Jaa


Järjestelmänvalvojatilien suojaaminen

Järjestelmänvalvojatileillä on laajennetut oikeudet, ja ne ovat arvokkaita kohteita kyberhyökkääjille. Tässä artikkelissa kuvataan:

Kun rekisteröidyt Microsoft 365:een ja annat tietosi, sinusta tulee automaattisesti yleinen järjestelmänvalvoja (kutsutaan myös yleiseksi järjestelmänvalvojaksi). Yleinen järjestelmänvalvoja hallitsee käyttäjätiliä ja kaikkia muita asetuksia Microsoft-hallintakeskuksessa (https://admin.microsoft.com), mutta käytettävissä on monia erilaisia järjestelmänvalvojatilejä, joiden käyttöoikeudet vaihtelevat. Lisätietoja kunkin järjestelmänvalvojaroolin eri käyttöoikeustasoista on kohdassa Järjestelmänvalvojan roolit .

Muiden järjestelmänvalvojatilien luominen

Käytä järjestelmänvalvojatilejä vain Microsoft 365:n hallinnassa. Järjestelmänvalvojilla tulee olla erillinen käyttäjätili, jotta he voivat käyttää Microsoft 365 -sovellukset säännöllisesti, ja he voivat käyttää järjestelmänvalvojan tiliään vain tarvittaessa tilien ja laitteiden hallintaan ja työskennellessään muiden järjestelmänvalvojatoimintojen parissa. Suosittelemme myös poistamaan Microsoft 365 -käyttöoikeuden järjestelmänvalvojatileiltäsi, jotta sinun ei tarvitse maksaa ylimääräisistä lisensseistä.

Haluat määrittää vähintään yhden muun yleisen järjestelmänvalvojan tilin, joka antaa järjestelmänvalvojalle käyttöoikeuden toiselle luotetulle työntekijälle. Voit myös luoda erillisiä järjestelmänvalvojatilejä käyttäjien hallintaan (tätä roolia kutsutaan käyttäjien hallinnan järjestelmänvalvojaksi). Lisätietoja on kohdassa Järjestelmänvalvojan roolit.

Tärkeää

Vaikka suosittelemme määrittämään joukon järjestelmänvalvojatilejä, sinun kannattaa rajoittaa organisaatiosi yleisten järjestelmänvalvojien määrää. Lisäksi suosittelemme, että noudatat pienintä käyttöoikeutta, mikä tarkoittaa, että myönnät käyttöoikeuden vain tietoihin ja toimintoihin, joita tarvitaan heidän työnsä suorittamiseen. Lue lisätietoja pienimmän etuoikeuden periaatteesta.

Voit luoda lisää järjestelmänvalvojatilejä:

  1. Valitse Microsoft 365 -hallintakeskus vasemmasta siirtymisruudusta Käyttäjät Aktiiviset>käyttäjät.

    Valitse Käyttäjät ja sitten Aktiiviset käyttäjät vasemmasta siirtymisruudusta.

  2. Valitse Aktiiviset käyttäjät -sivulla Lisää käyttäjä sivun yläreunasta.

  3. Kirjoita Lisää käyttäjä -paneeliin perustietoja, kuten nimi- ja käyttäjänimitiedot.

  4. Anna ja määritä tuotteen käyttöoikeustiedot .

  5. Määritä Valinnaiset asetukset -kohdassa käyttäjän rooli, mukaan lukien tarvittaessa Hallinta center -käyttöoikeuden lisääminen.

    Määritä uusia käyttäjärooleja.

  6. Viimeistele ja tarkista asetuksesi ja vahvista tiedot valitsemalla Valmis lisääminen .

Hätäjärjestelmänvalvojan tilin luominen

Sinun tulee myös luoda varmuuskopiotili, jota ei ole määritetty monimenetelmäisen todentamisen (MFA) avulla, jotta et lukitse itseäsi vahingossa ulos (jos esimerkiksi kadotat puhelimen, jota käytät toisena vahvistusmuotona). Varmista, että tämän tilin salasana on lauseke tai vähintään 16 merkkiä pitkä. Tätä hätäjärjestelmänvalvojatiliä kutsutaan usein break-glass-tiliksi.

Käyttäjätilin luominen itsellesi

Jos olet järjestelmänvalvoja, tarvitset käyttäjätilin tavallisissa työtehtävissä, kuten sähköpostin tarkistamisessa. Nimeä tilisi niin, että tiedät, mikä on mikäkin. Esimerkiksi järjestelmänvalvojan tunnistetiedot saattavat olla samanlaiset kuin Alice.Chavez@Contoso.org, ja tavallinen käyttäjätilisi saattaa muistuttaa Alice@Contoso.com.

Uuden käyttäjätilin luominen:

  1. Siirry Microsoft 365 -hallintakeskus ja valitse sitten vasemmasta siirtymisruudusta Käyttäjät Aktiiviset>käyttäjät.

  2. Valitse Aktiiviset käyttäjät -sivulla Lisää käyttäjä sivun yläreunasta ja kirjoita Lisää käyttäjä -paneelista nimi ja muut tiedot.

  3. Valitse Tuotteiden käyttöoikeudet -osassa valintaruutu kohteelle Microsoft 365 Business Premium (ei järjestelmänvalvojan käyttöoikeuksia).

  4. Jätä Valinnaiset asetukset - osiossa oletusvalintanappi valituksi käyttäjälle (ei hallintakeskuksen käyttöoikeuksia)..

  5. Viimeistele ja tarkista asetuksesi ja vahvista tiedot valitsemalla Valmis lisääminen .

Järjestelmänvalvojatilien suojaaminen

Jos haluat suojata kaikki järjestelmänvalvojatilisi, noudata seuraavia suosituksia:

  • Edellytä, että kaikki järjestelmänvalvojatilit käyttävät salasanatonta todentamista (kuten Windows Hello tai todentajasovellusta) tai monimenetelmäistä todentamista. Jos haluat lisätietoja siitä, miksi salasanaton todentaminen on tärkeää, lue Microsoft Securityn tekninen raportti: Salasanaton suojaus.

  • Vältä mukautettujen käyttöoikeuksien käyttämistä järjestelmänvalvojille. Käyttöoikeuksien myöntämisen sijaan tietyille käyttäjille voit määrittää käyttöoikeuksia Microsoft Entra ID roolien kautta. Ja myönnä käyttöoikeus vain tietoihin ja toimintoihin, joita tarvitaan käsillä olevan tehtävän suorittamiseen. Lue lisätietoja Microsoft Entra ID vähiten etuoikeutetuista rooleista.

  • Käytä sisäisiä rooleja käyttöoikeuksien määrittämiseen mahdollisuuksien mukaan. Azuren roolipohjaisella käyttöoikeuksien hallinnalla (RBAC) on useita sisäänrakennettuja rooleja, joita voit käyttää. Lue lisätietoja Microsoft Entra sisäisistä rooleista.

Lisäsuositukset

  • Sulje kaikki toisiinsa liittymättömät selainistunnot ja -sovellukset, mukaan lukien henkilökohtaiset sähköpostitilit, ennen kuin käytät järjestelmänvalvojan tilejä. Voit käyttää myös yksityisissä tai incognito-selainikkunoissa.

  • Kun olet suorittanut järjestelmänvalvojan tehtävät, muista kirjautua ulos selainistunnosta.

Seuraavat vaiheet

Paranna Microsoft 365 Business Premium uhkien suojausta