Les comptes d'administrateurs généraux disposent d’un accès illimité à tous les services et données de Microsoft 365. Les utiliser pour des tâches quotidiennes non administratives (comme lire des courriels, participer à des réunions ou naviguer sur SharePoint) les expose inutilement à des menaces telles que le hameçonnage (phishing) ou le vol de jetons d’authentification.
La bonne pratique consiste à utiliser un compte utilisateur standard pour le travail quotidien et à se connecter avec un compte d'administrateur général uniquement lorsque des tâches administratives sont nécessaires.
Risque :
Si ces comptes sont compromis, les attaquants obtiennent un contrôle total sur le tenant. Réduire leur exposition est essentiel pour diminuer votre surface d’attaque.
Recommandation :
Évitez d’utiliser les comptes d'administrateurs généraux pour des activités non administratives. Utilisez plutôt un compte distinct avec des autorisations minimales pour l’usage quotidien, et réservez le compte d'administrateur général aux opérations administratives critiques uniquement.
Détection :
Cet état de santé devient critique lorsqu’un compte d'administrateur général est associé à une licence utilisateur standard, comme Microsoft 365 Business, E3 / E5 / F3 / F5 / G3 / G5 / A3 / A5, Dynamics, OneDrive for Business, Project ou Windows 365 Enterprise.