Ensure fewer than ARG_0 users have global administrator assignment

Защо това е важно

Ролята Global Administrator предоставя неограничен достъп до всички услуги на Microsoft Entra ID и свързаните с тях работни натоварвания. Твърде много потребители с тази роля значително увеличават повърхността за атаки и риска от човешка грешка, докато твърде малко създава единична точка на отказ, ако администратор стане недостъпен.

Какво проверява Aether365

Aether365 проверява дали броят на потребителите, назначени с ролята Global Administrator във вашия клиент, попада в препоръчителния диапазон от 2 до 4 потребители. Тази проверка се показва в таблото на Aether365 под секцията за проверки на сигурността на Entra ID.

Как да отстраните проблема

1. Влезте в Microsoft Entra admin center като Global Administrator.
2. Отидете на Identity > Users > All users.
3. Изберете потребител, който вече не трябва да има ролята Global Administrator.
4. Изберете Assigned roles, след което премахнете назначението Global Administrator.
5. Повторете стъпки 3-4 за всеки потребител, докато останат само 2 до 4 Global Administrator.
6. Уверете се, че поне двама потребители запазват ролята, за да се поддържа резервираност.

Съответствие

• CIS Microsoft Microsoft 365 Foundations 3.0.0 2.2.6 (Ниво 1)

Свързани ресурси

• Directory admin roles in Microsoft Entra ID
• Securing privileged access
• Assign administrator and non-administrator roles

Microsoft references

• Directory admin roles secure
• Securing privileged access
• Directory assign admin roles