Limited number of Global Admins are assigned
Чому це важливо
Коли занадто багато користувачів мають роль Global Administrator, поверхня атаки вашого орендаря Microsoft 365 значно розширюється. Один скомпрометований обліковий запис глобального адміністратора може надати зловмисникам повний контроль над усіма ресурсами каталогу, параметрами безпеки та даними користувачів. Моніторинг кількості глобальних адміністраторів та використання сповіщень Privileged Identity Management (PIM) допомагають дотримуватися принципу найменших привілеїв та запобігати розростанню привілеїв.
Що перевіряє Aether365
Ця перевірка підтверджує, що в орендарі Microsoft 365 існує сповіщення PIM, яке попереджає, коли кількість Global Administrators перевищує визначений поріг. Вона відображається на панелі управління Aether365 у категорії microsoft-365 як перевірка AE.1032 із середнім рівнем серйозності.
Як виправити
- Увійдіть до Microsoft Entra admin center (https://entra.microsoft.com) як Privileged Role Administrator.
- Перейдіть до Identity Governance, потім Privileged Identity Management, потім Azure AD roles і нарешті Alert settings.
- Знайдіть сповіщення з назвою "Too many global administrators assigned" та перегляньте його поточний поріг.
- Якщо сповіщення вимкнено, увімкніть його та відкоригуйте поріг до числа, що відповідає потребам вашої організації (зазвичай 2-4 постійних глобальних адміністратори).
- Перегляньте список користувачів, яким наразі призначено роль Global Administrator, перейшовши до Azure Active Directory, потім Roles and administrators, і вибравши Global Administrator.
- Видаліть будь-яких користувачів, яким не потрібен постійний доступ глобального адміністратора, призначивши їм більш конкретну адміністративну роль. Для користувачів, яким іноді потрібен доступ глобального адміністратора, налаштуйте їхню роль як eligible через PIM з активацією в режимі реального часу.
Відповідність
- Інше: Засновано на принципі найменших привілеїв та загальних найкращих практиках безпеки