Proteger as suas contas de administrador
Uma vez que as contas de administrador têm privilégios elevados, são alvos valiosos para ciberataques. Este artigo descreve:
- Como configurar outra conta de administrador para emergências.
- Como criar uma conta de administrador para emergências.
- Como criar uma conta de usuário para si mesmo.
- Como proteger as contas de administrador.
- Recomendações adicionais e o passo Seguinte.
Quando se inscreve no Microsoft 365 e introduz as suas informações, torna-se automaticamente o Administrador Global (também conhecido como administrador global). Um Administrador Global tem o controlo final das contas de utilizador e de todas as outras definições no centro de administração da Microsoft (https://admin.microsoft.com), mas existem muitos tipos diferentes de contas de administrador com diferentes graus de acesso. Consulte sobre funções de administrador para obter informações sobre os diferentes níveis de acesso para cada tipo de função de administrador.
Criar outras contas de administrador
Use contas de administrador apenas para administração do Microsoft 365. Os administradores devem ter uma conta de utilizador separada para a utilização regular de Microsoft 365 Apps e utilizar apenas a respetiva conta administrativa quando necessário para gerir contas e dispositivos e enquanto trabalham noutras funções de administrador. Também é uma boa ideia remover a licença do Microsoft 365 das suas contas de administrador para que você não tenha que pagar por licenças extras.
Deverá configurar, pelo menos, uma outra conta de Administrador Global para conceder acesso de administrador a outro funcionário fidedigno. Você também pode criar contas de administrador separadas para gerenciamento de usuários (essa função é chamada Administrador de gerenciamento de usuários). Para obter mais informações, confira o artigo Sobre funções de administrador.
Importante
Embora recomendemos a configuração de um conjunto de contas de administrador, é recomendável limitar o número de Administradores Globais da sua organização. Além disso, recomendamos a adesão ao conceito de acesso de privilégios mínimos, o que significa que você concede acesso a apenas os dados e operações necessárias para a execução dos seus trabalhos. Saiba mais sobre o princípio de privilégios mínimos.
Para criar mais contas de administrador:
No Centro de administração do Microsoft 365, selecione Utilizadores Utilizadores>Ativos no painel de navegação esquerdo.
Na página Usuários ativos, selecione Adicionar um usuário na parte superior da página.
No painel Adicionar um usuário, insira informações básicas como, informações de nome e nome de usuário.
Insira e configure as informações Licenças do produto.
Em Configurações opcionais, defina a função do usuário, incluindo a adição de acesso ao Centro de administração, se apropriado.
Conclua e examine suas configurações e selecione Concluir adicionando para confirmar os detalhes.
Criar uma conta de administrador de emergência
Você também deve criar uma conta de backup que não esteja configurada com a autenticação multifator (MFA) para não se bloquear acidentalmente (por exemplo, se você perder o telefone que está usando como segunda forma de verificação). Certifique-se de que a senha para esta conta seja uma frase ou pelo menos 16 caracteres. Esta conta de administrador de emergência é geralmente referida como uma "conta break-glass".
Crie uma conta de usuário para você
Se você for um administrador, precisará de uma conta de usuário para tarefas de trabalho regulares, como verificar emails. Nomeie suas contas para que você saiba qual é qual. Por exemplo, as suas credenciais de administrador podem ser semelhantes a Alice.Chavez@Contoso.org e a sua conta de utilizador normal pode ser semelhante a Alice@Contoso.com.
Para criar uma nova conta de usuário:
Aceda à Centro de administração do Microsoft 365 e, em seguida, selecione Utilizadores Utilizadores>Ativos no painel de navegação esquerdo.
Na página Usuários ativos, selecione Adicionar um usuário na parte superior da página e, no painel Adicionar um usuário, insira o nome e outras informações.
Na seção Licenças do Produto, marque a caixa de seleção do Microsoft 365 Business Premium (sem acesso administrativo).
Na seção Configurações opcionais, deixe o botão de opção padrão selecionado para Usuário (sem acesso ao centro de administração).
Conclua e examine suas configurações e selecione Concluir adicionando para confirmar os detalhes.
Proteger contas administrativas
Para proteger todas as suas contas de administrador, siga estas recomendações:
Exigir que todas as contas de administrador utilizem autenticação sem senha (como o Windows Hello ou um aplicativo de autenticação) ou MFA. Para saber mais sobre por que a autenticação sem senha é importante, consulte o Whitepaper da Segurança da Microsoft: Proteção sem senha.
Evite usar permissões personalizadas para administradores. Em vez de conceder permissões a utilizadores específicos, atribua permissões através de funções no Microsoft Entra ID. E conceda acesso apenas aos dados e operações necessários para a execução da tarefa em questão. Saiba mais sobre as funções com menos privilégios no Microsoft Entra ID.
Use as funções internas para atribuir permissões sempre que possível. O controle de acesso baseado em função (RBAC) do Azure tem várias funções internas que você pode usar. Saiba mais sobre Microsoft Entra funções incorporadas.
Recomendações adicionais
Antes de usar contas de administrador, feche todas as sessões e aplicativos do navegador não relacionados, incluindo contas de email pessoais. Você também pode usar em janelas de navegador privadas ou anônimas.
Depois de concluir as tarefas de administrador, saia da sessão do navegador.
Próxima etapa
Aumente a proteção contra ameaças do Microsoft 365 Business Premium