הגנה על חשבונות מנהל המערכת שלך

מכיוון שחשבונות מנהלי מערכת מגיעים עם הרשאות גבוהות, הם יעד חשוב עבור פצפצי סייבר. מאמר זה מתאר:

• כיצד להגדיר חשבון מנהל מערכת אחר למקרי חירום.
• כיצד ליצור חשבון מנהל חירום.
• כיצד ליצור חשבון משתמש עבור עצמך.
• כיצד להגן על חשבונות מנהל מערכת.
• המלצות נוספות והצעדהבא.

כאשר אתה נרשם ל- Microsoft 365 ומזין את המידע שלך, אתה הופך באופן אוטומטי למנהל הכללי (שנקרא גם מנהל המערכת הכללי). למנהל מערכת כללי יש את השליטה האולטימטיבית בחשבונות משתמשים וכל שאר ההגדרות במרכז הניהול של Microsoft (https://admin.microsoft.com), אך קיימים סוגים רבים ושונות של חשבונות ניהול בעלי דרגות גישה משתנות. ראה אודות תפקידי מנהל מערכת לקבלת מידע אודות רמות הגישה השונות עבור כל סוג של תפקיד מנהל מערכת.

יצירת חשבונות ניהול אחרים

השתמש בחשבונות ניהול רק עבור ניהול Microsoft 365. מנהלי מערכת צריכים להיות בעלי חשבון משתמש נפרד לשימוש הרגיל שלהם ב- יישומי Microsoft 365, ולהשתמש בחשבון הניהול שלהם רק בעת הצורך כדי לנהל חשבונות ומכשירים, ועבודה על פונקציות ניהול אחרות. מומלץ גם להסיר את רשיון Microsoft 365 מחשבונות מנהל המערכת שלך כדי שלא תצטרך לשלם עבור רשיונות נוספים.

מומלץ להגדיר חשבון מנהל מערכת כללי אחד לפחות כדי להעניק למנהלי מערכת גישה לעובד מהימן אחר. באפשרותך גם ליצור חשבונות ניהול נפרדים עבור ניהול משתמשים (תפקיד זה נקרא מנהל ניהול משתמשים). לקבלת מידע נוסף, ראה אודות תפקידי מנהל מערכת.

חשוב

על אף שמומלץ להגדיר ערכה של חשבונות מנהלי מערכת, מומלץ להגביל את מספר מנהלי המערכת הכלליים עבור הארגון שלך. בנוסף, אנו ממליצים להציית לרעיון של גישת הרשאה לפחות, כלומר, אתה מעניק גישה רק לנתונים ולפעולות הדרושים לביצוע המשימות שלהם. קבל מידע נוסף על העקרון של ההרשאה הפחותה ביותר.

כדי ליצור חשבונות ניהול נוספים:

1. בחלונית מרכז הניהול של Microsoft 365, בחר משתמשים>פעילים בחלונית הניווט הימנית.

   

2. בדף משתמשים פעילים , בחר הוסף משתמש בחלק העליון של הדף.

3. בלוח הוספת משתמש, הזן מידע בסיסי כגון שם ושם משתמש.

4. הזן והגדר מידע אודות רשיונות מוצרים.

5. בהגדרות אופציונליות, הגדר את תפקיד המשתמש, כולל הוספת מרכז הניהול למרכז, בהתאם לצורך.

   

6. סיים ועיין בהגדרות ובחר סיום הוספה כדי לאשר את הפרטים.

יצירת חשבון מנהל חירום

עליך גם ליצור חשבון גיבוי שאינו מוגדר באמצעות אימות רב-גורמי (MFA) כדי שלא תנעל את עצמך בטעות (לדוגמה, אם תאבד את הטלפון שבו אתה משתמש כצורת אימות שניה). ודא שהסיסמה עבור חשבון זה היא צירוף מילים או 16 תווים לפחות. חשבון מנהל מערכת זה לשעת חירום נקרא לעתים קרובות "חשבון מזכוכית שבורה".

יצירת חשבון משתמש עבור עצמך

אם אתה מנהל מערכת, תזדקק לחשבון משתמש עבור משימות רגילות בעבודה, כגון בדיקת דואר. תן שם לחשבון שלך כדי שתדע איזה מהם. לדוגמה, אישורי מנהל המערכת שלך עשויים להיות דומים ל- Alice.Chavez@Contoso.org, וחשבון המשתמש הרגיל שלך עשוי להיות דומה ל- Alice@Contoso.com.

כדי ליצור חשבון משתמש חדש:

1. עבור אל מרכז הניהול של Microsoft 365 ולאחר מכן בחר משתמשים>פעילים בחלונית הניווט הימנית.

2. בדף משתמשים פעילים, בחר הוסף משתמש בחלק העליון של הדף, ובלוח הוספת משתמש, הזן את השם ומידע נוסף.

3. במקטע רשיונות מוצר, בחר את תיבת הסימון עבור Microsoft 365 Business Premium (אין גישה ניהולית).

4. במקטע הגדרות אופציונליות , השאר את לחצן האפשרויות המוגדר כברירת מחדל כלחצן עבור משתמש (אין גישה למרכז הניהול).

5. סיים ועיין בהגדרות ובחר סיום הוספה כדי לאשר את הפרטים.

הגנה על חשבונות ניהול

כדי להגן על כל חשבונות מנהל המערכת שלך, הקפד לפעול בהתאם להמלצות הבאות:

• דרוש מכל חשבונות מנהל המערכת להשתמש באימות ללא סיסמה (כגון Windows Hello או מאמת אפליקציות) או MFA. לקבלת מידע נוסף על הסיבות החשובות לאימות ללא סיסמה, עיין בסקירה הטכנית של Microsoft Security: הגנה ללא סיסמה.

• הימנע משימוש בהרשאות מותאמות אישית עבור מנהלי מערכת. במקום להעניק הרשאות למשתמשים ספציפיים, הקצה הרשאות באמצעות תפקידים במזהה Microsoft Entra זהה. כמו כן, הענק גישה רק לנתונים ולפעולות הדרושים לביצוע המשימה. למד אודות תפקידים עם הרשאות Microsoft Entra זהה.

• השתמש בתפקידים מוכללים להקצאת הרשאות כאשר הדבר אפשרי. לבקרת גישה מבוססת תפקידים (RBAC) של Azure יש כמה תפקידים מוכללים שבהם באפשרותך להשתמש. קבל מידע Microsoft Entra על תפקידים מוכללים.

המלצות נוספות

• לפני השימוש בחשבונות מנהל מערכת, סגור את כל ההפעלות והאפליקציות של הדפדפן שאינם קשורים, כולל חשבונות דואר אלקטרוני אישיים. באפשרותך גם להשתמש בחלונות דפדפן פרטיים או בסתר.

• לאחר השלמת משימות הניהול, הקפד לצאת מהפעלת הדפדפן.

השלב הבא

הגדלת ההגנה מפני איומים Microsoft 365 Business Premium