Schützen Ihrer Administratorkonten

Da Administratorkonten über erhöhte Berechtigungen verfügen, sind sie wertvolle Ziele für Cyberangriffe. Inhalt dieses Artikels

• Einrichten eines anderen Administratorkontos für Notfälle
• So erstellt man ein Notfalladministratorkonto.
• So erstellt man ein Benutzerkonto für sich selbst.
• So schützt man Administratorkonten.
• Zusätzliche Empfehlungen und Ihr nächster Schritt.

Wenn Sie sich für Microsoft 365 registrieren und Ihre Informationen eingeben, werden Sie automatisch zum globalen Administrator (auch als Global Admin bezeichnet). Ein globaler Administrator hat die ultimative Kontrolle über Benutzerkonten und alle anderen Einstellungen im Microsoft Admin Center (https://admin.microsoft.com), aber es gibt viele verschiedene Arten von Administratorkonten mit unterschiedlichem Zugriffsgrad. Informationen zu den verschiedenen Zugriffsebenen für jede Art von Administratorrolle finden Sie unter Administratorrollen.

Andere Administratorkonten erstellen

Administratorkonten nur für die Microsoft 365-Verwaltung verwenden. Administratoren sollten über ein separates Benutzerkonto für ihre regelmäßige Verwendung von Microsoft 365 Apps verfügen und ihr Administratorkonto nur dann verwenden, wenn dies zum Verwalten von Konten und Geräten und während der Arbeit an anderen Administratorfunktionen erforderlich ist. Es ist auch eine gute Idee, die Microsoft 365-Lizenz aus Ihren Administratorkonten zu entfernen, damit Sie nicht für zusätzliche Lizenzen bezahlen müssen.

Sie sollten mindestens ein weiteres globales Administratorkonto einrichten, um einem anderen vertrauenswürdigen Mitarbeiter Administratorzugriff zu gewähren. Sie können auch separate Administratorkonten für die Benutzerverwaltung erstellen (diese Rolle wird als Benutzerverwaltungsadministrator bezeichnet). Weitere Informationen finden Sie unter Informationen zu Administratorrollen.

Wichtig

Obwohl wir empfehlen, eine Reihe von Administratorkonten einzurichten, sollten Sie die Anzahl der globalen Administratoren für Ihre Organisation begrenzen. Darüber hinaus empfehlen wir, sich an das Konzept des Zugriffs mit den geringsten Rechten zu halten, was bedeutet, dass Sie nur Zugriff auf die Daten und Vorgänge gewähren, die zur Ausführung ihrer Aufgaben erforderlich sind. Mehr über das Prinzip der geringsten Rechte erfahren.

So erstellt man weitere Administratorkonten:

1. Wählen Sie im Microsoft 365 Admin Center im linken Navigationsbereich Benutzer>Aktive Benutzer aus.

   

2. Wählen Sie auf der Seite Aktive Benutzer oben auf der Seite Benutzer hinzufügen aus.

3. Geben Sie im Bereich Benutzer hinzufügen grundlegende Informationen wie Name und Benutzernameninformationen ein.

4. Geben Sie Produktlizenzinformationen ein und richten Sie sie ein.

5. Definieren Sie unter Optionale Einstellungen die Rolle des Benutzers, einschließlich des Hinzufügens des Zugriffs auf das Admin Center, falls erforderlich.

   

6. Beenden und überprüfen Sie Ihre Einstellungen und wählen Sie Hinzufügen beenden aus, um die Details zu bestätigen.

Erstellen eines Notfalladministratorkontos

Sie sollten auch ein Sicherungskonto erstellen, das nicht mit Multi-Faktor-Authentifizierung (MFA) eingerichtet ist, damit Sie sich nicht versehentlich aussperren (z. B. wenn Sie Ihr Telefon verlieren, das Sie als zweite Form der Überprüfung verwenden). Stellen Sie sicher, dass das Kennwort für dieses Konto ein Satz oder mindestens 16 Zeichen lang ist. Dieses Notfall Admin Konto wird oft als „Break-Glass Konto“ bezeichnet.

Erstellen eines Benutzerkontos für Sie selbst

Wenn Sie ein Administrator sind, benötigen Sie ein Benutzerkonto für normale Arbeitsaufgaben, wie z. B. das Abrufen von E-Mails. Benennen Sie Ihre Konten, damit Sie wissen, welches welches ist. Ihre Administratoranmeldeinformationen können beispielsweise Alice.Chavez@Contoso.org ähneln, und Ihr reguläres Benutzerkonto ähnelt Alice@Contoso.com.

So erstellen Sie ein neues Benutzerkonto:

1. Wechseln Sie zum Microsoft 365 Admin Center, und wählen Sie im linken Navigationsbereich Benutzer>Aktive Benutzer aus.

2. Wählen Sie auf der Seite "Aktive Benutzer " oben auf der Seite " Benutzer hinzufügen" aus, und geben Sie im Bereich " Neuer Benutzer " den Namen und weitere Informationen ein.

3. Aktivieren Sie im Abschnitt "Produktlizenzen" das Kontrollkästchen für Microsoft 365 Business Premium (kein Administratorzugriff).

4. Lassen Sie im Abschnitt "Optionale Einstellungen" das Standard-Optionsfeld für "Benutzer" ausgewählt (kein Admin Center-Zugriff).

5. Beenden und überprüfen Sie Ihre Einstellungen und wählen Sie Hinzufügen beenden aus, um die Details zu bestätigen.

Schützen von Administratorkonten

Um alle Ihre Administratorkonten zu schützen, befolgen Sie unbedingt diese Empfehlungen:

• Alle Administratorkonten auffordern, die kennwortlose Authentifizierung (z. B. Windows Hello oder eine Authentifizierungs-App) oder MFA zu verwenden. Weitere Informationen dazu, warum die kennwortlose Authentifizierung wichtig ist, finden Sie im Microsoft Sicherheits Whitepaper: Kennwortloser Schutz.

• Benutzerdefinierte Berechtigungen für Administratoren vermeiden. Anstatt bestimmten Benutzern Berechtigungen zu gewähren, weisen Sie Berechtigungen über Rollen in Microsoft Entra-ID zu. Und gewähren Sie nur Zugriff auf die Daten und Vorgänge, die zur Ausführung der jeweiligen Aufgabe erforderlich sind. Erfahren Sie mehr über Rollen mit den geringsten Rechten in Microsoft Entra ID.

• Nach Möglichkeit integrierte Rollen zum Zuweisen von Berechtigungen verwenden. Die rollenbasierte Zugriffssteuerung (RBAC) von Azure verfügt über mehrere integrierte Rollen, die Sie verwenden können. Erfahren Sie mehr über Microsoft Entra integrierten Rollen.

Zusätzliche Empfehlungen

• Schließen Sie vor der Verwendung von Administratorkonten alle nicht verwandten Browsersitzungen und Apps, einschließlich persönlicher E-Mail-Konten. Sie können diese auch in privaten Browserfenstern oder Inkognito-Browserfenstern verwenden.

• Stellen Sie sicher, dass Sie sich nach abgeschlossenen Administratoraufgaben von der Browsersitzung abgemeldet haben.

Nächster Schritt

Erhöhen des Bedrohungsschutzes für Microsoft 365 Business Premium