Limited number of Global Admins are assigned
Dlaczego to jest ważne
Gdy zbyt wielu użytkowników posiada rolę Global Administrator, powierzchnia ataku Twojej dzierżawy Microsoft 365 znacząco się rozszerza. Pojedyncze przejęte konto globalnego administratora może dać atakującym pełną kontrolę nad wszystkimi zasobami katalogu, ustawieniami zabezpieczeń i danymi użytkowników. Monitorowanie liczby globalnych administratorów oraz korzystanie z alertów Privileged Identity Management (PIM) pomaga zachować zasadę najmniejszego uprzywilejowania i zapobiegać eskalacji uprawnień.
Co sprawdza Aether365
To sprawdzenie weryfikuje, czy w Twojej dzierżawie Microsoft 365 istnieje alert PIM ostrzegający, gdy liczba Global Administrators przekroczy zdefiniowany próg. Jest on widoczny na pulpicie nawigacyjnym Aether365 w kategorii microsoft-365 jako kontrola AE.1032 z oceną ryzyka Medium.
Jak naprawić
- Zaloguj się do Microsoft Entra admin center (https://entra.microsoft.com) jako Privileged Role Administrator.
- Przejdź do Identity Governance, następnie Privileged Identity Management, potem Azure AD roles i na koniec Alert settings.
- Znajdź alert o nazwie "Too many global administrators assigned" i przejrzyj jego bieżący próg.
- Jeśli alert jest wyłączony, włącz go i dostosuj próg do liczby odzwierciedlającej potrzeby Twojej organizacji (zazwyczaj 2 do 4 stałych globalnych administratorów).
- Przejrzyj listę użytkowników aktualnie przypisanych do roli Global Administrator przez przejście do Azure Active Directory, następnie Roles and administrators i wybranie Global Administrator.
- Usuń użytkowników, którzy nie wymagają stałego dostępu globalnego administratora, przypisując im zamiast tego bardziej szczegółową rolę administracyjną. Dla użytkowników potrzebujących okazjonalnego dostępu globalnego administratora skonfiguruj ich rolę jako kwalifikowaną przez PIM z aktywacją just-in-time.
Zgodność
- Inne: Oparte na zasadzie najmniejszego uprzywilejowania i typowych najlepszych praktykach bezpieczeństwa