User Access Administrator permission should not be permanently assigned on the root scope
Prečo je to dôležité
Trvalé priradenie roly User Access Administrator v koreňovom rozsahu znamená, že každý používateľ s touto rolou má plnú kontrolu nad všetkými prostriedkami Azure vo vašom tenante. Toto obchádza štandardné kontroly eskalácie oprávnení a vytvára trvalý útočný vektor, ak je účet kompromitovaný. Pravidelným auditom a odstraňovaním trvalých oprávnení v koreňovom rozsahu znižujete dosah možného zneužitia predplatného Azure.
Čo kontroluje Aether365
Aether365 overuje, že v koreňovom rozsahu (/) vášho tenanta Microsoft 365 neexistujú žiadne priradenia roly User Access Administrator. Táto kontrola sa zobrazuje v paneli Aether365 v kategórii microsoft-365 security.
Ako to opraviť
Ak chcete odstrániť všetky priradenia roly User Access Administrator z koreňového rozsahu:
- Prihláste sa do Microsoft Entra admin center ako globálny správca.
- Prejdite na Identity > Overview.
- V ľavom menu vyberte Properties.
- V časti Access management for Azure resources prepnite prepínač na Yes, čím zvýšite svoj prístup, potom obnovte stránku.
- V žltom informačnom paneli kliknite na Manage elevated access users.
- Skontrolujte zoznam User Access Administrators, vyberte všetky položky a kliknite na Remove.
- Vráťte sa na stránku Properties a prepnite prepínač späť na No, čím odstránite zvýšený prístup.
Alternatívne môžete použiť Azure CLI na odstránenie konkrétneho správcu:
powershell
az role assignment delete --role "User Access Administrator" --assignee admin@yourdomain.com --scope "/"Súlad s predpismi
- Nie je priamo mapované na konkrétny rámec. Odporúča sa však dodržiavať princípy CIS Azure Foundations a Microsoft EIDSCA (Entra ID Security Controls Assessment) pre minimálny prístup.
Súvisiace zdroje
- Microsoft Entra admin center
- Správa predplatných Azure pomocou Entra ID
- Zvýšenie prístupu na správu predplatných Azure