Overslaan naar inhoud
Nederlands
Neem contact met ons op
  • Er zijn geen suggesties want het zoekveld is leeg.

Overlap in beheerdersrollen [CHK-1322]

Deze controle verifieert of uw Microsoft 365-tenant gebruikmaakt van granulaire (beperkte) beheerdersrollen in plaats van uitsluitend de rol Globale Beheerder te gebruiken. 

De controle bevraagt alle geactiveerde directoryrollen via Microsoft Graph en zoekt naar ten minste één niet-triviale rol (met uitzondering van Globale Beheerder, Globale Lezer, Directorylezers, Directorysynchronisatieaccounts en Lokale Beheerder van Azure AD-gekoppelde apparaten) waaraan leden zijn toegewezen. Als PIM (Privileged Identity Management) actief is, slaagt de controle automatisch.

Rationale

Een gecompromitteerd Globale Beheerder-account geeft een aanvaller volledige controle over uw gehele Microsoft 365-omgeving — mailboxen, SharePoint, Teams, Azure AD, facturatie en meer. Door least-privilege rollen toe te wijzen (zoals Exchange-beheerder, Teams-beheerder, Factureringsbeheerder) beperkt u de impact van een gecompromitteerd account tot alleen de diensten die de betreffende persoon daadwerkelijk beheert. Dit is in lijn met het principe van  minimale rechten en is een belangrijke factor in uw Microsoft Secure Score.

Fix

  1. Ga naar het Microsoft Entra-beheercentrum → Rollen en beheerders.
  2. Bekijk alle gebruikers die momenteel de rol Globale Beheerder toegewezen hebben.
  3. Bepaal per gebruiker de minimale rol die nodig is voor hun werkzaamheden. Veelvoorkomende voorbeelden:
    - Iemand die Teams beheert → Teams-beheerder
    - Iemand die Exchange beheert → Exchange-beheerder
    - Iemand die facturatie afhandelt → Factureringsbeheerder
    - Iemand die gebruikers/groepen beheert → Gebruikersbeheerder
  4. Wijs de juiste beperkte rol toe aan de gebruiker.
  5. Verwijder de toewijzing van Globale Beheerder zodra bevestigd is dat de beperkte rol correct werkt.

Impact

  - Indien niet opgelost: Alle beheertaken worden uitgevoerd onder Globale Beheerder, wat betekent dat één
  gecompromitteerd beheerdersaccount kan leiden tot volledige overname van de tenant.
  - Indien opgelost: Beheertoegang is beperkt per dienstgebied. Een gecompromitteerd account kan alleen het specifieke
  werkgebied beïnvloeden dat het beheert, wat het risico aanzienlijk vermindert.
  - Type oplossing: Alleen handmatig — er is geen geautomatiseerde fix beschikbaar omdat roltoewijzingen afhankelijk
  zijn van de specifieke bezetting en verantwoordelijkheden van elke organisatie.