Sprawdź kto jeszcze administruje twoim tenantem...
Jako administrator Office 365 zapewne doskonale wiesz, że konta z rolą Administratora Globalnego (ang. Global Admin) mogą wszystko. Mają pełną władzę nad tenantem.
Zaleca się regularne kontrolowanie liczby kont z tą rolą. Ich listę uzyskasz klikając w Centrum Administracyjnym kolejno: · · · Pokaż wszystko > Role > Administrator globalny:
Na odpowiednich zakładkach dowiesz się kto ma pełne uprawnienia i ile jest takich kont. Wszystkie na pewno są ci znane. Microsoft zaleca utrzymywanie jak najmniejszej ilości takich kont, a konkretnie 2-4. Dlaczego nie 1? Ponieważ w momencie, gdy dojdzie do zablokowania takiego konta lub utraty hasła – nikt (oczywiście poza suportem Microsoft) nie będzie w stanie nam pomóc.
Na zamieszczonym powyżej przykładzie widzimy 3 konta. Jednakże (jak to w życiu często bywa) to nie takie proste i tu nie musi kończyć się lista osób, które mają pełne uprawnienia. Takich administratorów mogących wszystko może być jeszcze 100 a my tak naprawdę nie jesteśmy w stanie w ogóle określić ilu ich faktycznie jest!
Mowa tu o partnerach związanych relacjami z naszą organizacją. Ich listę sprawdzimy w Centrum Administracyjnym klikając kolejno: · · · Pokaż wszystko > Ustawienia > Relacje partnerów.
Powyżej widzimy listę partnerów Cloud Solution Provider (CSP). Relacja może być z lub bez uprawnień administracyjnych. Jeśli mamy relację z uprawnieniami administracyjnymi, wówczas mianowane wewnętrznie przez Partnera osoby (tzw. Admin agent) mają takie uprawnienia jak Global Admin. Nie jesteśmy w stanie sprawdzić ilu ich jest. Nie mają oni kont w naszym tenancie.
Jak to się stało?
Aby CSP mógł sprzedać nam licencje, musimy nawiązać z nim relację. Dokonuje się tego za pomocą tzw. linków DAP (Delegated Administrative Privileges). Uruchamiając taki link na koncie Global Admina zawiązujemy relację z danym CSP. W linku jest również zaszyta informacja czy relacja ma być z uprawnieniami administracyjnymi czy bez.
Jak temu zaradzić?
W sekcji z relacjami partnerów możemy w każdej chwili odwołać uprawnienia administracyjne. Dostawca nadal będzie mógł nam sprzedawać licencje. Klikamy nazwę Partnera z uprawnieniami administracyjnymi a następnie „Usuń administratora delegowanego”. Potwierdzamy. Partner zostaje poinformowany o cofnięciu uprawnień.
Jeśli nie ma już Partnerów z relacją administratora to możemy być spokojni o to, że nikt poza naszymi Global Adminami nie będzie się rządził (o ile ustawiliśmy MFA i trudne do odgadnięcia hasło).