Dela via


Skydda dina administratörskonton

Eftersom administratörskonton har utökade privilegier är de värdefulla mål för cyberattacker. I den här artikeln beskrivs följande:

När du registrerar dig för Microsoft 365 och anger din information blir du automatiskt global administratör (kallas även global administratör). En global administratör har den ultimata kontrollen över användarkonton och alla andra inställningar i Microsofts administrationscenter (https://admin.microsoft.com), men det finns många olika typer av administratörskonton med varierande åtkomstgrad. Läs om administratörsroller för information om de olika åtkomstnivåerna för varje typ av administratörsroll.

Skapa andra administratörskonton

Använd administratörskonton endast för Microsoft 365-administration. Administratörer bör ha ett separat användarkonto för regelbunden användning av Microsoft 365-applikationer och endast använda sitt administrativa konto när det behövs för att hantera konton och enheter och när de arbetar med andra administratörsfunktioner. Det är också en bra idé att ta bort Microsoft 365-licensen från dina administratörskonton så att du inte behöver betala för extra licenser.

Du vill konfigurera minst ett annat globalt administratörskonto för att ge administratörsåtkomst till en annan betrodd anställd. Du kan också skapa separata administratörskonton för användarhantering (den här rollen kallas Administratör för användarhantering). Mer information finns i om administratörsroller.

Viktigt

Även om vi rekommenderar att du konfigurerar en uppsättning administratörskonton vill du begränsa antalet globala administratörer för din organisation. Dessutom rekommenderar vi att du följer principen om åtkomst med lägsta behörighet, vilket innebär att du endast ger åtkomst till de data och funktioner som behövs för att de ska kunna utföra sina arbetsuppgifter. Läs mer om principen om lägsta behörighet.

För att skapa ytterligare administratörskonton:

  1. I Administrationscenter för Microsoft 365 väljer du Användare>Aktiva användare i det vänstra navigeringsfältet.

    Välj Användare och sedan Aktiva användare i det vänstra navigeringsfältet.

  2. På sidan Aktiva användare väljer du Lägg till en användare överst på sidan och på panelen Ny användare anger du namn och annan information.

  3. I panelen Lägg till en användare anger du grundläggande information, till exempel namn- och användarnamnsinformation.

  4. Ange och konfigurera information om produktlicenser.

  5. I Valfria inställningar definierar du användarens roll, inklusive att lägga till åtkomst till administrationscentret om det är lämpligt.

    Definiera nya användarroller.

  6. Slutför och granska inställningarna och välj Slutför tillägg för att bekräfta informationen.

Skapa ett administratörskonto för nödsituationer

Du bör också skapa ett säkerhetskopieringskonto som inte har konfigurerats med multifaktorautentisering (MFA) så att du inte av misstag låser dig ute (till exempel om du förlorar telefonen som du använder som en andra form av verifiering). Kontrollera att lösenordet för det här kontot är en fras eller minst 16 tecken långt. Detta administratörskonto för nödsituationer kallas ofta för ett "break-glass-konto".

Skapa ett användarkonto åt dig själv

Om du är administratör behöver du ett användarkonto för vanliga arbetsuppgifter, till exempel. för att kontrollera e-post. Namnge dina konton så att du vet vilket som är vilket. Dina administratörsautentiseringsuppgifter kan till exempel likna Alice.Chavez@Contoso.org och ditt vanliga användarkonto kan likna Alice@Contoso.com.

Så här skapar du ett nytt användarkonto:

  1. Gå till Administrationscenter för Microsoft 365 och välj sedan Användare>Aktiva användare i det vänstra navigeringsfältet.

  2. På sidan Aktiva användare väljer du Lägg till en användare överst på sidan och på panelen Ny användare anger du namn och annan information.

  3. I avsnittet Produktlicenser markerar du kryssrutan för Microsoft 365 Business Premium (ingen administrativ åtkomst).

  4. I avsnittet Valfria inställningar låter du standardknappen för radio vara markerade för Användare (ingen åtkomst till administrationscentret).

  5. Slutför och granska inställningarna och välj Slutför tillägg för att bekräfta informationen.

Skydda administratörskonton

Följ dessa rekommendationer för att skydda alla dina administratörskonton:

  • Kräv att alla administratörskonton använder autentisering utan lösenord (t.ex. Windows Hello eller en autentiseringsapp) eller MFA. Mer information om varför autentisering utan lösenord är viktig finns i Microsoft Security-dokumentet: Skydd utan lösenord.

  • Undvik att använda anpassade behörigheter för administratörer. I stället för att bevilja behörigheter till specifika användare tilldelar du behörigheter via roller i Microsoft Entra ID. Och ge endast tillgång till de data och funktioner som behövs för att utföra uppgiften i fråga. Lär dig mer om minst privilegierade roller i Microsoft Entra ID.

  • Använd om möjligt inbyggda roller för att tilldela behörigheter. Azures rollbaserade åtkomstkontroll (RBAC) har flera inbyggda roller som kan användas. Läs mer om Microsoft Entra inbyggda roller.

Ytterligare rekommendationer

  • Innan du använder administratörskonton stänger du alla orelaterade webbläsarsessioner och appar, inklusive personliga e-postkonton. Du kan också använda privat eller inkognito-webbläsare.

  • När du har slutfört administratörsuppgifterna måste du logga ut från webbläsarsessionen.

Nästa steg

Öka hotskyddet för Microsoft 365 Business Premium