Proteger as suas contas de administrador

Uma vez que as contas de administrador têm privilégios elevados, são alvos valiosos para ciberataques. Este artigo descreve:

• Como configurar outra conta de administrador para emergências.
• Como criar uma conta de administrador de emergência.
• Como criar uma conta de utilizador para si próprio.
• Como proteger contas de administrador.
• Recomendações adicionais e o passo Seguinte.

Quando se inscreve no Microsoft 365 e introduz as suas informações, torna-se automaticamente o Administrador Global (também conhecido como administrador global). Um Administrador Global tem o controlo final das contas de utilizador e de todas as outras definições no centro de administração da Microsoft (https://admin.microsoft.com), mas existem muitos tipos diferentes de contas de administrador com diferentes graus de acesso. Veja sobre as funções de administrador para obter informações sobre os diferentes níveis de acesso para cada tipo de função de administrador.

Criar outras contas de administrador

Utilize contas de administrador apenas para a administração do Microsoft 365. Os administradores devem ter uma conta de utilizador separada para a utilização regular de Microsoft 365 Apps e utilizar apenas a respetiva conta administrativa quando necessário para gerir contas e dispositivos e enquanto trabalham noutras funções de administrador. Também é boa ideia remover a licença do Microsoft 365 das suas contas de administrador para que não tenha de pagar licenças adicionais.

Deverá configurar, pelo menos, uma outra conta de Administrador Global para conceder acesso de administrador a outro funcionário fidedigno. Também pode criar contas de administrador separadas para a gestão de utilizadores (esta função é denominada Administrador de gestão de utilizadores). Para obter mais informações, veja sobre as funções de administrador.

Importante

Embora recomendemos a configuração de um conjunto de contas de administrador, é recomendável limitar o número de Administradores Globais da sua organização. Além disso, recomendamos que aderindo ao conceito de acesso com menos privilégios, o que significa que concede acesso apenas aos dados e operações necessários para realizar as respetivas tarefas. Saiba mais sobre o princípio do menor privilégio.

Para criar mais contas de administrador:

1. No centro de administração do Microsoft 365, selecione Utilizadores Utilizadores>Ativos no painel de navegação esquerdo.

   

2. Na página Utilizadores ativos , selecione Adicionar um utilizador na parte superior da página.

3. No painel Adicionar um utilizador , introduza informações básicas, como informações de nome e nome de utilizador.

4. Introduza e configure as informações de Licenças de produtos .

5. Em Definições opcionais, defina a função do utilizador, incluindo adicionar Administração acesso ao centro, se adequado.

   

6. Conclua e reveja as suas definições e selecione Concluir a adição para confirmar os detalhes.

Criar uma conta de administrador de emergência

Também deve criar uma conta de cópia de segurança que não esteja configurada com a autenticação multifator (MFA), para que não se bloqueie acidentalmente (por exemplo, se perder o telemóvel que está a utilizar como uma segunda forma de verificação). Certifique-se de que a palavra-passe desta conta tem uma expressão ou, pelo menos, 16 carateres. Esta conta de administrador de emergência é frequentemente referida como uma "conta break-glass".

Criar uma conta de utilizador para si próprio

Se for um administrador, precisará de uma conta de utilizador para tarefas profissionais normais, como a verificação de correio. Atribua um nome às suas contas para saber qual é qual. Por exemplo, as suas credenciais de administrador podem ser semelhantes a Alice.Chavez@Contoso.org e a sua conta de utilizador normal pode ser semelhante a Alice@Contoso.com.

Para criar uma nova conta de utilizador:

1. Aceda à centro de administração do Microsoft 365 e, em seguida, selecione Utilizadores Utilizadores>Ativos no painel de navegação esquerdo.

2. Na página Utilizadores ativos , selecione Adicionar um utilizador na parte superior da página e, no painel Adicionar um utilizador , introduza o nome e outras informações.

3. Na secção Licenças de Produto, selecione a caixa de verificação para Microsoft 365 Empresas Premium (sem acesso administrativo).

4. Na secção Definições opcionais , deixe o botão de opção predefinido selecionado para Utilizador (sem acesso ao centro de administração).

5. Conclua e reveja as suas definições e selecione Concluir a adição para confirmar os detalhes.

Proteger contas de administrador

Para proteger todas as suas contas de administrador, siga estas recomendações:

• Exigir que todas as contas de administrador utilizem autenticação sem palavra-passe (como Windows Hello ou uma aplicação de autenticação) ou MFA. Para saber mais sobre o motivo pelo qual a autenticação sem palavra-passe é importante, consulte o documento técnico Segurança da Microsoft: Proteção sem palavra-passe.

• Evite utilizar permissões personalizadas para administradores. Em vez de conceder permissões a utilizadores específicos, atribua permissões através de funções no Microsoft Entra ID. Além disso, conceda acesso apenas aos dados e operações necessários para realizar a tarefa em questão. Saiba mais sobre as funções com menos privilégios no Microsoft Entra ID.

• Utilize funções incorporadas para atribuir permissões sempre que possível. O controlo de acesso baseado em funções (RBAC) do Azure tem várias funções incorporadas que pode utilizar. Saiba mais sobre Microsoft Entra funções incorporadas.

Recomendações adicionais

• Antes de utilizar contas de administrador, feche todas as aplicações e sessões de browser não relacionadas, incluindo contas de e-mail pessoais. Também pode utilizar em janelas de browser privadas ou anónimas.

• Depois de concluir as tarefas de administrador, certifique-se de que termina sessão na sessão do browser.

Passo seguinte

Aumentar a proteção contra ameaças para Microsoft 365 Empresas Premium