Aether365

Português

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Română
Slovenčina
Slovenščina
Svenska
Українська

Português

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

User Access Administrator permission should not be permanently assigned on the root scope

Por Que Isso é Importante

Manter a função de Administrador de Acesso do Usuário permanentemente atribuída no escopo raiz significa que qualquer usuário com essa função tem controle total sobre todos os recursos do Azure em seu locatário. Isso contorna os controles normais de elevação de privilégio e cria um vetor de ataque persistente se a conta for comprometida. Auditar e remover regularmente as permissões permanentes de escopo raiz reduz o raio de explosão para abuso de assinatura do Azure.

O Que o Aether365 Verifica

O Aether365 verifica se não existem atribuições de função de Administrador de Acesso do Usuário no escopo raiz (/) em seu locatário do Microsoft 365. Essa verificação aparece no painel do Aether365 na categoria de segurança do microsoft-365.

Como Corrigir

Para remover todas as atribuições de Administrador de Acesso do Usuário do escopo raiz:

  1. Faça login no Microsoft Entra admin center como Administrador Global.
  2. Navegue até Identity > Overview.
  3. Selecione Properties no menu esquerdo.
  4. Em Access management for Azure resources, alterne o interruptor para Yes para elevar seu acesso e atualize a página.
  5. No banner de informações amarelo, clique em Manage elevated access users.
  6. Revise a lista de Administradores de Acesso do Usuário, selecione todas as entradas e clique em Remove.
  7. Volte à página Properties e defina o interruptor de volta para No para remover seu acesso elevado.

Alternativamente, use a CLI do Azure para remover um administrador específico:

powershell
az role assignment delete --role "User Access Administrator" --assignee admin@yourdomain.com --scope "/"

Conformidade

  • Não mapeado diretamente para uma estrutura específica por padrão. No entanto, seguir os princípios do CIS Azure Foundations e Microsoft EIDSCA (Entra ID Security Controls Assessment) para acesso com privilégios mínimos se aplica.

Recursos Relacionados

Microsoft references

Esta página foi útil?

© 2026 Aether365. All rights reserved.