User Access Administrator permission should not be permanently assigned on the root scope
Чому це важливо
Постійне призначення ролі User Access Administrator на кореневому рівні означає, що будь-який користувач із цією роллю має повний контроль над усіма ресурсами Azure у вашому тенанті. Це обходить звичайні механізми контролю підвищення привілеїв і створює постійний вектор атаки у разі компрометації облікового запису. Регулярний аудит і видалення постійних дозволів на кореневому рівні зменшує радіус вибуху при зловживанні підписками Azure.
Що перевіряє Aether365
Aether365 перевіряє, чи немає призначень ролі User Access Administrator на кореневому рівні (/) у вашому тенанті Microsoft 365. Ця перевірка відображається на панелі керування Aether365 у категорії microsoft-365 security.
Як виправити
Щоб видалити всі призначення User Access Administrator з кореневого рівня:
- Увійдіть до Microsoft Entra admin center як Global Administrator.
- Перейдіть до Identity > Overview.
- Виберіть Properties у лівому меню.
- У розділі Access management for Azure resources перемкніть перемикач у положення Yes, щоб підвищити власний доступ, а потім оновіть сторінку.
- У жовтому інформаційному банері натисніть Manage elevated access users.
- Перегляньте список User Access Administrators, виберіть усі записи та натисніть Remove.
- Поверніться на сторінку Properties та встановіть перемикач назад у положення No, щоб скасувати підвищений доступ.
Як альтернативу, використовуйте Azure CLI для видалення конкретного адміністратора:
powershell
az role assignment delete --role "User Access Administrator" --assignee admin@yourdomain.com --scope "/"Відповідність вимогам
- За замовчуванням не має прямого зіставлення з конкретною структурою. Однак застосовуються принципи мінімальних привілеїв доступу згідно з CIS Azure Foundations та Microsoft EIDSCA (Entra ID Security Controls Assessment).
Пов'язані ресурси
- Microsoft Entra admin center
- Manage Azure subscriptions with Entra ID
- Elevate access to manage Azure subscriptions