管理員數量過多

根據定義，管理員本就擁有較高的特權。管理員數量過多會提高管理員遭入侵的機率，進而增加攻擊破綻​，造成安全性風險。這也是未遵循最低特權原則的跡象。

應對這些角色指派進行仔細審查和培訓，以確保其合理性。

根據預設 (參數可變更)，系統會略過已停用帳戶和服務主體 (也就是不納入計算)，因為這是攻擊者無法利用的資源。

為限制風險，請在指派管理員角色時遵循最低特權原則​:

• 減少​指派給報告中角色的帳戶數量。
• 如果這些帳戶需要特權，建議僅為更具體的角色​提供必要權限。除「全域管理員」外，Microsoft Entra ID 還提供多個系統管理角色，允許只授予必要權限。例如，支援技術人員帳戶只需要「服務台管理員」角色即可重設使用者密碼，無需指派「全域管理員」角色。
• 縮減指派範圍​。Microsoft Entra ID 允許您在特定範圍內指派角色，請盡可能縮小指派範圍。例如，如果同一個支援技術人員只負責歐洲、中東和非洲地區 (EMEA)，您應只在「EMEA」系統管理單位上指派他們的角色。

如果您的 IT 組織規模較大而不適用此方法，建議您在參數中提高帳戶數量上限。

具體來說，Microsoft 建議將全域管理員的人數限制在 5 位以下。

名稱: 管理員數量過多

代碼名稱: HIGH-NUMBER-OF-ADMINISTRATORS

嚴重性: High

類型: Microsoft Entra ID Indicator of Exposure