保護您的系統管理員帳戶

因為系統管理員帳戶具有較高的許可權，所以它們是網路攻擊者的重要目標。 本文說明：

• 如何設定另一個系統管理員帳戶以進行緊急回應。
• 建立緊急系統管理員帳戶的方式。
• 為自己建立使用者帳戶的方式。
• 保護系統管理員帳戶的方式。
• 其他建議 和 下一個步驟。

當您註冊 Microsoft 365 並輸入資訊時，您會自動成為全域系統管理員 (也稱為全域管理員)。 全域系統管理員在 Microsoft 系統管理中心 (https://admin.microsoft.com) 擁有使用者帳戶和所有其他設定的最終控制權，但也有許多不同類型的系統管理員帳戶具有不同存取層級。 請參閱系統管理員角色，以取得各種系統管理員角色不同存取層級的資訊。

建立其他系統管理員帳戶

使用僅適用於 Microsoft 365 管理的系統管理員帳戶。 系統管理員應該有個別的使用者帳戶，以定期使用Microsoft 365 Apps，而且只有在需要時才使用其系統管理帳戶來管理帳戶和裝置，以及處理其他系統管理員功能。 您也可以從系統管理員帳戶移除 Microsoft 365 授權，這樣您就不需要支付額外的授權費用。

您會想要設定至少一個其他全域系統管理員帳戶，以將系統管理員存取權授予另一個受信任的員工。 您也可以為使用者管理建立個別的系統管理員帳戶 (此角色稱為 [使用者管理管理員])。 如需詳細資訊，請參閱系統管理員角色。

重要事項

雖然我們建議您設定一組系統管理員帳戶，但您會想要限制貴組織的全域系統管理員數目。 此外，我們建議您遵守最低權限存取的概念，這表示您只對執行其作業所必需的資料和作業的存取權。 深入了解最低權限的原則。

若要建立更多系統管理員帳戶：

1. 在Microsoft 365 系統管理中心中，選擇左側導覽中的 [使用者>] [作用中使用者]。

   

2. 在 [作用中使用者] 頁面上，選取頁面頂端的 [新增使用者]。

3. 在 [新增使用者] 面板中，輸入基本資訊，例如名稱和使用者名稱資訊。

4. 輸入並設定 產品授權 資訊。

5. 在 [選擇性設定]中，定義使用者的角色，包括視需要新增系統管理中心存取權。

   

6. 完成並檢閱您的設定，然後選取 [完成新增] 以確認詳細資料。

建立緊急系統管理員帳戶

您也應該建立未設定多重要素驗證 (MFA) 的備份帳戶，這樣您就不會不小心將自己鎖定 (例如，如果您失去手機，而您正使用做為第二種形式的驗證)。 請確定此帳戶的密碼是字詞或至少 16 個字元。 這個緊急系統管理員帳戶通常稱為「警報玻璃帳戶」。

為自己建立使用者帳戶

如果您是系統管理員，您會需要使用者帳戶來進行一般工作任務，例如檢查郵件。 為您的帳戶命名，您就會知道帳戶是誰的。 例如，您的系統管理員認證可能類似于 Alice.Contoso.org @Contoso.org，而您的一般使用者帳戶可能類似于 Alice @Contoso.com。

若要建立新的使用者帳戶：

1. 移至[Microsoft 365 系統管理中心]，然後在左側導覽中選擇 [使用者>] [作用中使用者]。

2. 在 [作用中使用者] 頁面上，選取頁面頂端的 [新增使用者]，並在 [新增使用者] 面板中輸入名稱和其他資訊。

3. 在 [產品授權] 章節中，選取 Microsoft 365 商務進階版 (無系統管理存取權) 核取方塊。

4. 在 [選擇性設定] 章節中，將使用者 (無系統管理中心存取權) 的預設選項按鈕保留。

5. 完成並檢閱您的設定，然後選取 [完成新增] 以確認詳細資料。

保護系統管理員帳戶

若要保護所有系統管理員帳戶，請務必遵循下列建議：

• 要求所有系統管理員帳戶使用無密碼驗證 (例如Windows Hello 或驗證器應用程式) 或 MFA。 若要深入了解為何無密碼驗證很重要，請參閱 Microsoft 安全性白皮書：無密碼保護。

• 避免使用系統管理員的自訂權限。 不要將許可權授與特定使用者，而是透過Microsoft Entra識別碼中的角色指派許可權。 而且，僅將存取權授予執行手邊工作所必需的資料和作業。 瞭解Microsoft Entra識別碼中最低許可權的角色。

• 盡可能使用內建角色來指派許可權。 Azure 角色型存取控制 (RBAC) 有數個您可以使用的內建角色。 深入瞭解Microsoft Entra內建角色。

其他建議：

• 使用系統管理員帳戶之前，請關閉所有不相關的瀏覽器工作階段和應用程式，包括個人電子郵件帳戶。 您也可以在私人或無痕瀏覽器視窗中使用。

• 完成系統管理工作之後，請務必登出瀏覽器工作階段。

下一步

增加 Microsoft 365 商務進階版的威脅防護