Ensure approval is required for Privileged Role Administrator activation

Proč na tom záleží

Role Správce privilegovaných rolí (Privileged Role Administrator) může spravovat přiřazení všech rolí Microsoft Entra, včetně role Globální správce (Global Administrator). Pokud není vyžadováno schválení pro aktivaci, může kompromitovaný účet přiřazený k této roli tiše povýšit sám sebe na nejvyšší úroveň oprávnění. Povolení schvalování zajišťuje, že každá aktivace musí být přezkoumána důvěryhodnými osobami, což přidává zásadní vrstvu odpovědnosti a snižuje riziko útoků na eskalaci oprávnění.

Co Aether365 kontroluje

Tato kontrola ověřuje, zda nástroj Microsoft Entra Privileged Identity Management (PIM) vyžaduje schválení při aktivaci role Správce privilegovaných rolí. Na vašem dashboardu Aether365 se tato položka zobrazuje v sekci kontrol Entra ID.

Jak to opravit

1. Přihlaste se do centra Microsoft Entra admin center na adrese https://entra.microsoft.com.
2. Rozbalte položku Identity Governance a vyberte Privileged Identity Management.
3. V části Manage vyberte Microsoft Entra Roles.
4. V části Manage vyberte Roles.
5. Ze seznamu vyberte Privileged Role Administrator.
6. Vyberte Role settings a klikněte na Edit.
7. Zaškrtněte políčko Require approval to activate.
8. Přidejte alespoň dva schvalovatele (nemusí se jednat o členy skupiny ani vlastníky).
9. Kliknutím na Update změny uložte.

Soulad s předpisy

• CIS Microsoft 365 Foundations Benchmark 5.0.0 (E5 Level 1): Oddíl 5.3.5

Související zdroje

• Configure Microsoft Entra PIM settings
• Require approval to activate in PIM

Microsoft references

• Pim configure
• Groups role settings