Hopp til hovedinnhold
NHN

Menyen gir en oversikt over alle administratorroller (Tier 0) i Entra og hvem som innehar dem. Det er spesielt viktig å følge opp rollen «Global Administrator». Bruk dedikerte administratorkontoer—ikke kontoer med M365-lisens. Benytt PIM der lisens er tilgjengelig, og sørg for å ha minst én break-glass-konto.

Linker:

Det er disse innstillingene som bør sjekkes:

Innstilling

Anbefalt verdi

Begrunnelse

Konsekvens

Global Administrator

Så få kontoer som mulig. Aller helst mindre enn 5

Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant. Optimalt sett kun Global Administrator med FIDO2-autentisering, og en breakglass-konto.

Det er ikke anbefalt å tildele Global Administrator i Entra ID utover et absolutt minimum. Rollen har ubegrensede rettigheter på tvers av hele tenant, slik at kompromittering eller menneskelig feil kan gi full overtakelse, datatap og driftsavbrudd. Dette bryter med prinsippet om minste privilegium. Bruk i stedet spesialiserte adminroller med PIM der lisens er tilgjenglig, krev sterk MFA (helst FIDO2), og oppretthold 0–2 nødkontoer (“break-glass”) og separate admin-identiteter.

Application Administrator

Så få kontoer som mulig. Aller helst mindre enn 5

Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant.

Kan utgi seg for å være en hvilken som helst Service principal med privilegerte programtillatelser gitt for Microsoft Graph, som kan misbrukes til å bli global administrator.

Authentication Administrator

Så få kontoer som mulig. Aller helst mindre enn 5

Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant.

Kan tilbakestille passordet til en bruker som eier en ServicePrincipal med privilegerte programtillatelser gitt til Microsoft Graph, utgi seg for å være brukeren, og deretter utgi seg for å bli global administrator for kontoen. Hvis den målrettede brukeren har Entra ID-roller, må det være roller der tilbakestilling av passord er tillatt for en godkjenningsadministrator (mer informasjon). Den målrettede brukeren kan ikke være eier eller medlem av en rolletildelbar gruppe.

Azure DevOps Administrator

Så få kontoer som mulig. Aller helst mindre enn 5

Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant.

Kan imitere en DevOps-pipeline med tildelte privilegerte Azure-tillatelser, og utnytte Azure-ressurser til å eskalere til global administrator.

Conditional Access Administrator

Så få kontoer som mulig. Aller helst mindre enn 5

Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant.

Kan opprette en Conditional Accces-regler som blokkerer alle brukere (inkludert kontoer for knuste vinduer) for alle applikasjoner, bortsett fra den kompromitterte brukerkontoen (som gjør leietakeren utilgjengelig), og be om løsepengevirus for å fjerne den skadelige Conditional Accces-regler. Merk: Denne rollen er global administrator-lignende, da den påvirker leietakerens tilgjengelighet på samme måte som en global administrator.

Cloud Application Administrator

Så få kontoer som mulig. Aller helst mindre enn 5

Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant.

Samme som Application Administrator

Directory Writers

Så få kontoer som mulig. Aller helst mindre enn 5

Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant.

Kan bli medlem av en gruppe uten rolletildeling med tildelte privilegerte Azure-tillatelser, og utnytte Azure-ressurser for å eskalere til global administrator. Merk: kan også få tilgang til eksterne løsninger integrert med Entra ID via SSO, og gi tilgang basert på gruppemedlemskap uten rolletildeling.

Domain Name Administrator

Så få kontoer som mulig. Aller helst mindre enn 5

Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant.

Kan legge til et federert domene i Entra ID og autentisere som en eksisterende global administrator uten krav til passord eller MFA.

External Identity Provider Administrator

Så få kontoer som mulig. Aller helst mindre enn 5

Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant.

Samme som Domain Name Administrator

Exchange Administrator

Så få kontoer som mulig. Aller helst mindre enn 5

Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant.

Samme som Directory Writers

Groups Administrator

Så få kontoer som mulig. Aller helst mindre enn 5

Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant.

Samme som Directory Writers

Helpdesk Administrator

Så få kontoer som mulig. Aller helst mindre enn 5

Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant.

Samme som Authentication Administrator

Hybrid Identity Administrator

Så få kontoer som mulig. Aller helst mindre enn 5

Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant.

Samme som Domain Name Administrator og Application Administrator

Identity Governance Administrator

Så få kontoer som mulig. Aller helst mindre enn 5

Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant.

Kan oppdatere tildelingspolicyen for en tilgangspakke som gir tilgang til global administrator, slik at det er mulig å be om pakken uten godkjenning fra den kompromitterte brukerkontoen. Har også samme bane som Directory Writers.

Intune Administrator

Så få kontoer som mulig. Aller helst mindre enn 5

Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant.

Kan kjøre kommandoer på en enhet som tilhører en global administrator og trekke ut tokenene deres for å etterligne dem. Har også samme bane som Directory Writers.

Knowledge Administrator

Så få kontoer som mulig. Aller helst mindre enn 5

Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant.

Samme som Directory Writers

Knowledge Manager

Så få kontoer som mulig. Aller helst mindre enn 5

Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant.

Samme som Directory Writers

Lifecycle Workflows Administrator

Så få kontoer som mulig. Aller helst mindre enn 5

Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant.

Kan opprette en arbeidsflyt med en oppgave for å bli medlem av en gruppe som ikke kan tildeles roller med tildelte privilegerte Azure-tillatelser, og utnytte Azure-ressurser for å eskalere til global administrator.

Partner Tier1 Support

Så få kontoer som mulig. Aller helst mindre enn 5

Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant.

Samme som Application Administrator og Directory Writers

Partner Tier2 Support

Så få kontoer som mulig. Aller helst mindre enn 5

Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant.

Kan tilbakestille passordet til en break-glass konto og ta over den.

Password Administrator

Så få kontoer som mulig. Aller helst mindre enn 5

Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant.

Samme som Authentication Administrator

Privileged Authentication Administrator

Så få kontoer som mulig. Aller helst mindre enn 5

Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant.

Samme som Partner Tier2 Support

Privileged Role Administrator

Så få kontoer som mulig. Aller helst mindre enn 5

Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant.

Kan tilordne rollen som global administrator til seg selv.

Security Administrator

Så få kontoer som mulig. Aller helst mindre enn 5

Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant.

Samme som Conditional Access Administrator og Domain Name Administrator

SharePoint Administrator

Så få kontoer som mulig. Aller helst mindre enn 5

Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant.

Samme som Directory Writers

Teams Administrator

Så få kontoer som mulig. Aller helst mindre enn 5

Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant.

Samme som Directory Writers

User Administrator

Så få kontoer som mulig. Aller helst mindre enn 5

Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant.

Samme som Authentication Administrator og Directory Writers

Windows 365 Administrator

Så få kontoer som mulig. Aller helst mindre enn 5

Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant.

Samme som Directory Writers

Yammer Administrator

Så få kontoer som mulig. Aller helst mindre enn 5

Å ha så få kontoer som mulig for å minske angrepsflaten på din tenant.

Samme som Directory Writers

Eksempel:

Fant du det du lette etter?