Proteger suas contas de administrador
Como as contas de administrador vêm com privilégios elevados, elas são alvos valiosos para ciberataques. Este artigo descreve:
- Como configurar outra conta de administrador para emergências.
- Como criar uma conta de administrador para emergências.
- Como criar uma conta de usuário para si mesmo.
- Como proteger as contas de administrador.
- Recomendações adicionais e sua próxima etapa.
Quando você se inscreve no Microsoft 365 e insere suas informações, você se torna automaticamente o Administrador Global (também conhecido como Administrador da empresa). Um administrador global tem o controle final das contas de usuário e todas as outras configurações no centro de administração da Microsoft (https://admin.microsoft.com), mas há muitos tipos diferentes de contas de administrador com diferentes graus de acesso. Consulte sobre funções de administrador para obter informações sobre os diferentes níveis de acesso para cada tipo de função de administrador.
Criar outras contas de administrador
Use contas de administrador apenas para administração do Microsoft 365. Os administradores devem ter uma conta de usuário separada para o uso regular de Microsoft 365 Apps e usar apenas sua conta administrativa quando necessário para gerenciar contas e dispositivos e enquanto trabalham em outras funções de administrador. Também é uma boa ideia remover a licença do Microsoft 365 das suas contas de administrador para que você não tenha que pagar por licenças extras.
Você deve configurar pelo menos uma outra conta de administrador global para dar acesso de administrador a outro funcionário confiável. Você também pode criar contas de administrador separadas para gerenciamento de usuários (essa função é chamada Administrador de gerenciamento de usuários). Para obter mais informações, confira o artigo Sobre funções de administrador.
Importante
Embora seja recomendável configurar um conjunto de contas de administrador, convém limitar o número de administradores globais da sua organização. Além disso, recomendamos a adesão ao conceito de acesso de privilégios mínimos, o que significa que você concede acesso a apenas os dados e operações necessárias para a execução dos seus trabalhos. Saiba mais sobre o princípio de privilégios mínimos.
Para criar mais contas de administrador:
No Centro de administração do Microsoft 365, escolha Usuários usuários>ativos na navegação à esquerda.
Na página Usuários ativos, selecione Adicionar um usuário na parte superior da página.
No painel Adicionar um usuário, insira informações básicas como, informações de nome e nome de usuário.
Insira e configure as informações Licenças do produto.
Em Configurações opcionais, defina a função do usuário, incluindo a adição de acesso ao Centro de administração, se apropriado.
Conclua e examine suas configurações e selecione Concluir adicionando para confirmar os detalhes.
Criar uma conta de administrador de emergência
Você também deve criar uma conta de backup que não esteja configurada com a autenticação multifator (MFA) para não se bloquear acidentalmente (por exemplo, se você perder o telefone que está usando como segunda forma de verificação). Certifique-se de que a senha para esta conta seja uma frase ou pelo menos 16 caracteres. Esta conta de administrador de emergência é geralmente referida como uma "conta break-glass".
Crie uma conta de usuário para você
Se você for um administrador, precisará de uma conta de usuário para tarefas de trabalho regulares, como verificar emails. Nomeie suas contas para que você saiba qual é qual. Por exemplo, suas credenciais de administrador podem ser semelhantes a Alice.Chavez@Contoso.org, e sua conta de usuário regular pode ser semelhante a Alice@Contoso.com.
Para criar uma nova conta de usuário:
Vá para o Centro de administração do Microsoft 365 e escolha Usuários usuários>ativos na navegação à esquerda.
Na página Usuários ativos, selecione Adicionar um usuário na parte superior da página e, no painel Adicionar um usuário, insira o nome e outras informações.
Na seção Licenças do Produto, marque a caixa de seleção do Microsoft 365 Business Premium (sem acesso administrativo).
Na seção Configurações opcionais, deixe o botão de opção padrão selecionado para Usuário (sem acesso ao centro de administração).
Conclua e examine suas configurações e selecione Concluir adicionando para confirmar os detalhes.
Proteger contas administrativas
Para proteger todas as suas contas de administrador, siga estas recomendações:
Exigir que todas as contas de administrador utilizem autenticação sem senha (como o Windows Hello ou um aplicativo de autenticação) ou MFA. Para saber mais sobre por que a autenticação sem senha é importante, consulte o Whitepaper da Segurança da Microsoft: Proteção sem senha.
Evite usar permissões personalizadas para administradores. Em vez de conceder permissões a usuários específicos, atribua permissões por meio de funções no Microsoft Entra ID. E conceda acesso apenas aos dados e operações necessários para a execução da tarefa em questão. Saiba mais sobre funções menos privilegiadas em Microsoft Entra ID.
Use as funções internas para atribuir permissões sempre que possível. O controle de acesso baseado em função (RBAC) do Azure tem várias funções internas que você pode usar. Saiba mais sobre Microsoft Entra funções internas.
Recomendações adicionais
Antes de usar contas de administrador, feche todas as sessões e aplicativos do navegador não relacionados, incluindo contas de email pessoais. Você também pode usar em janelas de navegador privadas ou anônimas.
Depois de concluir as tarefas de administrador, saia da sessão do navegador.
Próxima etapa
Aumente a proteção contra ameaças do Microsoft 365 Business Premium
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de