User Access Administrator permission should not be permanently assigned on the root scope
Hvorfor det er vigtigt
Hvis rollen som User Access Administrator permanent tildeles på rodniveau, betyder det, at enhver bruger med denne rolle har fuld kontrol over alle Azure-ressourcer i din lejer. Dette omgår normale privilegieeskaleringskontroller og skaber en vedvarende angrebsvektor, hvis kontoen kompromitteres. Regelmæssig revision og fjernelse af permanente rodniveautilladelser reducerer din eksplosionsradius ved misbrug af Azure-abonnementer.
Hvad Aether365 kontrollerer
Aether365 verificerer, at der ikke findes nogen tildelinger af rollen User Access Administrator på rodniveau (/) i din Microsoft 365-lejer. Denne kontrol vises i dit Aether365-dashboard under kategorien microsoft-365 security.
Sådan løser du problemet
Sådan fjerner du alle tildelinger af User Access Administrator fra rodniveauet:
- Log ind på Microsoft Entra admin center som Global Administrator.
- Gå til Identity > Overview.
- Vælg Properties i venstremenuen.
- Under Access management for Azure resources skal du skifte til Yes for at hæve din adgang, og derefter opdatere siden.
- I det gule informationsbanner skal du klikke på Manage elevated access users.
- Gennemgå listen over User Access Administrators, vælg alle poster, og klik på Remove.
- Vend tilbage til Properties-siden, og skift tilbage til No for at fjerne din hævede adgang.
Alternativt kan du bruge Azure CLI til at fjerne en specifik administrator:
powershell
az role assignment delete --role "User Access Administrator" --assignee admin@yourdomain.com --scope "/"Overholdelse
- Ikke direkte knyttet til en specifik ramme som standard. Dog gælder principperne fra CIS Azure Foundations og Microsoft EIDSCA (Entra ID Security Controls Assessment) for mindste privilegieadgang.
Relaterede ressourcer
- Microsoft Entra admin center
- Administrer Azure-abonnementer med Entra ID
- Hæv adgang til administration af Azure-abonnementer