User Access Administrator permission should not be permanently assigned on the root scope
Miksi Tämä on Tärkeää
Jos User Access Administrator -rooli jätetään pysyvästi määritetyksi juuritasolla, kuka tahansa käyttäjä tällä roolilla hallitsee täysin kaikkia Azure-resursseja vuokraajassasi. Tämä ohittaa normaalit käyttöoikeuksien korotussäännöt ja luo pysyvän hyökkäysvektorin, jos tili vaarantuu. Säännöllinen juuritason käyttöoikeuksien tarkastaminen ja poistaminen pienentää Azure-tilausten väärinkäytön haittavaikutusten aluetta.
Mitä Aether365 Tarkistaa
Aether365 varmistaa, ettei User Access Administrator -roolimäärityksiä ole juuritasolla (/) Microsoft 365 -vuokraajassasi. Tämä tarkistus näkyy Aether365-hallintapaneelissa microsoft-365 security -kategoriassa.
Korjaustoimenpiteet
Poistaaksesi kaikki User Access Administrator -määritykset juuritasolta:
- Kirjaudu Microsoft Entra admin centeriin Global Administrator -roolilla.
- Siirry kohtaan Identity > Overview.
- Valitse Properties vasemmanpuoleisesta valikosta.
- Kohdassa Access management for Azure resources vaihda kytkin asentoon Yes korottaaksesi käyttöoikeutesi, ja päivitä sivu.
- Keltaisessa tietopalkissa napsauta Manage elevated access users.
- Tarkastele User Access Administrator -listausta, valitse kaikki merkinnät ja napsauta Remove.
- Palaa Properties-sivulle ja vaihda kytkin takaisin asentoon No poistaaksesi korotetun käyttöoikeutesi.
Vaihtoehtoisesti voit käyttää Azure CLI:tä tietyn ylläpitäjän poistamiseen:
powershell
az role assignment delete --role "User Access Administrator" --assignee admin@yourdomain.com --scope "/"Vaatimustenmukaisuus
- Ei suoraan yhdistetty tiettyyn viitekehykseen oletuksena. Kuitenkin CIS Azure Foundations- ja Microsoft EIDSCA (Entra ID Security Controls Assessment) -periaatteiden noudattaminen vähimmäisoikeuksien osalta on sovellettavissa.
Liittyvät Resurssit
- Microsoft Entra admin center
- Manage Azure subscriptions with Entra ID
- Elevate access to manage Azure subscriptions