Privileged users SHALL be provisioned with finer-grained roles instead of Global Administrator.
Perché è importante
L'amministratore globale è il ruolo più potente in Microsoft Entra ID, che concede accesso illimitato a tutte le impostazioni della directory, alla gestione degli utenti e ai controlli di sicurezza. Assegnare questo ruolo a più utenti espande significativamente la superficie di attacco, poiché un singolo account amministratore globale compromesso può portare al takeover completo del tenant. L'utilizzo di ruoli più granulari limita i privilegi a quanto strettamente necessario per ciascun utente, riducendo il raggio di esplosione e allineandosi ai principi del privilegio minimo di Zero Trust.
Cosa controlla Aether365
Aether365 verifica che gli utenti privilegiati nel tenant di Microsoft Entra ID dispongano di autorizzazioni specifiche per ruolo anziché del ruolo Amministratore globale. Questo controllo appare nel dashboard di Aether365 sotto la sezione entra-id.
Come risolvere
- Accedi al Microsoft Entra admin center come Amministratore globale.
- Vai su Identity, quindi Roles and administrators, e seleziona Roles and administrators.
- Esamina l'elenco degli utenti a cui è assegnato il ruolo Amministratore globale.
- Per ciascun utente, valuta le responsabilità lavorative e identifica un ruolo predefinito corrispondente (ad esempio, User Administrator, Security Administrator o Exchange Administrator).
- Assegna all'utente il ruolo più granulare appropriato utilizzando l'opzione Add assignments.
- Rimuovi l'assegnazione del ruolo Amministratore globale dall'utente selezionando il ruolo, facendo clic su Remove assignments e confermando la modifica.
- Ripeti questo processo per tutti gli Amministratori globali finché solo gli account break-glass di emergenza mantengono il ruolo.
Conformità
- CIS: CISA.MS.AAD.7.2
- Framework: CIS, CISA
Risorse correlate
- Microsoft Learn: Ruoli con privilegio minimo in Microsoft Entra ID
- Microsoft Learn: Assegnare ruoli agli utenti