保護您的系統管理員帳戶Protect your administrator accounts

因為系統管理員帳戶具有較高的許可權,所以它們是駭客和網路罪犯的重要目標。Because admin accounts come with elevated privileges, they're valuable targets for hackers and cyber criminals. 本文說明:This article describes:

  • 如何為緊急情況設定額外的系統管理員帳戶。How to set up an additional administrator account for emergencies.
  • 如何保護這些帳戶。How to protect these accounts.

當您註冊 Microsoft 365 並輸入您的資訊時,您會自動成為全域系統管理員。全域管理員在 Microsoft 系統管理中心內具有使用者帳戶和所有其他設定的最終控制權,但不同類型的系統管理員帳戶具有不同的存取程度。When you sign up for Microsoft 365 and enter your information, you automatically become the global admin. A global admin has the ultimate control of user accounts and all the other settings in the Microsoft admin center, but there are many different kinds of admin accounts with varying degrees of access. 如需每種系統管理員角色之不同存取層級的詳細資訊,請參閱 關於系統管理員角色See about admin roles for information about the different access levels for each kind of admin role.

建立其他系統管理員帳戶Create additional admin accounts

僅使用系統管理帳戶進行管理。Use admin accounts only for administration. 系統管理員應該要有個別的使用者帳戶,以便定期使用 Office 應用程式,且只有在需要管理帳戶和裝置時,以及在處理其他系統管理功能時,才使用其管理帳戶。Admins should have a separate user account for regular use of Office apps and only use their administrative account when necessary to manage accounts and devices, and while working on other admin functions. 最好從系統管理員帳戶中移除 Microsoft 365 授權,這樣您就不需要付費。It's also a good idea to remove the Microsoft 365 license from the admin accounts so you don't have to pay for them.

您必須設定至少一個額外的全域系統管理員帳戶,以授與其他受信任員工的系統管理員存取權。You'll want to set up at least one additional global admin account to give admin access to another trusted employee. 您也可以為使用者管理建立個別的系統管理員帳戶, (此角色稱為「 使用者管理管理員 」) 。You can also create separate admin accounts for user management (this role is called User management administrator). 如需詳細資訊,請參閱 關於系統管理員角色For more information, see about admin roles.

若要建立其他系統管理員帳戶:To create additional admin accounts:

  1. 移至 [系統 管理中心 ],然後選擇左側導覽中的 [ 使用者] [作用 > 中 使用者 ]。Go to the admin center and then choose Users > Active users in the left nav.

    選擇左側流覽中的 [使用者] 和 [作用中使用者]

  2. 在 [作用中 使用者 ] 頁面上,選取頁面頂端的 [ 新增使用者 ],然後在 [ 新增使用者 ] 面板上,輸入名稱及其他資訊。On the Active users page, select Add a user at the top of the page, and on the New user panel, enter the name and other information.

  3. 展開 [ 角色 ] 區段,然後選擇 [ 全域管理員 ],以授予此使用者全域管理員存取權。Expand the Roles section, and choose Global administrator to give this user global admin access. 您也可以選擇 自訂的系統管理員 ,並選擇任何顯示的角色。You can also choose Customized administrator and choose any of the roles that are displayed.

    在 [ 其他電子郵件地址 ] 文字方塊中輸入備選電子郵件。Enter an alternate email in the Alternative email address text box. 您可以使用此位址,當您鎖定時,復原您的密碼資訊。若為全域系統管理員,則也會傳送帳單報表至此位址。You can use this address to recover your password information if you get locked out. For global admins, a billing statement will also be sent to this address.

    選擇系統管理員角色

  4. 在 [ 產品授權 ] 區段中,將 Microsoft 365 商務 版的選取器移至 [ 關閉 ],然後將 [ 建立沒有產品許可證的使用者 ] 開啟 為 [In the Product licenses section, move the selector for Microsoft 365 Business to Off and the Create user without product license to On.

    選擇產品授權

建立緊急管理員帳戶Create an emergency admin account

您也應該建立未使用多重要素驗證 (MFA) 進行設定的備份帳戶,因此,如果您以第二種形式的) 驗證來遺失您的電話,則不會不慎封鎖 ((例如)。You should also create a backup account that isn't set up with multi-factor authentication (MFA) so you don't accidentally lock yourself out (for example if you lose your phone that you're using as a second form of verification). 請確定此帳戶的密碼為片語或至少16個字元的長度。Make sure that the password for this account is a phrase or at least 16 characters long. 這通常稱為「斷玻璃帳戶」。This is often referred to as a "break-glass account."

為自己建立使用者帳戶Create a user account for yourself

使用您的使用者帳戶參與組織的共同作業,包括檢查郵件。Use your user account to participate in collaboration with your organization, including checking mail. 這表示您的系統管理員認證可能類似于 小紅 Chavez @Contoso. org 和一般使用者帳戶可能類似 alice @Contoso .comThis means your admin credentials might be similar to Alice.Chavez @Contoso.org and your regular user account might be similar to Alice@Contoso.com.

若要建立新的使用者帳戶:To create a new user account:

  1. 移至 [系統 管理中心 ],然後選擇左側導覽中的 [ 使用者] [作用 > 中 使用者 ]。Go to the admin center and then choose Users > Active users in the left nav.
  2. 在 [作用中 使用者 ] 頁面上,選取頁面頂端的 [ 新增使用者 ],然後在 [ 新增使用者 ] 面板上,輸入名稱及其他資訊。On the Active users page, select Add a user at the top of the page, and on the New user panel, enter the name and other information.
  3. 展開 [ 角色 ] 區段,然後選擇 [ 使用者 (無管理存取)]。Expand the Roles section, and choose User (no administrative access).
  4. 在 [ 產品授權 ] 區段中,將 Microsoft 365 商務 版的選取器移至 [ 開啟]。In the Product licenses section, move the selector for Microsoft 365 Business to On.

針對多重要素驗證註冊這些帳戶Register each of these accounts for multi-factor authentication

請確定這些帳戶使用 多重要素驗證Make sure these accounts are using multifactor authentication.

其他建議Additional recommendations

  • 請確定系統管理員帳戶也設定為進行多重要素驗證。Be sure that admin accounts are also set up for multi-factor authentication. 我們將在 設定條件式存取原則中示範如何執行此動作。We'll show you how to do this in Configure conditional access policies.
  • 使用系統管理員帳戶之前,請先關閉所有不相關的瀏覽器會話和應用程式(包括個人電子郵件帳戶)。Before using admin accounts, close out all unrelated browser sessions and apps, including personal email accounts. 您也可以在私人或 incognito 瀏覽器視窗中使用。You can also use in private, or incognito browser windows.
  • 完成系統管理工作之後,請務必登出瀏覽器會話。After completing admin tasks, be sure to sign out of the browser session.