Aether365

Español

English
Deutsch
Français
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Español

English
Deutsch
Français
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

User Access Administrator permission should not be permanently assigned on the root scope

Por que es Importante

Mantener el rol de Administrador de Acceso de Usuario asignado permanentemente en el ambito raiz significa que cualquier usuario con ese rol tiene control total sobre todos los recursos de Azure en su inquilino. Esto elude los controles normales de escalada de privilegios y crea un vector de ataque persistente si la cuenta se ve comprometida. Auditar y eliminar regularmente los permisos de ambito raiz permanentes reduce el radio de explosion por abuso de suscripciones de Azure.

Que Comprueba Aether365

Aether365 verifica que no existan asignaciones del rol de Administrador de Acceso de Usuario en el ambito raiz (/) de su inquilino de Microsoft 365. Esta comprobacion aparece en el panel de Aether365 bajo la categoria de seguridad de microsoft-365.

Como Solucionarlo

Para eliminar todas las asignaciones de Administrador de Acceso de Usuario del ambito raiz:

  1. Inicie sesion en el Microsoft Entra admin center como Administrador Global.
  2. Navegue a Identity > Overview.
  3. Seleccione Properties en el menu izquierdo.
  4. En Access management for Azure resources, active el interruptor a Yes para elevar su acceso, luego actualice la pagina.
  5. En el banner de informacion amarillo, haga clic en Manage elevated access users.
  6. Revise la lista de Administradores de Acceso de Usuario, seleccione todas las entradas y haga clic en Remove.
  7. Vuelva a la pagina de Properties y coloque el interruptor de nuevo a No para eliminar su acceso elevado.

Alternativamente, use Azure CLI para eliminar un administrador especifico:

powershell
az role assignment delete --role "User Access Administrator" --assignee admin@yourdomain.com --scope "/"

Cumplimiento

  • No se asigna directamente a un marco especifico de forma predeterminada. Sin embargo, seguir los principios de CIS Azure Foundations y Microsoft EIDSCA (Entra ID Security Controls Assessment) para el acceso con minimos privilegios es aplicable.

Recursos Relacionados

Microsoft references

¿Te resultó útil esta página?

© 2026 Aether365. All rights reserved.