Limited number of Global Admins are assigned
Hvorfor dette er viktig
Når for mange brukere innehar rollen Global Administrator, utvides angrepsflaten til Microsoft 365-leietakeren betydelig. En enkelt kompromittert global administrator-konto kan gi angripere full kontroll over alle katalogressurser, sikkerhetsinnstillinger og brukerdata. Overvåking av antall globale administratorer og bruk av varsler fra Privileged Identity Management (PIM) hjelper deg med å opprettholde prinsippet om minste privilegium og forhindre privilegieutvidelse.
Hva Aether365 kontrollerer
Denne kontrollen verifiserer at et PIM-varsel eksisterer i Microsoft 365-leietakeren din for å advare når antallet Global Administrator overskrider en definert terskel. Den vises i Aether365-dashbordet under kategorien microsoft-365 som kontroll AE.1032 med en Medium-alvorlighetsgrad.
Slik fikser du
- Logg inn på Microsoft Entra admin center (https://entra.microsoft.com) som en Privileged Role Administrator.
- Naviger til Identity Governance, deretter Privileged Identity Management, deretter Azure AD roles, og til slutt Alert settings.
- Finn varselet med navnet "Too many global administrators assigned" og gjennomgå gjeldende terskelverdi.
- Hvis varselet er deaktivert, aktiver det og juster terskelen til et tall som gjenspeiler organisasjonens behov (vanligvis 2 til 4 permanente globale administratorer).
- Gjennomgå listen over brukere som for øyeblikket har rollen Global Administrator ved å gå til Azure Active Directory, deretter Roles and administrators, og velge Global Administrator.
- Fjern eventuelle brukere som ikke trenger permanent global administrator-tilgang ved å tildele dem en mer spesifikk administrativ rolle i stedet. For brukere som trenger sporadisk global administrator-tilgang, konfigurer rollen deres som kvalifisert via PIM med just-in-time aktivering.
Samsvar
- Annet: Basert på prinsippet om minste privilegium og vanlige sikkerhetsbeste praksiser