Limited number of Global Admins are assigned
Proč na tom záleží
Pokud příliš mnoho uživatelů drží roli Global Administrator, výrazně se zvětšuje plocha útoku vašeho tenant Microsoft 365. Jediný kompromitovaný účet globálního správce může útočníkům poskytnout plnou kontrolu nad všemi prostředky adresáře, bezpečnostním nastavením a uživatelskými daty. Sledování počtu globálních správců a používání výstrah Privileged Identity Management (PIM) vám pomáhá dodržovat princip nejnižších oprávnění a předcházet nárůstu oprávnění.
Co Aether365 kontroluje
Tato kontrola ověřuje, že ve vašem tenant Microsoft 365 existuje výstraha PIM, která varuje, když počet globálních správců překročí definovanou hranici. Na řídicím panelu Aether365 se zobrazuje v kategorii microsoft-365 jako kontrola AE.1032 s hodnocením závažnosti Medium.
Jak to opravit
- Přihlaste se do Microsoft Entra admin center (https://entra.microsoft.com) jako Privileged Role Administrator.
- Přejděte na Identity Governance, dále Privileged Identity Management, poté Azure AD roles a nakonec Alert settings.
- Vyhledejte výstrahu s názvem "Too many global administrators assigned" a zkontrolujte její aktuální hranici.
- Pokud je výstraha zakázána, povolte ji a upravte hranici na číslo odpovídající potřebám vaší organizace (obvykle 2 až 4 trvalé globální správce).
- Zkontrolujte seznam uživatelů aktuálně s rolí Global Administrator přechodem na Azure Active Directory, poté Roles and administrators a výběrem Global Administrator.
- Odstraňte všechny uživatele, kteří nevyžadují trvalý přístup globálního správce, a přiřaďte jim místo toho konkrétnější administrativní roli. Uživatelům, kteří potřebují občasný přístup globálního správce, nakonfigurujte jejich roli jako způsobilou prostřednictvím PIM s aktivací just-in-time.
Soulad s předpisy
- Ostatní: Na základě principu nejnižších oprávnění a běžných bezpečnostních osvědčených postupů