Ochrana účtů správce

Vzhledem k tomu, že účty správců mají zvýšená oprávnění, jsou pro kybernetické útočníky cennými cíli. Tento článek popisuje:

• Jak nastavit jiný účet správce pro mimořádné situace.
• Jak vytvořit účet správce pro případ tísňového volání
• Jak vytvořit uživatelský účet pro sebe.
• Jak chránit účty správců.
• Další doporučení a váš další krok

Když se zaregistrujete do Microsoftu 365 a zadáte své údaje, automaticky se stanete globálním správcem (označovaný také jako globální správce). Globální správce má plnou kontrolu nad uživatelskými účty a všemi ostatními nastaveními v Centru pro správu Microsoftu (https://admin.microsoft.com), ale existuje mnoho různých typů účtů správce s různou mírou přístupu. Informace o různých úrovních přístupu pro jednotlivé typy rolí správce najdete v tématu o rolích správce.

Vytvoření dalších účtů správců

Účty správce používejte jenom pro správu Microsoftu 365. Správci by měli mít samostatný uživatelský účet pro pravidelné používání Microsoft 365 Apps a svůj účet pro správu používat jenom v případě, že je to potřeba ke správě účtů a zařízení a při práci na dalších funkcích správy. Je také vhodné odebrat licenci Microsoft 365 z účtů správce, abyste nemuseli platit za další licence.

Budete chtít nastavit aspoň jeden další účet globálního správce, který udělí přístup správce jinému důvěryhodnému zaměstnanci. Můžete také vytvořit samostatné účty správce pro správu uživatelů (tato role se nazývá Správce správy uživatelů). Další informace najdete v tématu o rolích správce.

Důležité

I když doporučujeme nastavit sadu účtů správců, budete chtít omezit počet globálních správců pro vaši organizaci. Kromě toho doporučujeme dodržovat koncept přístupu s nejnižšími oprávněními, což znamená, že udělujete přístup jenom datům a operacím potřebným k provádění jejich úloh. Přečtěte si další informace o principu nejnižších oprávnění.

Vytvoření dalších účtů správců:

1. V Centrum pro správu Microsoftu 365 v levém navigačním panelu zvolte Uživatelé>Aktivní uživatelé.

   

2. Na stránce Aktivní uživatelé vyberte v horní části stránky Přidat uživatele .

3. Na panelu Přidat uživatele zadejte základní informace, jako je jméno a uživatelské jméno.

4. Zadejte a nastavte informace o licencích na produkty .

5. V části Volitelná nastavení definujte roli uživatele, případně včetně přidání přístupu Správa center.

   

6. Dokončete a zkontrolujte nastavení a výběrem možnosti Dokončit přidávání potvrďte podrobnosti.

Vytvoření účtu správce pro případ tísňového volání

Měli byste také vytvořit záložní účet, který nemá nastavené vícefaktorové ověřování (MFA), abyste se omylem nezamkli (například když ztratíte telefon, který používáte jako druhou formu ověření). Ujistěte se, že heslo k tomuto účtu je frází nebo alespoň 16 znaků dlouhé. Tento účet správce pro nouzové situace se často označuje jako "účet s proskleným sklem".

Vytvoření uživatelského účtu pro sebe

Pokud jste správce, budete potřebovat uživatelský účet pro běžné pracovní úkoly, jako je kontrola pošty. Pojmenujte své účty, abyste věděli, která je která. Vaše přihlašovací údaje správce můžou být například podobné jako Alice.Chavez@Contoso.org a váš běžný uživatelský účet může být podobný jako Alice@Contoso.com.

Vytvoření nového uživatelského účtu:

1. Přejděte na Centrum pro správu Microsoftu 365 a v levém navigačním panelu zvolte Uživatelé>Aktivní uživatelé.

2. Na stránce Aktivní uživatelé vyberte v horní části stránky Přidat uživatele a na panelu Přidat uživatele zadejte jméno a další informace.

3. V části Licence na produkty zaškrtněte políčko pro Microsoft 365 Business Premium (bez přístupu správce).

4. V části Nepovinná nastavení ponechte výchozí přepínač vybraný u možnosti Uživatel (bez přístupu k Centru pro správu).

5. Dokončete a zkontrolujte nastavení a výběrem možnosti Dokončit přidávání potvrďte podrobnosti.

Ochrana účtů správců

Pokud chcete chránit všechny účty správce, postupujte podle těchto doporučení:

• Vyžadovat, aby všechny účty správců používaly ověřování bez hesla (například Windows Hello nebo ověřovací aplikaci) nebo vícefaktorové ověřování. Další informace o tom, proč je ověřování bez hesla důležité, najdete v dokumentu white paper Microsoft Security: Ochrana bez hesla.

• Nepoužívejte vlastní oprávnění pro správce. Místo udělování oprávnění konkrétním uživatelům přiřaďte oprávnění prostřednictvím rolí v Microsoft Entra ID. A udělte přístup jenom k datům a operacím potřebným k provedení dané úlohy. Seznamte se s rolemi s nejnižšími oprávněními v id Microsoft Entra.

• Pokud je to možné, použijte k přiřazování oprávnění předdefinované role. Řízení přístupu na základě role v Azure (RBAC) má několik předdefinovaných rolí, které můžete použít. Přečtěte si další informace o Microsoft Entra předdefinovaných rolí.

Další doporučení

• Před použitím účtů správce zavřete všechny nesouvisející relace a aplikace prohlížeče, včetně osobních e-mailových účtů. Můžete také použít v soukromých nebo anonymních oknech prohlížeče.

• Po dokončení úkolů správce se nezapomeňte z relace prohlížeče odhlásit.

Další krok

Zvýšení ochrany před hrozbami pro Microsoft 365 Business Premium