הערה
גישה לעמוד זה דורשת אישור. אתה יכול לנסות להיכנס או לשנות תיקיות.
גישה לעמוד זה דורשת אישור. אתה יכול לנסות לשנות מדריכים.
למרות אימות רב גורמי (MFA) מופעל כברירת מחדל עבור כל החשבונות ב- Microsoft 365 עבור ארגונים עסקיים, חשבונות מנהל מערכת או מנהל מערכת דורשים שיקולי אבטחה נוספים שאינם קשורים ל- MFA. מרכז הניהול חשבונות בעלי הרשאות מלאות, הם יעדים חשובים לתוקפים. בו-זמנית, חשבונות מנהל מערכת הם מהותיים בפעולה ובהנהלה של הארגון שלך.
החשבון שבו השתמשת כדי להירשם ל- Microsoft 365 לעסקים הוא באופן אוטומטי מנהל כללי (המכונה גם מנהל מערכת כללי). למנהלי מערכת כלליים יש שליטה מלאה בחשבונות משתמשים ובהגדרות האחרות במרכז הניהול של Microsoft (https://admin.microsoft.com). עם זאת, קיימים סוגים רבים של יכולות ניהול עם רמות גישה משתנות. לקבלת מידע נוסף, ראהאודות תפקידי מנהל מערכת במרכז הניהול של Microsoft 365.
השתמש בהדרכה הבאה כדי להפיק את המרב מחשבונות מנהל מערכת תוך הגנה על הארגון מפני תוקפים:
ודא שיש לך יותר מחשבון מנהל מערכת אחד: אנו ממליצים לכל הפחות שני חשבונות גישת חירום של מנהל מערכת בכל ארגון שאינם מוקצים לאנשים ספציפיים, ומשמשים רק במצבי חירום. יש להוציא חשבונות אלה גם מדרישות MFA ולכן צריכות להיות סיסמאות ארוכות ומורכבות (16 תווים או יותר). חשבונות אלה נקראים גם "חשבונות מזכוכית שבורה".
לקבלת הוראות ליצירת חשבון מנהל מערכת, ראה הוספת מנהל מערכת.
חשוב
הגבל את מספר חשבונות מנהל המערכת בארגון שלך. חשבונות מנהל מערכת רבים מדי מספקים לתוקפים יותר הזדמנויות לסכן את הארגון שלך.
השתמש בהרשאות הפחותות של הרעיון, כלומר אתה מעניק למשתמשים רק את ההרשאות הדרושות לביצוע המשימות שלהם. לדוגמה, אם משתמש צריך ליצור חשבונות משתמשים, אל תוסיף אותם לתפקיד מנהל מערכת כללי; הוסף אותם לתפקיד 'מנהל משתמש' במקום זאת. לקבלת מידע נוסף, עיין במאמרים הבאים:
השתמש בחשבונות משתמשים רגילים עבור משימות רגילות בעבודה: מנהלי מערכת צריכים להשתמש בחשבונות שאינם של מנהלי מערכת כחשבונות ראשיים כדי להיכנס למחשבים שלהם ולבצע משימות רגילות כגון בדיקת דואר אלקטרוני ושימוש יישומי Microsoft 365. השתמש בחשבון מנהל המערכת שלך רק לפי הצורך.
- לפני השימוש בחשבונות מנהל מערכת, סגור את כל ההפעלות והאפליקציות של הדפדפן שאינם קשורים, כולל חשבונות דואר אלקטרוני אישיים. באפשרותך גם להשתמש במצב InPrivate, גלישה בסתר או גלישה פרטית עבור משימות ניהול.
- לאחר השלמת משימות הניהול, הקפד לצאת מהפעלת הדפדפן.
לקבלת הוראות ליצירת חשבון, ראה הוספת משתמשים והקצאת רשיונות בו-זמנית.
עצה
חשבונות משתמשים רגילים זקוקים לרשיונות של Microsoft 365 לעסקים, אך אין צורך ברשיון עבור חשבונות של מנהלי מערכת בלבד.
השתמש במוסכמה למתן שמות שאינה מפרסמת את העובדה שלחשבון יש הרשאות מנהל מערכת. לדוגמה, חשבון המשתמש הרגיל שלך הוא
alice.chavez@contoso.onmicrosoft.com, וחשבון מנהל המערכת שלך הואalicec@contoso.onmicrosoft.com.השתמש באימות ללא סיסמה עבור חשבונות מנהל מערכת: לקבלת מידע נוסף, ראה הפיכת כניסה ללא סיסמה לזמינה באמצעות Authenticator.
- Microsoft 365 Business Basic וארגונים Microsoft 365 Business Standard תומכים באפשרויות האימות ללא סיסמה הבאות באמצעות מזהה Microsoft Entra ללא תשלום:
- האפליקציה Microsoft Authenticator עם הודעות דחיפה ואימות ביומטרי או PIN.
- מפתחות (FIDO2)
- Windows Hello לעסקים
- Microsoft 365 Business Premium באמצעות מזהה Microsoft Entra P1 גם מאפשר לך לדרוש אימות ללא סיסמה וחוזק אימות עבור חשבונות מנהל מערכת באמצעות גישה מותנית. לקבלת מידע נוסף, ראה חוזק אימות גישה מותנית.
- Microsoft 365 Business Basic וארגונים Microsoft 365 Business Standard תומכים באפשרויות האימות ללא סיסמה הבאות באמצעות מזהה Microsoft Entra ללא תשלום: