Plusieurs types d'action peuvent générer cet événement :


  • New administrator created
  • Administrator account deleted
  • User granted administrator rights
  • User revoked administrator rights


L'escalade de privilèges est souvent une trace laissée par les pirates informatiques. Toute modification apportée aux privilèges administratifs devrait être considérée comme un signal d'alarme et mener à une vérification approfondie.


Il est recommandé de suivre le principe du "privilège minimal" avec les comptes admin de votre organisation : donner uniquement les permissions nécessaires aux utilisateurs pour qu'ils puissent accomplir leurs tâches quotidiennes.



Remédiation


Si l'événement Administrator Role Change est suspect, il est conseillé de vérifier les activités générées par l'utilisateur dans les journaux d'audit et les journaux de connexion. Si nécessaire, enlevez les permissions à l'utilisateur jusqu'à ce la vérification soit terminée.


Filtrez les activités dans le Centre d'administration Azure Active Directory en ne gardant que le "User Principal Name" mentionné dans l'événement Office Protect. Soyez à l'affut de changements de mot de passe, de nouvelles règles Exchange ou de créations de comptes instaurés par l'utilisateur en question. 


Remarque : Advanced Report d'Office Protect vous fournit les outils pour inspecter les comptes admin.


Microsoft met à votre disposition des outils pour contrôler les administrateurs, tels que "révisions d'Accès", qui est un processus que vous pouvez automatiser pour vérifier certains rôles et groupes au sein de votre organisation.  Vous pouvez également mettre en œuvre le Privileged Identity Management (PIM) dans votre organisation pour accorder des autorisations temporaires à certains utilisateurs afin qu'ils puissent effectuer les tâches requises.


Veuillez noter que les contrôles d'accès et la gestion des identités privilégiées sont disponibles avec les licences Azure AD Premium P2.

https://docs.microsoft.com/fr-fr/azure/active-directory/governance/access-reviews-overview