管理员数量太多

管理员天然具有更高的特权。管理员数量太多会增加管理员帐户被入侵的几率，导致攻击面增加​，从而造成安全风险。这也是最低特权原则未受到遵循的表现。

应该对这些角色分配对象进行审查和培训，仔细证明其合理性。

为限制风险，请在分配管理员角色时遵循最低特权原则​：

• 减少​分配给被报告的角色的帐户数量。
• 如果这些帐户需要特权，请考虑仅为更具体的角色​提供必要权限。Microsoft Entra ID 在“全局管理员”之外提供多个管理性角色，允许只授予必要的权限。例如，技术支持工程师帐户只需要“帮助台管理员”角色即可重置用户密码，无需“全局管理员”角色。
• 减少分配的范围​。Microsoft Entra ID 允许您在具体范围内分配角色，而您也应该尽可能减小权限的分配范围。例如，如果同一个技术支持工程师只负责 EMEA（欧洲、中东和非洲）区域，您应该只在“EMEA”管理员单元上分配他们的角色。

如果您的 IT 组织因规模较大而不适用此方法，请考虑在风险暴露指标选项中增加帐户数量上限。

特别是，Microsoft 建议将全局管理员的数量限制在 5 人以下。

名称: 管理员数量太多

代码名称: HIGH-NUMBER-OF-ADMINISTRATORS

严重程度: High