Privileged users SHALL be provisioned with finer-grained roles instead of Global Administrator.

Hvorfor dette er vigtigt

Global Administrator er den mest magtfulde rolle i Microsoft Entra ID, da den giver ubegrænset adgang til alle mappeindstillinger, brugeradministration og sikkerhedskontroller. Hvis flere brugere tildeles denne rolle, øges din angrebsflade betydeligt, da en enkelt kompromitteret Global Administrator-konto kan føre til fuld overtagelse af lejeren. Ved at bruge mere granulerede roller begrænses rettighederne til kun det, den enkelte bruger har brug for, hvilket reducerer skadesomfanget og understøtter Zero Trust-princippet om mindste rettigheder.

Hvad Aether365 kontrollerer

Aether365 verificerer, at privilegerede brugere i din Microsoft Entra ID-lejer har fået tildelt rollespecifikke tilladelser i stedet for rollen Global Administrator. Denne kontrol vises i Aether365-dashboardet under sektionen entra-id.

Sådan rettes det

1. Log på Microsoft Entra admin center som Global Administrator.
2. Gå til Identity, derefter Roles and administrators, og vælg Roles and administrators.
3. Gennemgå listen over brugere, der har fået tildelt rollen Global Administrator.
4. For hver bruger vurderes deres jobansvar, og der identificeres en passende indbygget rolle (f.eks. User Administrator, Security Administrator eller Exchange Administrator).
5. Tildel den relevante mere granulerede rolle til brugeren ved at bruge indstillingen Add assignments.
6. Fjern tildelingen af rollen Global Administrator fra brugeren ved at vælge rollen, klikke på Remove assignments og bekræfte ændringen.
7. Gentag denne proces for alle Global Administratorer, indtil kun nødkontoadministratorer (break-glass-konti) har rollen.

Overholdelse

• CIS: CISA.MS.AAD.7.2
• Rammeværk: CIS, CISA

Relaterede ressourcer

• Microsoft Learn: Mindst privilegerede roller i Microsoft Entra ID
• Microsoft Learn: Tildel roller til brugere