每個 Microsoft 365 組織都包含重要使用者,例如高階主管、領導者、經理或其他有權存取敏感性、專屬或高優先順序資訊的人。 您最多可以將其中 250 個使用者指定為 優先帳戶 並 (取決於您的訂閱) 使用應用程式特定功能為他們提供額外的保護和可見度。
本文說明如何將使用者和群組標記為優先帳戶,以及這些帳戶作為優先帳戶所獲得的額外保護和可見度。
提示
如需高價值帳戶的安全性最佳做法,請參閱雲端組織中優先帳戶的安全性建議。
開始之前有哪些須知?
優先帳戶數量上限為 250 個。
您必須已獲派權限,才能進行本文中的程序。 您有下列選項:
-
Microsoft Defender 全面偵測回應統一角色型存取控制 (RBAC) (如果 電子郵件和共同作業>適用於 Office 365 的 Defender 權限為
作用中。僅會影響 Defender 入口網站,不會影響 PowerShell):授權和設定/系統設定/管理或授權和設定/系統設定/唯讀。 -
Microsoft Defender 入口網站中的電子郵件和共同作業權限:
- 套用及移除使用者的優先帳戶標籤:安全性系統管理員和 Exchange 系統管理員 角色群組的成員資格。
- Microsoft Entra 權限:全域管理員*或安全性系統管理員角色的成員資格可為使用者提供必要權限和 Microsoft 365 中其他功能的權限。
-
Microsoft Defender 全面偵測回應統一角色型存取控制 (RBAC) (如果 電子郵件和共同作業>適用於 Office 365 的 Defender 權限為
重要事項
*Microsoft 建議您使用權限最少的角色。 使用較低權限的帳戶有助於提高組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
管理優先帳戶
您可以在 Microsoft Defender 入口網站或 Microsoft 365 系統管理中心中管理優先帳戶。
在 Microsoft Defender 入口網站中管理優先帳戶
在位於 https://security.microsoft.com 的 Microsoft Defender 入口網站中,移至 [設定]>[電子郵件與共同作業]>[使用者標籤]。 或者,若要直接移至 [使用者標籤] 頁面,請使用 https://security.microsoft.com/securitysettings/userTags。
在 [使用者標籤] 頁面上,執行下列其中一個步驟來選取並編輯 [優先帳戶] 標籤:
- 選取 [優先帳戶] 資料列第一個資料行旁邊的核取方塊,然後選取出現的
[編輯] 動作。 - 按一下 [優先帳戶] 資料列中核取方塊除外的任何位置。 在開啟的詳細資料飛出視窗中,選取飛出視窗頂端的 [編輯]
- 選取 [優先帳戶] 資料列第一個資料行旁邊的核取方塊,然後選取出現的
[編輯標籤優先帳戶] 精靈隨即開啟。 在 [指派成員] 頁面上,採取下列其中一項動作:
-
新增成員:執行下列任一項步驟:
選取
[新增成員]。 在開啟的 [新增成員] 飛出視窗中,執行下列任何步驟,在 [搜尋要新增的使用者和群組] 方塊中新增個別使用者或群組:- 按一下方塊,然後捲動清單。
- 開始輸入名稱以篩選清單,然後選取方塊下方的值。
若要新增更多成員,請按一下方塊中的空白區域,然後重複上一個步驟。
若要從方塊中移除個別項目,請選取項目旁邊的
。當您完成 [新增成員] 飛出視窗時,請選取 [新增]。
返回 [指派成員] 頁面,您新增的使用者和群組會依 [名稱] 和 [類型] 列出。
選取
[匯入] 以選取包含使用者或群組電子郵件地址的文字檔 (每行一個項目)。移除成員:在[指派成員] 頁面的成員清單中,選取項目資料列中的
[刪除]。
當您在 [指派成員] 頁面上完成時,請選取 [下一步]。
-
新增成員:執行下列任一項步驟:
在 [檢閱標籤] 頁面上,檢閱您的設定。 您可以在每個區段中選取 [編輯],以修改該區段內的設定。 或者,您可以選取 [上一步] 或在精靈中選取特定頁面。
當您在 [檢閱標籤] 頁面上完成時,請選取 [提交]。
在 [標籤優先帳戶已更新] 頁面上,您可以選取連結以新增標籤或管理標籤成員。
當您在 [新增標籤已建立] 頁面上完成時,選取 [完成]。
提示
完全套用標籤最多可能需要 8 小時。
在 Microsoft 系統管理中心管理優先帳戶
在位於 https://admin.cloud.microsoft 的 Microsoft 系統管理中心中,移至位於 https://admin.microsoft.com/Adminportal/Home#/priorityaccounts 的 [優先帳戶] 頁面。
如果您偏好繞點遠路,請移至 [作用中使用者] 頁面上的 [使用者]>[作用中使用者]>,選取
[更多動作]>
[管理優先帳戶]。在 [優先帳戶] 頁面上,採取下列任一項動作:
新增成員:
選取
[標記帳戶]。 在開啟的 [將使用者帳戶標記為優先帳戶] 飛出視窗中,選取 [您要如何搜尋帳戶?] 中的下列其中一個值:- 名稱和電子郵件地址 (預設)
- 職稱
- 通訊群組清單
完成時,按 [下一步]。
在開啟的飛出視窗中,尋找並選取使用者或通訊群組,然後選取 [標籤]。
程序會在 [將使用者帳戶標記為優先帳戶] 飛出視窗上重新開始,並更新全部 [已標籤的優先帳戶] (上限為 250)。 選取 [下一步] 以標記更多使用者或通訊群組,或選取 [取消] 以完成。
返回 [優先帳戶] 頁面,系統會列出您選取的使用者或群組。
移除成員:在 [優先帳戶] 頁面的成員清單中,執行下列任一項步驟:
- 選取 [顯示名稱] 資料行旁邊的核取方塊,從清單中選取一或多個項目,選取出現的
[移除標籤] 動作,然後在出現的確認對話方塊中選取 [移除]。 - 在項目的 [顯示名稱] 和 [使用者名稱] 資料行值之間,選取 ⋮[更多動作]>[移除標籤],然後在出現的確認對話方塊中選取 [移除]。
- 選取 [顯示名稱] 資料行旁邊的核取方塊,從清單中選取一或多個項目,選取出現的
監視優先帳戶
將使用者或群組標記為優先帳戶之後,它們會在 Microsoft 365 中取得下列保護和可見度:
適用於 Office 365 的 Microsoft Defender 方案 1 或方案 2 中報告的可見度:Microsoft 365 商務進階版和其他包含適用於 Office 365 的 Defender 的訂閱 (例如 Microsoft 365 E5 或附加元件訂閱) 支援優先帳戶作為警示、報告和調查中篩選的標籤。 如需詳細資訊,請參閱適用於 Office 365 的 Microsoft Defender 中的使用者標籤。
適用於 Office 365 的 Defender 方案 2 中的優先帳戶防護:一個很自然的問題是:「不是所有使用者都是優先的嗎? 為什麼不將所有使用者指定為優先帳戶進行優先帳戶防護呢?」是的,所有使用者都是優先的,但適用於 Office 365 的 Defender 方案 2 中的優先帳戶防護 (例如,在具有商務進階版 Microsoft Defender 套件附加元件的商務進階版中) 具有以下優勢:
- 其他啟發學習法:我們對 Microsoft 資料中心郵件流程的分析指出,公司高階主管的郵件流程模式與一般使用者不同。 優先帳戶防護提供了其他專為公司高階主管量身打造的啟發學習法,但這些方法不會讓普通使用者受益。
- 報告中的額外可見度:優先帳戶防護作為篩選,可讓您專門針對調查。
如需詳細資訊,請參閱在適用於 Office 365 的 Microsoft Defender 中設定和檢閱優先帳戶防護。
提示
當您將優先帳戶防護套用至信箱時,也應該將優先帳戶防護套用至具有信箱存取權的使用者。 例如,執行長和他們的行政助理。
Exchange Online 中的電子郵件監視:優先帳戶的電子郵件監視功能具有下列需求:
至少 5,000 個授權,包含下列產品的任意組合:
- Office 365 E3
- Microsoft 365 E3
- Office 365 E3
- Microsoft 365 E5
例如,您的組織可以擁有 3,000 個 Office 365 E3 授權,以及 2,500 個 Microsoft 365 E5 授權,總計為 5,500 個合格產品的授權。
一或多個核心工作負載的至少 50 個每月活躍使用者:
- Microsoft Teams
- OneDrive
- SharePoint
- Exchange Online
- Microsoft 365 生產力應用程式
如果您的組織符合這兩項需求,您可以對優先帳戶使用下列電子郵件監視功能:
Exchange Online 優先帳戶監視:您可以檢視 Exchange 授權、信箱儲存空間、郵件限制和郵件傳遞等案例的優先帳戶健康情況。 如需詳細資訊,請參閱優先帳戶監視案例。
進階郵件流程監視:良好的郵件流程對於業務成功至關重要,而傳遞延遲或失敗可能會對業務產生負面影響。 您可以選擇失敗或延遲電子郵件的閾值、超過該閾值時接收警示,以及檢視優先帳戶的電子郵件問題報告。 如需詳細資訊,請參閱新式 EAC 中的優先帳戶報告的電子郵件問題