User Access Administrator permission should not be permanently assigned on the root scope
Proč na tom záleží
Trvalé přiřazení role User Access Administrator v kořenovém oboru znamená, že každý uživatel s touto rolí má plnou kontrolu nad všemi prostředky Azure ve vašem tenantovi. Tím se obcházejí běžné mechanismy kontroly eskalace oprávnění a vzniká trvalý vektor útoku v případě kompromitace účtu. Pravidelná kontrola a odstraňování trvalých oprávnění v kořenovém oboru snižuje dosah možných zneužití předplatných Azure.
Co Aether365 kontroluje
Aether365 ověřuje, že v kořenovém oboru (/) vašeho tenanta Microsoft 365 neexistují žádná přiřazení role User Access Administrator. Tato kontrola se zobrazuje v nástrojovém panelu Aether365 v kategorii microsoft-365 security.
Jak opravit
Postup pro odstranění všech přiřazení role User Access Administrator z kořenového oboru:
- Přihlaste se do Microsoft Entra admin center jako Global Administrator.
- Přejděte na Identity > Overview.
- V levém menu vyberte Properties.
- V části Access management for Azure resources přepněte přepínač na Yes pro zvýšení oprávnění, poté obnovte stránku.
- Ve žlutém informačním banneru klikněte na Manage elevated access users.
- Zkontrolujte seznam User Access Administrators, vyberte všechny položky a klikněte na Remove.
- Vraťte se na stránku Properties a přepněte přepínač zpět na No pro odebrání zvýšených oprávnění.
Případně použijte Azure CLI pro odebrání konkrétního správce:
powershell
az role assignment delete --role "User Access Administrator" --assignee admin@vasedomena.cz --scope "/"Shoda s předpisy
- Není přímo mapováno na konkrétní rámec ve výchozím nastavení. Nicméně je vhodné dodržovat zásady CIS Azure Foundations a Microsoft EIDSCA (Entra ID Security Controls Assessment) pro omezení oprávnění na nejnižší nutnou úroveň.
Související zdroje
- Microsoft Entra admin center
- Správa předplatných Azure s Entra ID
- Zvýšení oprávnění pro správu předplatných Azure