User Access Administrator permission should not be permanently assigned on the root scope
Kodėl tai svarbu
Palikus vaidmenį „User Access Administrator“ nuolat priskirtą visos apimties lygiu, bet kuris šį vaidmenį turintis vartotojas gauna visišką visų „Azure“ išteklių jūsų nuomotoje kontrolę. Tai apeina įprastus privilegijų eskalavimo valdiklius ir sukuria nuolatinę atakos vektorių, jei paskyra būtų kompromituota. Reguliarus nuolatinių visos apimties teisių auditas ir pašalinimas sumažina galimos žalos spindulį dėl „Azure“ prenumeratų piktnaudžiavimo.
Ką tikrina Aether365
„Aether365“ patikrina, ar nėra priskirtų „User Access Administrator“ vaidmenų visos apimties lygiu (/) jūsų „Microsoft 365“ nuomotoje. Šis patikrinimas rodomas „Aether365“ valdymo skydelyje po „microsoft-365 security“ kategorija.
Kaip ištaisyti
Norėdami pašalinti visus „User Access Administrator“ priskyrimus iš visos apimties:
- Prisijunkite prie Microsoft Entra admin center kaip „Global Administrator“.
- Pereikite į Identity > Overview.
- Kairiajame meniu pasirinkite Properties.
- Skiltyje Access management for Azure resources perjunkite jungiklį į Yes, kad padidintumėte savo prieigą, tada atnaujinkite puslapį.
- Geltoname informaciniame pranešime spustelėkite Manage elevated access users.
- Peržiūrėkite „User Access Administrator“ sąrašą, pažymėkite visus įrašus ir spustelėkite Remove.
- Grįžkite į „Properties“ puslapį ir nustatykite jungiklį atgal į No, kad pašalintumėte padidintą prieigą.
Arba naudokite „Azure CLI“ norėdami pašalinti konkretų administratorių:
powershell
az role assignment delete --role "User Access Administrator" --assignee admin@yourdomain.com --scope "/"Atitiktis
- Pagal numatytuosius nustatymus nėra tiesiogiai susieta su konkrečia sistema. Tačiau laikomasi „CIS Azure Foundations“ ir „Microsoft EIDSCA“ („Entra ID Security Controls Assessment“) mažiausių privilegijų prieigos principų.
Susiję ištekliai
- Microsoft Entra admin center
- Manage Azure subscriptions with Entra ID
- Elevate access to manage Azure subscriptions