Aether365

Polski

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Polski

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

User Access Administrator permission should not be permanently assigned on the root scope

Dlaczego to jest istotne

Pozostawienie roli Administrator dostępu użytkowników na stałe przypisanej na poziomie głównym oznacza, że każdy użytkownik z tą rolą ma pełną kontrolę nad wszystkimi zasobami Azure w twojej dzierżawie. Pozwala to ominąć standardowe mechanizmy kontroli eskalacji uprawnień i tworzy trwały wektor ataku w przypadku naruszenia konta. Regularne przeprowadzanie audytów i usuwanie stałych uprawnień na poziomie głównym zmniejsza promień rażenia w przypadku nadużycia subskrypcji Azure.

Co sprawdza Aether365

Aether365 weryfikuje, czy w twojej dzierżawie Microsoft 365 nie istnieją przypisania roli Administrator dostępu użytkowników na poziomie głównym (/). Ta kontrola pojawia się w panelu Aether365 w kategorii Zabezpieczenia Microsoft 365.

Jak naprawić

Aby usunąć wszystkie przypisania Administratora dostępu użytkowników z poziomu głównego:

  1. Zaloguj się do Centrum administracyjnego Microsoft Entra jako Administrator globalny.
  2. Przejdź do Tożsamość > Przegląd.
  3. Wybierz Właściwości z menu po lewej stronie.
  4. W sekcji Zarządzanie dostępem do zasobów Azure przełącz przycisk na Tak, aby podnieść swoje uprawnienia, a następnie odśwież stronę.
  5. W żółtym banerze informacyjnym kliknij Zarządzaj użytkownikami z podniesionym dostępem.
  6. Przejrzyj listę Administratorów dostępu użytkowników, zaznacz wszystkie wpisy i kliknij Usuń.
  7. Wróć do strony Właściwości i ustaw przełącznik z powrotem na Nie, aby cofnąć swoje podniesione uprawnienia.

Alternatywnie, użyj interfejsu Azure CLI, aby usunąć konkretnego administratora:

powershell
az role assignment delete --role "User Access Administrator" --assignee admin@yourdomain.com --scope "/"

Zgodność

  • Domyślnie nie jest bezpośrednio mapowany na konkretną strukturę kontrolną. Jednak stosowanie zasad CIS Azure Foundations i Microsoft EIDSCA (Entra ID Security Controls Assessment) dotyczących najmniejszych uprawnień ma zastosowanie.

Powiązane zasoby

Microsoft references

Czy ta strona była pomocna?

© 2026 Aether365. All rights reserved.