Menyen gir en oversikt over alle administratorroller (Tier 0) i Entra og hvem som innehar dem. Det er spesielt viktig å følge opp rollen «Global Administrator». Bruk dedikerte administratorkontoer—ikke kontoer med M365-lisens. Benytt PIM der lisens er tilgjengelig, og sørg for å ha minst én break-glass-konto.
Linker:
- https://entra.microsoft.com/#view/Microsoft_AAD_IAM/RolesManagementMenuBlade/~/AllRoles
- https://entra.microsoft.com/#view/Microsoft_Azure_PIMCommon/UserRolesViewModelMenuBlade/~/members/roleObjectId/62e90394-69f5-4237-9190-012177145e10/roleId/62e90394-69f5-4237-9190-012177145e10/roleTemplateId/62e90394-69f5-4237-9190-012177145e10/roleName/Global%20Administrator/isRoleCustom~/false/resourceScopeId/%2F/resourceId/d11f7a6b-df64-4e83-8461-2f8e3e6aba13
- https://aztier.com/#entra-tier-0
Det er disse innstillingene som bør sjekkes:
Innstilling | Anbefalt verdi | Begrunnelse | Konsekvens |
---|---|---|---|
Global Administrator | Så få kontoer som mulig. Aller helst mindre enn 5 | Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant. Optimalt sett kun Global Administrator med FIDO2-autentisering, og en breakglass-konto. | Det er ikke anbefalt å tildele Global Administrator i Entra ID utover et absolutt minimum. Rollen har ubegrensede rettigheter på tvers av hele tenant, slik at kompromittering eller menneskelig feil kan gi full overtakelse, datatap og driftsavbrudd. Dette bryter med prinsippet om minste privilegium. Bruk i stedet spesialiserte adminroller med PIM der lisens er tilgjenglig, krev sterk MFA (helst FIDO2), og oppretthold 0–2 nødkontoer (“break-glass”) og separate admin-identiteter. |
Application Administrator | Så få kontoer som mulig. Aller helst mindre enn 5 | Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant. | Kan utgi seg for å være en hvilken som helst Service principal med privilegerte programtillatelser gitt for Microsoft Graph, som kan misbrukes til å bli global administrator. |
Authentication Administrator | Så få kontoer som mulig. Aller helst mindre enn 5 | Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant. | Kan tilbakestille passordet til en bruker som eier en ServicePrincipal med privilegerte programtillatelser gitt til Microsoft Graph, utgi seg for å være brukeren, og deretter utgi seg for å bli global administrator for kontoen. Hvis den målrettede brukeren har Entra ID-roller, må det være roller der tilbakestilling av passord er tillatt for en godkjenningsadministrator (mer informasjon). Den målrettede brukeren kan ikke være eier eller medlem av en rolletildelbar gruppe. |
Azure DevOps Administrator | Så få kontoer som mulig. Aller helst mindre enn 5 | Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant. | Kan imitere en DevOps-pipeline med tildelte privilegerte Azure-tillatelser, og utnytte Azure-ressurser til å eskalere til global administrator. |
Conditional Access Administrator | Så få kontoer som mulig. Aller helst mindre enn 5 | Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant. | Kan opprette en Conditional Accces-regler som blokkerer alle brukere (inkludert kontoer for knuste vinduer) for alle applikasjoner, bortsett fra den kompromitterte brukerkontoen (som gjør leietakeren utilgjengelig), og be om løsepengevirus for å fjerne den skadelige Conditional Accces-regler. Merk: Denne rollen er global administrator-lignende, da den påvirker leietakerens tilgjengelighet på samme måte som en global administrator. |
Cloud Application Administrator | Så få kontoer som mulig. Aller helst mindre enn 5 | Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant. | Samme som Application Administrator |
Directory Writers | Så få kontoer som mulig. Aller helst mindre enn 5 | Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant. | Kan bli medlem av en gruppe uten rolletildeling med tildelte privilegerte Azure-tillatelser, og utnytte Azure-ressurser for å eskalere til global administrator. Merk: kan også få tilgang til eksterne løsninger integrert med Entra ID via SSO, og gi tilgang basert på gruppemedlemskap uten rolletildeling. |
Domain Name Administrator | Så få kontoer som mulig. Aller helst mindre enn 5 | Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant. | Kan legge til et federert domene i Entra ID og autentisere som en eksisterende global administrator uten krav til passord eller MFA. |
External Identity Provider Administrator | Så få kontoer som mulig. Aller helst mindre enn 5 | Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant. | Samme som Domain Name Administrator |
Exchange Administrator | Så få kontoer som mulig. Aller helst mindre enn 5 | Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant. | Samme som Directory Writers |
Groups Administrator | Så få kontoer som mulig. Aller helst mindre enn 5 | Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant. | Samme som Directory Writers |
Helpdesk Administrator | Så få kontoer som mulig. Aller helst mindre enn 5 | Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant. | Samme som Authentication Administrator |
Hybrid Identity Administrator | Så få kontoer som mulig. Aller helst mindre enn 5 | Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant. | Samme som Domain Name Administrator og Application Administrator |
Identity Governance Administrator | Så få kontoer som mulig. Aller helst mindre enn 5 | Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant. | Kan oppdatere tildelingspolicyen for en tilgangspakke som gir tilgang til global administrator, slik at det er mulig å be om pakken uten godkjenning fra den kompromitterte brukerkontoen. Har også samme bane som Directory Writers. |
Intune Administrator | Så få kontoer som mulig. Aller helst mindre enn 5 | Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant. | Kan kjøre kommandoer på en enhet som tilhører en global administrator og trekke ut tokenene deres for å etterligne dem. Har også samme bane som Directory Writers. |
Knowledge Administrator | Så få kontoer som mulig. Aller helst mindre enn 5 | Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant. | Samme som Directory Writers |
Knowledge Manager | Så få kontoer som mulig. Aller helst mindre enn 5 | Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant. | Samme som Directory Writers |
Lifecycle Workflows Administrator | Så få kontoer som mulig. Aller helst mindre enn 5 | Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant. | Kan opprette en arbeidsflyt med en oppgave for å bli medlem av en gruppe som ikke kan tildeles roller med tildelte privilegerte Azure-tillatelser, og utnytte Azure-ressurser for å eskalere til global administrator. |
Partner Tier1 Support | Så få kontoer som mulig. Aller helst mindre enn 5 | Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant. | Samme som Application Administrator og Directory Writers |
Partner Tier2 Support | Så få kontoer som mulig. Aller helst mindre enn 5 | Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant. | Kan tilbakestille passordet til en break-glass konto og ta over den. |
Password Administrator | Så få kontoer som mulig. Aller helst mindre enn 5 | Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant. | Samme som Authentication Administrator |
Privileged Authentication Administrator | Så få kontoer som mulig. Aller helst mindre enn 5 | Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant. | Samme som Partner Tier2 Support |
Privileged Role Administrator | Så få kontoer som mulig. Aller helst mindre enn 5 | Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant. | Kan tilordne rollen som global administrator til seg selv. |
Security Administrator | Så få kontoer som mulig. Aller helst mindre enn 5 | Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant. | Samme som Conditional Access Administrator og Domain Name Administrator |
SharePoint Administrator | Så få kontoer som mulig. Aller helst mindre enn 5 | Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant. | Samme som Directory Writers |
Teams Administrator | Så få kontoer som mulig. Aller helst mindre enn 5 | Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant. | Samme som Directory Writers |
User Administrator | Så få kontoer som mulig. Aller helst mindre enn 5 | Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant. | Samme som Authentication Administrator og Directory Writers |
Windows 365 Administrator | Så få kontoer som mulig. Aller helst mindre enn 5 | Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant. | Samme som Directory Writers |
Yammer Administrator | Så få kontoer som mulig. Aller helst mindre enn 5 | Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant. | Samme som Directory Writers |
Eksempel:
