Limited number of Global Admins are assigned
Hvorfor dette er vigtigt
Når for mange brugere har rollen som Global Administrator, øges angrebsfladen på dit Microsoft 365-lejemål betydeligt. En enkelt kompromitteret global administratorkonto kan give angribere fuld kontrol over alle katalograf ressourcer, sikkerhedsindstillinger og brugerdata. Overvågning af antallet af globale administratorer og brug af Privileged Identity Management (PIM)-advarsler hjælper dig med at overholde princippet om mindste rettigheder og forhindre rettighedsudvidelse.
Hvad Aether365 kontrollerer
Denne kontrol verificerer, at der findes en PIM-advarsel i dit Microsoft 365-lejemål, som advarer, når antallet af globale administratorer overskrider en defineret tærskel. Den vises i Aether365-dashboardet under kategorien microsoft-365 som kontrol AE.1032 med en Medium-sværhedsgrad.
Sådan udbedres problemet
- Log ind på Microsoft Entra admin center (https://entra.microsoft.com) som en Privileged Role Administrator.
- Gå til Identity Governance, derefter Privileged Identity Management, derefter Azure AD roles, og til sidst Alert settings.
- Find advarslen med navnet "Too many global administrators assigned" og gennemgå dens nuværende tærskel.
- Hvis advarslen er deaktiveret, skal du aktivere den og justere tærsklen til et tal, der afspejler din organisations behov (typisk 2 til 4 permanente globale administratorer).
- Gennemgå listen over brugere, der i øjeblikket er tildelt rollen som Global Administrator, ved at gå til Azure Active Directory, derefter Roles and administrators, og vælg Global Administrator.
- Fjern alle brugere, der ikke har brug for permanent global administratoradgang, ved at tildele dem en mere specifik administrativ rolle i stedet. For brugere, der lejlighedsvis har brug for global administratoradgang, skal du konfigurere deres rolle som berettiget via PIM med just-in-time-aktivering.
Overholdelse
- Andet: Baseret på princippet om mindste rettigheder og almindelige sikkerhedsbedste praksisser