Järjestelmänvalvojatilien suojaaminen
Järjestelmänvalvojatileillä on laajennetut oikeudet, ja ne ovat arvokkaita kohteita kyberhyökkääjille. Tässä artikkelissa kuvataan:
- Toisen järjestelmänvalvojatilin määrittäminen hätätilanteita varten.
- Hätäjärjestelmänvalvojan tilin luominen.
- Käyttäjätilin luominen itsellesi.
- Järjestelmänvalvojatilien suojaaminen.
- Lisäsuositukset ja seuraava vaihe.
Kun rekisteröidyt Microsoft 365:een ja annat tietosi, sinusta tulee automaattisesti yleinen järjestelmänvalvoja (kutsutaan myös yleiseksi järjestelmänvalvojaksi). Yleinen järjestelmänvalvoja hallitsee käyttäjätilejä ja kaikkia muita asetuksia Microsoftin hallintakeskuksessa (https://admin.microsoft.com), mutta käytettävissä on monia erilaisia järjestelmänvalvojatilejä, joiden käyttöoikeudet vaihtelevat. Lisätietoja kunkin järjestelmänvalvojaroolin eri käyttöoikeustasoista on kohdassa Järjestelmänvalvojan roolit .
Muiden järjestelmänvalvojatilien luominen
Käytä järjestelmänvalvojatilejä vain Microsoft 365:n hallinnassa. Järjestelmänvalvojilla tulee olla erillinen käyttäjätili, jotta he voivat käyttää Microsoft 365 -sovellukset säännöllisesti, ja he voivat käyttää järjestelmänvalvojan tiliään vain tarvittaessa tilien ja laitteiden hallintaan ja työskennellessään muiden järjestelmänvalvojatoimintojen parissa. Suosittelemme myös poistamaan Microsoft 365 -käyttöoikeuden järjestelmänvalvojatileiltäsi, jotta sinun ei tarvitse maksaa ylimääräisistä lisensseistä.
Haluat määrittää vähintään yhden muun yleisen järjestelmänvalvojan tilin, joka antaa järjestelmänvalvojalle käyttöoikeuden toiselle luotetulle työntekijälle. Voit myös luoda erillisiä järjestelmänvalvojatilejä käyttäjien hallintaan (tätä roolia kutsutaan käyttäjien hallinnan järjestelmänvalvojaksi). Lisätietoja on kohdassa Järjestelmänvalvojan roolit.
Tärkeää
Vaikka suosittelemme määrittämään joukon järjestelmänvalvojatilejä, haluat rajoittaa organisaatiosi yleisten järjestelmänvalvojien määrää. Lisäksi suosittelemme, että noudatat pienintä käyttöoikeutta, mikä tarkoittaa, että myönnät käyttöoikeuden vain tietoihin ja toimintoihin, joita tarvitaan heidän työnsä suorittamiseen. Lue lisätietoja pienimmän etuoikeuden periaatteesta.
Voit luoda lisää järjestelmänvalvojatilejä:
Valitse Microsoft 365 -hallintakeskus vasemmasta siirtymisruudusta Käyttäjät Aktiiviset>käyttäjät.
Valitse Aktiiviset käyttäjät -sivulla Lisää käyttäjä sivun yläreunasta.
Kirjoita Lisää käyttäjä -paneeliin perustietoja, kuten nimi- ja käyttäjänimitiedot.
Anna ja määritä tuotteen käyttöoikeustiedot .
Määritä Valinnaiset asetukset -kohdassa käyttäjän rooli, mukaan lukien tarvittaessa Hallinta center -käyttöoikeuden lisääminen.
Viimeistele ja tarkista asetuksesi ja vahvista tiedot valitsemalla Valmis lisääminen .
Hätäjärjestelmänvalvojan tilin luominen
Sinun tulee myös luoda varmuuskopiotili, jota ei ole määritetty monimenetelmäisen todentamisen (MFA) avulla, jotta et lukitse itseäsi vahingossa ulos (jos esimerkiksi kadotat puhelimen, jota käytät toisena vahvistusmuotona). Varmista, että tämän tilin salasana on lauseke tai vähintään 16 merkkiä pitkä. Tätä hätäjärjestelmänvalvojatiliä kutsutaan usein break-glass-tiliksi.
Käyttäjätilin luominen itsellesi
Jos olet järjestelmänvalvoja, tarvitset käyttäjätilin tavallisissa työtehtävissä, kuten sähköpostin tarkistamisessa. Nimeä tilisi niin, että tiedät, mikä on mikäkin. Esimerkiksi järjestelmänvalvojan tunnistetiedot saattavat olla samanlaiset kuin Alice.Chavez@Contoso.org, ja tavallinen käyttäjätilisi saattaa muistuttaa Alice@Contoso.com.
Uuden käyttäjätilin luominen:
Siirry Microsoft 365 -hallintakeskus ja valitse sitten vasemmasta siirtymisruudusta Käyttäjät Aktiiviset>käyttäjät.
Valitse Aktiiviset käyttäjät -sivulla Lisää käyttäjä sivun yläreunasta ja kirjoita Lisää käyttäjä -paneelista nimi ja muut tiedot.
Valitse Tuotteiden käyttöoikeudet -osassa valintaruutu kohteelle Microsoft 365 Business Premium (ei järjestelmänvalvojan käyttöoikeuksia).
Jätä Valinnaiset asetukset - osiossa oletusvalintanappi valituksi käyttäjälle (ei hallintakeskuksen käyttöoikeuksia)..
Viimeistele ja tarkista asetuksesi ja vahvista tiedot valitsemalla Valmis lisääminen .
Järjestelmänvalvojatilien suojaaminen
Jos haluat suojata kaikki järjestelmänvalvojatilisi, noudata seuraavia suosituksia:
Edellytä, että kaikki järjestelmänvalvojatilit käyttävät salasanatonta todentamista (kuten Windows Hello tai todentajasovellusta) tai monimenetelmäistä todentamista. Jos haluat lisätietoja siitä, miksi salasanaton todentaminen on tärkeää, lue Microsoft Securityn tekninen raportti: Salasanaton suojaus.
Vältä mukautettujen käyttöoikeuksien käyttämistä järjestelmänvalvojille. Sen sijaan, että myöntäsit käyttöoikeuksia tietyille käyttäjille, määritä käyttöoikeudet roolien kautta Microsoft Entra tunnuksella. Ja myönnä käyttöoikeus vain tietoihin ja toimintoihin, joita tarvitaan käsillä olevan tehtävän suorittamiseen. Lue lisätietoja Microsoft Entra tunnuksen vähiten etuoikeutetuista rooleista.
Käytä sisäisiä rooleja käyttöoikeuksien määrittämiseen mahdollisuuksien mukaan. Azuren roolipohjaisella käyttöoikeuksien hallinnalla (RBAC) on useita sisäänrakennettuja rooleja, joita voit käyttää. Lue lisätietoja Microsoft Entra sisäisistä rooleista.
Lisäsuositukset
Sulje kaikki toisiinsa liittymättömät selainistunnot ja -sovellukset, mukaan lukien henkilökohtaiset sähköpostitilit, ennen kuin käytät järjestelmänvalvojan tilejä. Voit käyttää myös yksityisissä tai incognito-selainikkunoissa.
Kun olet suorittanut järjestelmänvalvojan tehtävät, muista kirjautua ulos selainistunnosta.
Seuraavat vaiheet
Palaute
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä: https://aka.ms/ContentUserFeedback.
Lähetä ja näytä palaute kohteelle