議您設定一組系統管理員帳戶,但您會想要限制貴組織的全域系統管理員數目。 此外,我們建議您遵守最低權限存取的概念,這表示您只對執行其作業所必需的資料和作業的存取權。 深入了解最低權限的原則

若要建立更多系統管理員帳戶:

  1. 移至 Microsoft 365 系統管理中心,然後在左側瀏覽中選擇 [使用者] > [作用中使用者]。

    選擇 [使用者],然後在左側導覽中選擇 [作用中使用者]。

  2. [作用中使用者] 頁面上,選取頁面頂端的 [新增使用者]

  3. [新增使用者] 面板中,輸入基本資訊,例如名稱和使用者名稱資訊。

  4. 輸入並設定 產品授權 資訊。

  5. [選擇性設定] 中,定義使用者的角色,包括視需要新增系統管理中心存取權。

    定義新的使用者角色

  6. 完成並檢閱您的設定,然後選取 [完成新增] 以確認詳細資料。

建立緊急系統管理員帳戶

您也應該建立未設定多重要素驗證 (MFA) 的備份帳戶,這樣您就不會不小心將自己鎖定 (例如,如果您失去手機,而您正使用做為第二種形式的驗證)。 請確定此帳戶的密碼是字詞或至少 16 個字元。 這個緊急系統管理員帳戶通常稱為「警報玻璃帳戶」。

為自己建立使用者帳戶

如果您是系統管理員,您會需要使用者帳戶來進行一般工作任務,例如檢查郵件。 為您的帳戶命名,您就會知道帳戶是誰的。 例如,您的系統管理員認證可能類似於 Alice.Chavez @Contoso.org,而您的一般使用者帳戶可能類似於 Alice @Contoso.com

若要建立新的使用者帳戶:

  1. 移至 Microsoft 365 系統管理中心,然後在左側瀏覽中選擇 [使用者] > [作用中使用者]。

  2. [作用中使用者] 頁面上,選取頁面頂端的 [新增使用者],並在 [新增使用者] 面板中輸入名稱和其他資訊。

  3. [產品授權] 章節中,選取 Microsoft 365 商務進階版 (無系統管理存取權) 核取方塊

  4. [選擇性設定] 章節中,將 使用者 (無系統管理中心存取權) 的預設選項按鈕保留。

  5. 完成並檢閱您的設定,然後選取 [完成新增] 以確認詳細資料。

保護系統管理員帳戶

若要保護所有系統管理員帳戶,請務必遵循下列建議:

  • 要求所有系統管理員帳戶使用無密碼驗證 (例如Windows Hello 或驗證器應用程式) 或 MFA。 若要深入了解為何無密碼驗證很重要,請參閱 Microsoft 安全性白皮書:無密碼保護

  • 避免使用系統管理員的自訂權限。 您不需要將權限授予特定使用者,而是透過 Azure Active Directory (Azure AD) 中的角色來指派權限。 而且,僅將存取權授予執行手邊工作所必需的資料和作業。 了解 Azure AD 中的最低權限角色

  • 盡可能使用內建角色來指派許可權。 Azure 角色型存取控制 (RBAC) 有數個您可以使用的內建角色。 深入了解 Azure AD 內建角色

其他建議:

  • 使用系統管理員帳戶之前,請關閉所有不相關的瀏覽器工作階段和應用程式,包括個人電子郵件帳戶。 您也可以在私人或無痕瀏覽器視窗中使用。

  • 完成系統管理工作之後,請務必登出瀏覽器工作階段。

下一個目標

增加 Microsoft 365 商務進階版的威脅防護