Ensure 'Access reviews' for high privileged Entra ID roles are configured
Proč na tom záleží
Bez pravidelných kontrol přístupu u vysoce privilegovaných rolí v Entra ID hrozí vaší organizaci riziko nezjištěného posunu rolí nebo škodlivé aktivity. Útočníci nebo interní osoby se zastaralým přiřazením role Global Administrator nebo jiných kritických rolí mohou způsobit značné škody. Zavedení opakovaných kontrol umožňuje mechanismy fail-closed, které automaticky odeberou přístup, pokud revizoři nereagují, a tím prosazují oddělení rolí.
Co Aether365 kontroluje
Aether365 ověřuje, že jsou pro vysoce privilegované role v Entra ID nakonfigurovány kontroly přístupu a že jsou naplánovány na frekvenci nejméně jednou týdně. Tato kontrola se zobrazuje v dashboardu Aether365 v sekci kontrol Entra ID a zahrnuje následující role: Global Administrator, Exchange Administrator, SharePoint Administrator, Teams Administrator a Security Administrator.
Jak to opravit
- Přihlaste se do Azure Portal jako Global Administrator nebo Privileged Role Administrator.
- Přejděte do Identity Governance, poté Access reviews a vyberte Nová kontrola přístupu.
- Jako rozsah zvolte Microsoft Entra ID roles, poté spusťte a postupně kontrolujte jednotlivé role, například Global Administrator, Exchange Administrator, SharePoint Administrator, Teams Administrator a Security Administrator.
- V části Schedule nastavte frekvenci na Weekly a nakonfigurujte revizory (například Global Administrators nebo vybrané uživatele).
- V části Upon completion zapněte Auto apply results a nastavte If reviewers don't respond na Remove access, čímž prosadíte mechanismus fail-closed.
- Zkontrolujte nastavení a kliknutím na Create spusťte kontrolu přístupu.
Poznámka: Každá kontrola přístupu pokrývá jednu roli. Pro každou z pěti požadovaných rolí musíte vytvořit samostatnou kontrolu.
Shoda s předpisy
- CIS Microsoft 365 Foundations Benchmark 3.1.0 Section 5.3.3 (E5 Level 1)