Aether365

Română

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Slovenčina
Slovenščina
Svenska
Українська

Română

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Slovenčina
Slovenščina
Svenska
Українська

Appearance

User Access Administrator permission should not be permanently assigned on the root scope

De ce este important

Păstrarea rolului de User Access Administrator atribuit permanent la nivel de rădăcină înseamnă că orice utilizator cu acest rol controlează complet toate resursele Azure din entitatea dvs. Acest lucru ocolește controalele normale de escaladare a privilegiilor și creează un vector de atac persistent în cazul în care contul este compromis. Auditarea periodică și eliminarea permisiunilor permanente la nivel de rădăcină reduce suprafața de atac pentru abuzuri asupra abonamentelor Azure.

Ce verifică Aether365

Aether365 confirmă că nu există atribuiri ale rolului User Access Administrator la nivelul rădăcină (/) în entitatea dvs. Microsoft 365. Această verificare apare în tabloul de bord Aether365 sub categoria de securitate microsoft-365.

Cum se remediază

Pentru a elimina toate atribuirile User Access Administrator de la nivelul rădăcină:

  1. Conectați-vă la Microsoft Entra admin center ca Administrator Global.
  2. Navigați la Identity > Overview.
  3. Selectați Properties din meniul din stânga.
  4. Sub Access management for Azure resources, activați comutatorul la Yes pentru a vă ridica accesul, apoi reîmprospătați pagina.
  5. În bannerul galben de informare, faceți clic pe Manage elevated access users.
  6. Revizuiți lista de User Access Administrators, selectați toate intrările și faceți clic pe Remove.
  7. Reveniți la pagina Properties și setați comutatorul înapoi la No pentru a elimina accesul ridicat.

Alternativ, utilizați Azure CLI pentru a elimina un administrator specific:

powershell
az role assignment delete --role "User Access Administrator" --assignee admin@yourdomain.com --scope "/"

Conformitate

  • Nu este mapat direct la un cadru specific în mod implicit. Cu toate acestea, respectarea principiilor CIS Azure Foundations și Microsoft EIDSCA (Entra ID Security Controls Assessment) pentru accesul cu privilegii minime se aplică.

Resurse conexe

Microsoft references

Ți-a fost utilă această pagină?

© 2026 Aether365. All rights reserved.