User Access Administrator permission should not be permanently assigned on the root scope
Zakaj je to pomembno
Če vloga User Access Administrator ostane trajno dodeljena na najvišji ravni (root scope), to pomeni, da ima vsak uporabnik s to vlogo popoln nadzor nad vsemi viri Azure v vašem najemniku. To zaobide običajne mehanizme za nadzor povišanja privilegijev in ustvarja trajno napadalno površino v primeru ogroženosti računa. Redno preverjanje in odstranjevanje trajnih dovoljenj na najvišji ravni zmanjša obseg možne škode pri zlorabi naročnin Azure.
Kaj preverja Aether365
Aether365 preveri, ali v vašem najemniku Microsoft 365 na najvišji ravni (/) ni dodeljene nobene vloge User Access Administrator. To preverjanje je prikazano na nadzorni plošči Aether365 v kategoriji microsoft-365 security.
Kako popraviti
Če želite odstraniti vse dodelitve vloge User Access Administrator z najvišje ravni:
- Prijavite se v Microsoft Entra admin center kot globalni skrbnik.
- Pomaknite se do Identity > Overview.
- V levem meniju izberite Properties.
- Pod Access management for Azure resources preklopite stikalo na Yes, da povišate svoj dostop, nato osvežite stran.
- V rumenem informacijskem pasu kliknite Manage elevated access users.
- Preglejte seznam uporabnikov z vlogo User Access Administrator, izberite vse vnose in kliknite Remove.
- Vrnite se na stran Properties in nastavite stikalo nazaj na No, da odstranite povišan dostop.
Druga možnost je uporaba Azure CLI za odstranitev določenega skrbnika:
powershell
az role assignment delete --role "User Access Administrator" --assignee admin@yourdomain.com --scope "/"Skladnost
- Privzeto ni neposredno preslikano v določen okvir. Vendar veljajo načela CIS Azure Foundations in Microsoft EIDSCA (Entra ID Security Controls Assessment) za dostop z najmanjšimi potrebnimi pravicami.
Povezani viri
- Microsoft Entra admin center
- Upravljanje naročnin Azure z Entra ID
- Povišanje dostopa za upravljanje naročnin Azure