保护管理员帐户

由于管理员帐户具有提升的权限，因此它们是网络攻击者的宝贵目标。 本文内容：

• 如何为紧急情况设置另一个管理员帐户。
• 如何创建紧急管理员帐户。
• 如何为自己创建用户帐户。
• 如何保护管理员帐户。
• 其他建议 和 下一步。

注册 Microsoft 365 并输入信息后，你将自动成为全局管理员（也称为全局管理员）。 全局管理员对 Microsoft 管理中心 (https://admin.microsoft.com) 中的用户帐户和所有其他设置具有最终控制权，但有许多不同类型的管理员帐户具有不同程度的访问权限。 有关每种管理员角色的不同访问级别的信息，请参阅关于管理员角色。

创建其他管理员帐户

仅使用管理员帐户进行 Microsoft 365 管理。 管理员应有一个单独的用户帐户，以便他们经常使用Microsoft 365 应用版，并且仅在需要管理帐户和设备以及处理其他管理功能时使用其管理帐户。 从管理员帐户中删除 Microsoft 365 许可证也是一个好主意，这样就无需为额外的许可证付费。

你将需要设置至少一个其他全局管理员帐户来向另一位受信任的员工授予管理员访问权限。 还可以为用户管理创建单独的管理员帐户（此角色称为“用户管理管理员”）。 有关详细信息，请参阅关于管理员角色。

重要

尽管我们建议设置一组管理员帐户，但你仍会希望限制组织的全局管理员数。 此外，我们建议遵循最低权限访问的概念，这意味着你仅授予对执行其作业所需的数据和操作的访问权限。 详细了解最低特权原则。

要创建更多管理员帐户，请执行以下操作：

1. 在Microsoft 365 管理中心，在左侧导航栏中选择“用户>”“活动用户”。

   

2. 在“活动用户”页上，选择页面顶部的“添加用户”。

3. 在“添加用户”面板中，输入基本信息，如名称和用户名信息。

4. 输入并设置 产品许可证 信息。

5. 在“可选设置”中，定义用户的角色，包括根据需要添加管理中心访问权限。

   

6. 完成并查看设置，然后选择“完成添加”以确认详细信息。

创建紧急管理员帐户

还应该创建一个未设置多重身份验证 (MFA) 的备份帐户，以免意外将自己锁定（例如，如果丢失了用作第二种验证形式的手机）。 请确保此帐户的密码是一个短语或至少 16 个字符长。 此紧急管理员帐户通常称为“紧急访问帐户”。”

为自己创建用户帐户

如果你是管理员，则将需要用户帐户来执行常规工作任务，例如检查邮件。 可为帐户命名，以便区分不同的账户。 例如，管理员凭据可能类似于 Alice.Chavez@Contoso.org，而常规用户帐户可能类似于 Alice@Contoso.com。

若要创建新的用户帐户，请执行以下操作：

1. 转到Microsoft 365 管理中心，然后在左侧导航中选择“用户>活动用户”。

2. 在“活动用户”页面上，选择页面顶部的“添加用户”，然后在“添加用户”面板上，输入名称和其他信息。

3. 在“产品许可证”部分中，选中“Microsoft 365 商业高级版（无管理访问权限）”复选框。

4. 在“可选设置”部分中，保留为 用户（无管理中心访问权限） 选择的默认单选按钮。

5. 完成并查看设置，然后选择“完成添加”以确认详细信息。

保护管理员帐户

要保护所有管理员帐户，请确保遵循以下建议：

• 要求所有管理员帐户使用无密码身份验证（如 Windows Hello 或验证器应用）或 MFA。 要详细了解无密码身份验证为何重要，请参阅 Microsoft 安全白皮书：无密码保护。

• 避免对管理员使用自定义权限。 无需向特定用户授予权限，而是通过Microsoft Entra ID 中的角色分配权限。 并且，仅授予对执行手头任务所需的数据和操作的访问权限。 了解Microsoft Entra ID 中的最低特权角色。

• 尽可能使用内置角色来分配权限。 Azure 基于角色的访问控制 (RBAC) 具有多个可使用的内置角色。 详细了解Microsoft Entra内置角色。

其他建议

• 在使用管理员帐户之前，请关闭所有不相关的浏览器会话和应用，包括个人电子邮件帐户。 还可以在专用或隐身浏览器窗口中使用。

• 完成管理任务后，请务必注销浏览器会话。

后续步骤

增强 Microsoft 365 商业高级版的威胁防护