Защита учетных записей администратора

Так как учетные записи администратора поставляются с повышенными привилегиями, они являются ценными целями для злоумышленников. В этой статье описываются:

Когда вы зарегистрируетсяе в Microsoft 365 и вводите свои данные, вы автоматически становитесь глобальным администратором (также называемым глобальным администратором). Глобальный администратор имеет полный контроль над учетными записями пользователей и всеми другими параметрами в Центре администрирования Майкрософт (https://admin.microsoft.com), но существует множество различных типов учетных записей администраторов с разной степенью доступа. Сведения о различных уровнях доступа для каждого типа роли администратора см. в статье Роли администратора.

Создание дополнительных учетных записей администратора

Используйте учетные записи администратора только для администрирования Microsoft 365. Администраторы должны иметь отдельную учетную запись пользователя для регулярного использования Приложения Microsoft 365 и использовать свою учетную запись администратора только при необходимости для управления учетными записями и устройствами, а также при работе с другими функциями администратора. Также рекомендуется удалить лицензию Microsoft 365 из учетных записей администратора, чтобы вам не нужно было платить за них.

Вам потребуется настроить хотя бы одну другую учетную запись глобального администратора, чтобы предоставить администратору доступ к другому доверенному сотруднику. Вы также можете создать отдельные учетные записи администратора для управления пользователями (эта роль называется администратором управления пользователями). Дополнительные сведения см. в статье Роли администраторов.

Важно!

Хотя рекомендуется настроить набор учетных записей администраторов, необходимо ограничить число глобальных администраторов в организации. Кроме того, мы рекомендуем использовать концепцию доступа с минимальными привилегиями. Это означает, что доступ предоставляется только к данным и операциям, необходимым для выполнения заданий. Дополнительные сведения о принципе минимальных привилегий.

Чтобы создать дополнительные учетные записи администратора:

  1. В Центр администрирования Microsoft 365 выберите Пользователи>Активные пользователи в области навигации слева.

    Выберите

  2. В верхней части страницы Активные пользователи выберите Добавить пользователя.

  3. На панели Добавить пользователя введите основные сведения, такие​как имя и имя пользователя.

  4. Введите и настройте сведения о лицензиях на продукты.

  5. В дополнительных настройках определите роль пользователя, включая добавление доступа к центру администрирования, если это необходимо.

    Определите новые роли пользователей.

  6. Завершите и просмотрите свои настройки и выберите Завершить добавление, чтобы подтвердить детали.

Создание аварийной учетной записи администратора

Вам также следует создать резервную учетную запись, для которой не настроена многофакторная проверка подлинности (MFA), чтобы случайно не заблокировать себя (например, если вы потеряете свой телефон, который используете в качестве второй формы проверки). Убедитесь, что пароль для этой учетной записи состоит из фразы или длиной не менее 16 символов. Такую учетную запись администратора для экстренных ситуаций часто называют учетной записью "разбей стекло".

Создание учетной записи пользователя для себя

Если вы являетесь администратором, вам потребуется учетная запись пользователя для обычных рабочих задач, таких как проверка почты. Дайте имена своим учетным записям, чтобы разграничивать их. Например, учетные данные администратора могут быть похожи на Alice.Chavez@Contoso.org, а обычная учетная запись пользователя — на Alice@Contoso.com.

Чтобы создать новую учетную запись пользователя:

  1. Перейдите к Центр администрирования Microsoft 365 и выберите Пользователи>Активные пользователи в левой области навигации.

  2. На странице Активные пользователи выберите Добавить пользователя в верхней части страницы, а на панели Добавить пользователя введите имя и другие сведения.

  3. В разделе Лицензии на продукты установите флажок для Microsoft 365 бизнес премиум (без доступа администратора).

  4. В разделе Дополнительные настройки оставьте переключатель по умолчанию выбранным для пользователя (без доступа к центру администрирования).

  5. Завершите и просмотрите свои настройки и выберите Завершить добавление, чтобы подтвердить детали.

Защита учетных записей администраторов

Чтобы защитить все учетные записи администратора, следуйте приведенным ниже рекомендациям:

  • Требуйте от всех учетных записей администратора использовать проверку подлинности без пароля (например, Windows Hello или приложение для проверки подлинности) или MFA. Дополнительные сведения о том, почему важна проверка подлинности без пароля, см. в техническом документе Безопасность Майкрософт: защита без пароля.

  • Избегайте использования пользовательских разрешений для администраторов. Вместо предоставления разрешений определенным пользователям назначьте разрешения через роли в Microsoft Entra ID. Также предоставляйте доступ только к данным и операциям, необходимым для выполнения конкретной задачи. Сведения о ролях с наименьшими привилегиями в Microsoft Entra ID.

  • По возможности используйте встроенные роли для назначения разрешений. Управление доступом на основе ролей Azure (RBAC) имеет несколько встроенных ролей, которые можно использовать. Дополнительные сведения о Microsoft Entra встроенных ролях.

Дополнительные рекомендации

  • Прежде чем использовать учетные записи администратора, закройте все несвязанные сеансы браузера и приложения, включая личные учетные записи электронной почты. Можно также использовать в частных окнах браузера или окнах браузера в режиме инкогнито.

  • После выполнения задач администрирования обязательно выйдите из сеанса браузера.

Следующее действие

Более надежная защита от угроз для Microsoft 365 бизнес премиум