Limited number of Global Admins are assigned
Miksi Tämä on Tärkeää
Kun liian monella käyttäjällä on Global Administrator -rooli, Microsoft 365 -vuokraajasi hyökkäyspinta-ala kasvaa merkittävästi. Yksi vaarantunut pääkäyttäjätili voi antaa hyökkääjille täyden hallinnan kaikkiin hakemistoresursseihin, tietoturva-asetuksiin ja käyttäjätietoihin. Pääkäyttäjien määrän seuranta ja Privileged Identity Management (PIM) -hälytysten käyttö auttavat ylläpitämään vähimpien oikeuksien periaatetta ja estämään oikeuksien leviämisen.
Mitä Aether365 Tarkistaa
Tämä tarkistus varmistaa, että Microsoft 365 -vuokraajassasi on olemassa PIM-hälytys, joka varoittaa, kun Global Administrator -pääkäyttäjien määrä ylittää määritellyn kynnyksen. Se näkyy Aether365:n kojelaudassa microsoft-365-luokassa tarkistuksena AE.1032 keskitasoisella vakavuusluokituksella.
Korjaustoimenpiteet
- Kirjaudu Microsoft Entra admin centeriin (https://entra.microsoft.com) Privileged Role Administrator -roolilla.
- Siirry kohtaan Identity Governance, sitten Privileged Identity Management, sitten Azure AD roles ja lopuksi Alert settings.
- Etsi hälytys nimeltä "Too many global administrators assigned" ja tarkista sen nykyinen kynnysarvo.
- Jos hälytys on poistettu käytöstä, ota se käyttöön ja säädä kynnysarvo vastaamaan organisaatiosi tarpeita (yleensä 2-4 pysyvää pääkäyttäjää).
- Tarkista nykyinen Global Administrator -rooliin määritettyjen käyttäjien luettelo siirtymällä kohtaan Azure Active Directory, sitten Roles and administrators ja valitsemalla Global Administrator.
- Poista kaikki käyttäjät, jotka eivät tarvitse pysyvää pääkäyttäjäoikeutta, määrittämällä heille tarkempi hallinnollinen rooli. Käyttäjille, jotka tarvitsevat satunnaista pääkäyttäjäoikeutta, määritä heidän roolinsa kelpoiseksi PIM:n kautta juuri oikea-aikaisella aktivoinnilla.
Yhteensopivuus
- Muu: Perustuu vähimpien oikeuksien periaatteeseen ja yleisiin tietoturvan parhaisiin käytäntöihin