Ensure fewer than ARG_0 users have global administrator assignment

Por que es importante

El rol de administrador global otorga acceso sin restricciones a todos los servicios de Microsoft Entra ID y las cargas de trabajo conectadas. Tener demasiados usuarios con este rol aumenta significativamente la superficie de ataque y el potencial de errores humanos, mientras que tener muy pocos crea un punto unico de fallo si un administrador no esta disponible.

Que comprueba Aether365

Aether365 verifica que la cantidad de usuarios asignados al rol de administrador global en su inquilino se encuentre dentro del rango recomendado de 2 a 4 usuarios. Esta comprobacion aparece en el panel de Aether365 bajo la seccion de comprobaciones de seguridad de Entra ID.

Como solucionarlo

1. Inicie sesion en el Microsoft Entra admin center como administrador global.
2. Navegue a Identity > Users > All users.
3. Seleccione un usuario que ya no deba tener el rol de administrador global.
4. Seleccione Assigned roles y luego elimine la asignacion de administrador global.
5. Repita los pasos 3 y 4 para cada usuario hasta que solo queden entre 2 y 4 administradores globales.
6. Asegurese de que al menos dos usuarios conserven el rol para mantener la redundancia.

Cumplimiento

• CIS Microsoft Microsoft 365 Foundations 3.0.0 2.2.6 (Nivel 1)

Recursos relacionados

• Directory admin roles in Microsoft Entra ID
• Securing privileged access
• Assign administrator and non-administrator roles

Microsoft references

• Directory admin roles secure
• Securing privileged access
• Directory assign admin roles