Aether365

Deutsch

English
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Deutsch

English
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

User Access Administrator permission should not be permanently assigned on the root scope

Warum dies wichtig ist

Wenn die Rolle "User Access Administrator" dauerhaft auf der Stammebene zugewiesen bleibt, hat jeder Benutzer mit dieser Rolle die vollständige Kontrolle über alle Azure-Ressourcen in Ihrem Mandanten. Dies umgeht die normalen Kontrollen zur Rechteausweitung und schafft einen dauerhaften Angriffsvektor, falls das Konto kompromittiert wird. Die regelmäßige Überprüfung und Entfernung von Berechtigungen auf Stammebene verringert den potenziellen Schaden bei Missbrauch von Azure-Abonnements.

Was Aether365 prüft

Aether365 überprüft, ob keine Zuweisungen der Rolle "User Access Administrator" auf der Stammebene (/) in Ihrem Microsoft 365-Mandanten vorhanden sind. Diese Prüfung wird in Ihrem Aether365-Dashboard unter der Kategorie "microsoft-365 security" angezeigt.

Wie Sie das Problem beheben

So entfernen Sie alle Zuweisungen von "User Access Administrator" auf der Stammebene:

  1. Melden Sie sich als Globaler Administrator beim Microsoft Entra admin center an.
  2. Navigieren Sie zu Identity > Overview.
  3. Wählen Sie im linken Menü Properties aus.
  4. Schalten Sie unter Access management for Azure resources den Schalter auf Yes, um Ihren Zugriff zu erhöhen, und aktualisieren Sie dann die Seite.
  5. Klicken Sie im gelben Informationsbanner auf Manage elevated access users.
  6. Überprüfen Sie die Liste der User Access Administratoren, wählen Sie alle Einträge aus und klicken Sie auf Remove.
  7. Kehren Sie zur Eigenschaftenseite zurück und setzen Sie den Schalter wieder auf No, um Ihren erhöhten Zugriff zu entfernen.

Alternativ können Sie mit der Azure CLI einen bestimmten Administrator entfernen:

powershell
az role assignment delete --role "User Access Administrator" --assignee admin@yourdomain.com --scope "/"

Compliance

  • Standardmäßig nicht direkt einem bestimmten Framework zugeordnet. Es gelten jedoch die Grundsätze von CIS Azure Foundations und Microsoft EIDSCA (Entra ID Security Controls Assessment) für das Prinzip der geringsten Rechte.

Verwandte Ressourcen

Microsoft references

War diese Seite hilfreich?

© 2026 Aether365. All rights reserved.