Aether365

Italiano

English
Deutsch
Français
Español
Nederlands
Türkçe
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Italiano

English
Deutsch
Français
Español
Nederlands
Türkçe
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

User Access Administrator permission should not be permanently assigned on the root scope

Perché è Importante

Lasciare il ruolo Amministratore Accesso Utenti (User Access Administrator) permanentemente assegnato a livello di ambito radice significa che qualsiasi utente con quel ruolo ha il pieno controllo su tutte le risorse Azure del tuo tenant. Questo bypassa i normali controlli di escalation dei privilegi e crea un vettore di attacco persistente se l'account viene compromesso. Controllare regolarmente e rimuovere le autorizzazioni permanenti a livello di ambito radice riduce il raggio d'azione per eventuali abusi delle sottoscrizioni Azure.

Cosa Controlla Aether365

Aether365 verifica che non esistano assegnazioni del ruolo Amministratore Accesso Utenti (User Access Administrator) a livello di ambito radice (/) nel tuo tenant Microsoft 365. Questo controllo viene visualizzato nel dashboard di Aether365 nella categoria di sicurezza microsoft-365.

Come Risolvere

Per rimuovere tutte le assegnazioni del ruolo Amministratore Accesso Utenti (User Access Administrator) dall'ambito radice:

  1. Accedi al Microsoft Entra admin center come Amministratore Globale (Global Administrator).
  2. Vai a Identity > Overview.
  3. Seleziona Properties dal menu a sinistra.
  4. In Access management for Azure resources, imposta l'interruttore su Yes per elevare il tuo accesso, quindi aggiorna la pagina.
  5. Nel banner informativo giallo, clicca su Manage elevated access users.
  6. Esamina l'elenco degli Amministratori Accesso Utenti (User Access Administrator), seleziona tutte le voci e clicca su Remove.
  7. Torna alla pagina Properties e riporta l'interruttore su No per rimuovere l'accesso elevato.

In alternativa, utilizza Azure CLI per rimuovere un amministratore specifico:

powershell
az role assignment delete --role "User Access Administrator" --assignee admin@yourdomain.com --scope "/"

Conformità

  • Non mappato direttamente a un framework specifico per impostazione predefinita. Tuttavia, seguire i principi CIS Azure Foundations e Microsoft EIDSCA (Entra ID Security Controls Assessment) per l'accesso con privilegi minimi è applicabile.

Risorse Correlate

Microsoft references

Questa pagina ti è stata utile?

© 2026 Aether365. All rights reserved.