Limited number of Global Admins are assigned
Perché è Importante
Quando troppi utenti ricoprono il ruolo di Amministratore globale, la superficie d'attacco del tuo tenant Microsoft 365 aumenta notevolmente. Un singolo account di amministratore globale compromesso può dare agli aggressori il controllo completo su tutte le risorse della directory, le impostazioni di sicurezza e i dati degli utenti. Monitorare il numero di amministratori globali e utilizzare gli avvisi di Privileged Identity Management (PIM) ti aiuta a mantenere il principio del minimo privilegio e prevenire l'espansione dei privilegi.
Cosa Controlla Aether365
Questo controllo verifica che esista un avviso PIM nel tuo tenant Microsoft 365 per avvertire quando il numero di Amministratori globali supera una soglia definita. Appare nel dashboard di Aether365 sotto la categoria microsoft-365 come controllo AE.1032 con una valutazione di gravità Media.
Come Risolvere
- Accedi al Microsoft Entra admin center (https://entra.microsoft.com) come Privileged Role Administrator.
- Vai a Identity Governance, poi Privileged Identity Management, poi Azure AD roles e infine Alert settings.
- Individua l'avviso denominato "Too many global administrators assigned" e controlla la soglia attuale.
- Se l'avviso è disabilitato, abilitalo e regola la soglia su un numero che riflette le esigenze della tua organizzazione (in genere da 2 a 4 amministratori globali permanenti).
- Controlla l'elenco degli utenti attualmente assegnati al ruolo di Amministratore globale andando su Azure Active Directory, poi Roles and administrators e selezionando Global Administrator.
- Rimuovi gli utenti che non necessitano di accesso permanente come amministratore globale assegnando loro un ruolo amministrativo più specifico. Per gli utenti che hanno bisogno di accesso occasionale come amministratore globale, configura il loro ruolo come idoneo tramite PIM con attivazione just-in-time.
Conformità
- Altro: Basato sul principio del minimo privilegio e sulle migliori pratiche di sicurezza comuni