以下內容節取自微軟認證測驗 MS-102：Microsoft 365 系統管理員-在 Microsoft 365 中管理權限、角色和角色群組

1. 授與管理員最低的必要權限
規劃存取控制策略時，首先要管理最低權限。 最低權限表示您完全授與系統管理員執行其工作所需的權限。

將角色指派給系統管理員時，有三個層面需要考慮:

*一組特定的權限

*針對特定範圍

*針對特定的一段時間

組織應該避免貪圖方便而指派廣泛的角色與範圍。 藉由限制角色和範圍，組織會限制在其安全性原則遭到入侵時有風險的資源。

Microsoft Entra 角色型存取控制支援超過 65 個內建角色。 有 Microsoft Entra 角色可管理目錄物件，例如使用者、群組和應用程式。 還有其他角色可管理 Microsoft 365 服務，例如 Exchange、SharePoint 和 Intune。
 

若要進一步了解 Microsoft Entra 內建角色，請參閱了解 Microsoft Entra 中的角色。 如果沒有符合您需求的內建角色，您可以建立自己的自訂角色。

請參閱 Microsoft Entra 內建角色文件。 系統會一起列出與每個角色相關聯的權限，以提升可讀性。 若要了解角色權限的結構和意義，請參閱如何了解角色權限。

其他閲讀資源。 如需詳細資訊，請參閱依工作設定最低特殊權限的角色。

2. 所有系統管理員帳戶開啟多重要素驗證

根據 Microsoft 的研究，如果使用者使用多重要素驗證 (MFA) ，則遭到入侵的可能性降低 99.9%。
 

3. 將全域管理員限制低於五人

Microsoft 建議將全域管理員角色指派給組織中少於五個人。 由於全域系統管理員持有王國之鑰，因此組織應該維持低攻擊面。

這是組織管理最低權限，並只授與其系統管理員執行其工作所需權限的更多原因。

如先前所述，組織應該使用多重要素驗證來保護所有全域管理員使用者帳戶。

Microsoft 建議組織保留兩個永久指派給全域管理員角色的「急用」帳戶。 它們也應該確保這些帳戶不需要與其一般系統管理帳戶相同的 MFA 機制來登入，如在 Microsoft Entra 中管理緊急存取帳戶中所述。

4. 管理員帳戶一律使用Entra ID的雲端原生帳戶

避免將 Microsoft Entra 的角色指派給組織內部地端部署Windows Server的同步帳戶。
背後的原因是，如果內部部署帳戶遭到入侵，可能危害公司的 Microsoft Entra 資源。

5.使用 Privileged Identity Management 授與具有時效性的存取權

最小權限狀態的其中一個原則，是只授與存取權一段時間。
Microsoft Entra Privileged Identity Management (PIM) 可讓您將 Just-In-Time 存取權授與您的系統管理員。 
在 PIM 中，您可以讓使用者成為 Microsoft Entra 角色的合格成員。 然後，使用者可以在需要時針對角色進行一段時間的啟用。 獲指派特殊權限角色系統管理員角色的使用者可以管理 PIM，並更新其他使用者的角色指派。 全域系統管理員和特殊權限角色系統管理員都可以指派系統管理員角色。

PIM 會在時間範圍到期時自動移除存取權。 您也可以設定 PIM 設定，以在某人啟用其角色指派時，要求核准或接收通知電子郵件。 當系統管理員將新使用者新增至高特殊權限角色時，通知會提供警示。
Privileged Identity Management （PIM）需要Entra ID P2授權，隨附於Microsoft 365 E5。
 

6. 週期性檢查存取權，撤銷短時間內不需要的權限

存取權檢閱可讓組織定期檢閱系統管理員的存取權，以確保只有適當的人員可以繼續存取。 組織應該定期稽核其系統管理員。 這麼做很重要，原因如下:

*惡意執行者可能會危害帳戶。

*人員通常會在公司內跨小組移動。 如果組織未啟用稽核，其使用者可能會在一段時間內累積不必要的存取權。
存取權檢閱 需要Microsoft Entra ID Governance授權，包含在Microsoft 365 E3/E5授權。