Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Vaikka monimenetelmäinen todentaminen (MFA) on oletusarvoisesti käytössä kaikissa Microsoft 365 for Business -organisaatioiden tileissä, järjestelmänvalvoja- tai järjestelmänvalvojatilit edellyttävät ylimääräisiä suojausnäkökohtia, jotka eivät liity monimenetelmäisiin todentamistietoihin. Hallinta tileillä on laajennetut oikeudet ja ne ovat arvokkaita kohteita hyökkääjille. Samaan aikaan järjestelmänvalvojatilit ovat olennaisia organisaatiosi toiminnan ja hallinnan kannalta.
Tili, jolla rekisteröidyit Microsoft 365 for Businessiin, on automaattisesti yleinen järjestelmänvalvoja (tunnetaan myös yleisenä järjestelmänvalvojana). Yleiset järjestelmänvalvojat voivat hallita käyttäjätilejä ja kaikkia muita Microsoftin hallintakeskuksenhttps://admin.microsoft.com () asetuksia. Käytettävissä on kuitenkin monenlaisia järjestelmänvalvojan ominaisuuksia, joiden käyttöoikeustasot vaihtelevat. Lisätietoja on artikkelissa Tietoja järjestelmänvalvojan rooleista Microsoft 365 -hallintakeskuksessa.
Seuraavien ohjeiden avulla voit hyödyntää järjestelmänvalvojatilejä ja samalla suojata organisaatiosi hyökkääjiltä:
Varmista, että sinulla on useampi kuin yksi järjestelmänvalvojan tili: Suosittelemme, että jokaisessa organisaatiossa on vähintään kaksi järjestelmänvalvojan hätäkäyttötiliä , joita ei ole määritetty tietyille henkilöille ja joita käytetään vain hätätilanteissa. Nämä tilit on myös jätettävä monimenetelmäistä todentamista koskevien vaatimusten ulkopuolelle , joten niissä on oltava pitkät ja monimutkaiset salasanat (vähintään 16 merkkiä). Näitä tilejä kutsutaan myös nimellä "rikko lasitilit".
Lisätietoja järjestelmänvalvojatilin luomisesta on kohdassa Järjestelmänvalvojan lisääminen.
Tärkeää
Rajoita organisaatiosi järjestelmänvalvojatilien määrää. Liian moni järjestelmänvalvojatili tarjoaa hyökkääjille enemmän mahdollisuuksia vaarantaa organisaatiosi.
Käytä käsitteen pienintä oikeutta, mikä tarkoittaa sitä, että annat käyttäjille vain heidän työnsä edellyttämät käyttöoikeudet. Jos käyttäjän on esimerkiksi luotava käyttäjätilit, älä lisää niitä yleisen järjestelmänvalvojan rooliin. lisätä ne sen sijaan käyttäjän järjestelmänvalvojan rooliin. Lisätietoja on seuraavissa artikkeleissa:
Käytä tavallisia käyttäjätilejä tavallisiin työtehtäviin: Järjestelmänvalvojien tulee käyttää muita kuin järjestelmänvalvojatilejä ensisijaisina tileinä kirjautuakseen tietokoneisiinsa ja tehdä säännöllisiä tehtäviä, kuten tarkistaa sähköposti ja käyttää Microsoft 365 -sovellukset. Käytä järjestelmänvalvojatiliäsi vain tarvittaessa.
- Sulje ennen järjestelmänvalvojatilien käyttämistä kaikki toisiinsa liittymättömät selainistunnot ja sovellukset, mukaan lukien henkilökohtaiset sähköpostitilit. Voit myös käyttää Järjestelmänvalvojan tehtävissä InPrivate-, Incognito- tai Yksityinen selaus -tilaa.
- Kun olet suorittanut järjestelmänvalvojan tehtävät, muista kirjautua ulos selainistunnosta.
Lisätietoja tilin luomisesta on artikkelissa Käyttäjien lisääminen ja käyttöoikeuksien määrittäminen samanaikaisesti.
Vihje
Tavalliset käyttäjätilit tarvitsevat Microsoft 365 for Business -käyttöoikeudet, mutta sinun ei tarvitse myöntää käyttöoikeuksia vain järjestelmänvalvojan tileille.
Käytä nimeämiskäytäntöä, joka ei mainosta sitä, että tilillä on järjestelmänvalvojan oikeudet. Esimerkiksi tavallinen käyttäjätilisi on
alice.chavez@contoso.onmicrosoft.com, ja järjestelmänvalvojatilisi onalicec@contoso.onmicrosoft.com.Käytä salasanatonta todentamista järjestelmänvalvojatileillä: Lisätietoja on artikkelissa Ota käyttöön salasanaton sisäänkirjautuminen Authenticatorilla.
- Microsoft 365 Business Basic ja Microsoft 365 Business Standard organisaatiot tukevat seuraavia salasanattomia todennusvaihtoehtoja maksuttoman Microsoft Entra ID kautta:
- Microsoft Authenticator -sovellus, jossa on palveluilmoitukset ja biometrinen tai PIN-koodivahvistus.
- Passkeys (FIDO2)
- Windows Hello yrityksille
- Microsoft 365 Business Premium Microsoft Entra ID P1:n kautta voit myös vaatia salasanatonta todentamista ja todentamisen vahvuutta hallintatileille ehdollisen käyttöoikeuden avulla. Lisätietoja on artikkelissa Ehdollisen käyttöoikeuden todennuksen vahvuus.
- Microsoft 365 Business Basic ja Microsoft 365 Business Standard organisaatiot tukevat seuraavia salasanattomia todennusvaihtoehtoja maksuttoman Microsoft Entra ID kautta: