User Access Administrator permission should not be permanently assigned on the root scope
Hvorfor Dette Er Viktig
Å la rollen som User Access Administrator være permanent tildelt på rotnivå betyr at enhver bruker med denne rollen har full kontroll over alle Azure-ressurser i din tenant. Dette omgår normale kontroller for privilegieeskalering og skaper en vedvarende angrepsvektor dersom kontoen blir kompromittert. Regelmessig revisjon og fjerning av stående rotnivårettigheter reduserer angrepsflaten din for misbruk av Azure-abonnementer.
Hva Aether365 Sjekker
Aether365 verifiserer at det ikke finnes noen rolleoppdrag som User Access Administrator på rotnivå (/) i din Microsoft 365-leietaker. Denne kontrollen vises i Aether365-dashbordet under kategorien microsoft-365 security.
Slik Løser Du Det
For å fjerne alle User Access Administrator-oppdrag fra rotnivået:
- Logg inn i Microsoft Entra admin center som Global Administrator.
- Gå til Identity > Overview.
- Velg Properties fra venstremenyen.
- Under Access management for Azure resources, sett bryteren til Yes for å heve tilgangen din, og oppdater deretter siden.
- I det gule informasjonsbanneret klikker du på Manage elevated access users.
- Se gjennom listen over User Access Administratorer, velg alle oppføringer, og klikk på Remove.
- Gå tilbake til Properties-siden og sett bryteren tilbake til No for å fjerne din hevede tilgang.
Alternativt kan du bruke Azure CLI for å fjerne en spesifikk administrator:
powershell
az role assignment delete --role "User Access Administrator" --assignee admin@yourdomain.com --scope "/"Samsvar
- Ikke direkte tilknyttet et spesifikt rammeverk som standard. Imidlertid gjelder prinsippene fra CIS Azure Foundations og Microsoft EIDSCA (Entra ID Security Controls Assessment) for minst mulig tilgang.
Relaterte Ressurser
- Microsoft Entra admin center
- Administrer Azure-abonnementer med Entra ID
- Hev tilgang for å administrere Azure-abonnementer