Nombre d'administrateurs élevé

Les administrateurs disposent par définition de privilèges élevés. Ils peuvent poser des risques de sécurité lorsqu'il en existe un grand nombre, car cela augmente la surface d'attaque. En outre, le risque que l'un d'entre eux soit compromis est plus élevé. C'est aussi le signe que le principe du moindre privilège n'est pas respecté.

Ces rôles doivent être surveillés attentivement, formés et justifiés avec soin.

Les comptes et les principaux de service désactivés sont ignorés (c'est-à-dire non comptabilisés) par défaut (il est possible de modifier ce paramètre), car ils ne peuvent pas être utilisés par les attaquants.

Pour limiter les risques, utilisez le principe du moindre privilège lors de l'attribution des rôles d'administrateur :

• Réduisez le nombre de comptes attribués au rôle indiqué.
• Si ces comptes nécessitent des privilèges, envisagez de les restreindre à un rôle plus spécifique détenant uniquement les autorisations nécessaires. Microsoft Entra ID offre plusieurs rôles d'administration en plus du rôle d'« Administrateur général », ce qui permet d'accorder uniquement les autorisations nécessaires. Par exemple, un compte de technicien de support ne nécessite que le rôle « Administrateurs du support technique » et non le rôle « Administrateur général ».
• Réduisez la portée de l'attribution. Microsoft Entra ID permet d'attribuer à un rôle une portée spécifique qui doit être la plus petite possible. Par exemple, si ce technicien de support est en charge de la région EMEA uniquement, vous devez lui attribuer un rôle dans l'unité administrative « EMEA » uniquement.

Si cela n'est pas possible du fait de la grande taille de votre service informatique, augmentez le nombre maximum de comptes autorisés dans les paramètres.

Microsoft recommande spécifiquement de limiter le nombre d'Administrateurs généraux à moins de 5.

Nom: Nombre d'administrateurs élevé

Nom de code: HIGH-NUMBER-OF-ADMINISTRATORS

Sévérité: High

Type: Microsoft Entra ID Indicator of Exposure