Aether365

Deutsch

English
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Deutsch

English
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

Ensure That No Custom Subscription Administrator Roles Exist

Warum dies wichtig ist

Benutzerdefinierte Abonnement-Administratorrollen mit umfassenden Berechtigungen können die tatsächlich gewährten Privilegien verschleiern und zu erheblichen blinden Flecken im Privileged Identity Management führen. Ohne regelmäßige Audits sammeln diese Rollen unnötige Zugriffsrechte an, die gegen das Prinzip der minimalen Rechtevergabe verstoßen und das Risiko von Privilegienausweitung oder Missbrauch durch kompromittierte Konten erhöhen.

Was Aether365 prüft

Aether365 stellt sicher, dass keine benutzerdefinierten Rollendefinitionen mit einem assignableScope auf Abonnementebene (wie / oder die vollständige Abonnement-ID) und einer Aktion * existieren, die vollständigen administrativen Zugriff gewährt. Diese Prüfung erscheint in Ihrem Aether365-Dashboard unter der Kategorie azure-subscription-security checks.

So beheben Sie das Problem

  1. Öffnen Sie die Azure CLI und führen Sie den folgenden Befehl aus, um alle benutzerdefinierten Rollendefinitionen aufzulisten:
    az role definition list
  2. Identifizieren Sie benutzerdefinierte Rollen mit einem assignableScope von / oder einem gesamten Abonnement sowie einer actions-Eigenschaft, die * enthält.
  3. Überprüfen Sie für jede gefundene Rolle deren Nutzung und Auswirkungen vor der Entfernung, indem Sie Rollenzuweisungen und Überwachungsprotokolle durchgehen.
  4. Um eine problematische benutzerdefinierte Rolle zu entfernen, führen Sie folgenden Befehl aus:
    az role definition delete --name 'rollenname'
    Ersetzen Sie rollenname durch den genauen Namen der benutzerdefinierten Rolle.
  5. Weisen Sie nach der Entfernung erforderliche Berechtigungen mit integrierten Azure-Rollen neu zu, die dem Prinzip der minimalen Rechtevergabe folgen.

Compliance

  • CIS Microsoft Azure Foundations 3.0.0 2.2.3 (Level 1)
  • Microsoft-Sicherheitsbenchmarks: Governance-Strategie GS-2 und GS-6, Privilegierter Zugriff PA-1, PA-2, PA-5 und PA-7

Verwandte Ressourcen

Microsoft references

War diese Seite hilfreich?

© 2026 Aether365. All rights reserved.