Ensure 'Privileged Identity Management' is used to manage roles
Proč na tom záleží
Trvalá administrátorská oprávnění k privilegovaným rolím vytvářejí významný útočný povrch ve vašem prostředí Microsoft 365. Pokud dojde ke kompromitaci jediného privilegovaného účtu, útočník získá trvalý přístup k citlivým prostředkům a konfiguracím. Privileged Identity Management (PIM) toto riziko snižuje tím, že vyžaduje aktivaci v pravý čas (just-in-time), a zajišťuje, aby administrátoři zastávali zvýšené role pouze po dobu trvání konkrétních úkolů.
Co Aether365 kontroluje
Aether365 ověřuje, zda je služba Privileged Identity Management povolena pro správu privilegovaných rolí Microsoft Entra ID. Tato kontrola se zobrazí na řídicím panelu Aether365 v sekci kontrol služby Entra ID.
Jak to opravit
- Přihlaste se na Azure Portal jako Global Administrator.
- Přejděte do Microsoft Entra ID a vyberte Identity Governance.
- V části Privileged Identity Management vyberte Azure AD roles.
- U každé privilegované role (např. Global Administrator, Exchange Administrator) zkontrolujte stávající členy.
- Změňte trvalé aktivní přiřazení na způsobilá přiřazení. Způsobilí uživatelé musí svou roli aktivovat prostřednictvím workflow PIM na stanovenou dobu.
- Nakonfigurujte nastavení aktivace rolí tak, aby u vysoce privilegovaných rolí vyžadovala schválení, zdůvodnění a vícefaktorové ověřování (MFA).
- Nastavte opakované kontroly přístupu (Access reviews) k auditu a potvrzení trvalé potřeby privilegovaného přístupu.
Shoda s předpisy
- CIS Microsoft 365 Foundations Benchmark 3.1.0, sekce 5.3.1 (E5 Level 2)
- Doporučené postupy pro správu identit Microsoft Entra ID Governance