No external user with permanent role assignment on Control Plane

Proč na tom záleží

Externí uživatelé s vysoce privilegovanými přiřazeními rolí na řídicí rovině představují významné bezpečnostní riziko. Tyto účty nemusí podléhat stejným zásadám Conditional Access, Lifecycle Workflows nebo kontrolám Identity Protection jako interní uživatelé, což z nich činí potenciální vektor pro neoprávněný přístup nebo eskalaci oprávnění. Pravidelná kontrola a odstraňování trvalých vysoce privilegovaných rolí pro externí uživatele pomáhá udržet stav zabezpečení s minimálními oprávněními.

Co Aether365 kontroluje

Tato kontrola ověřuje, že žádný externí uživatel nemá na řídicí rovině ve vašem tenantovi Microsoft 365 přiřazenu vysoce privilegovanou roli. Výsledek se zobrazí na panelu Aether365 v kategorii služeb microsoft-365.

Jak to opravit

1. Přihlaste se do centra Microsoft Entra admin center.
2. Přejděte na Identity > Roles & admins > Roles & administrators.
3. Identifikujte všechny externí uživatele (hlavní názvy uživatelů z domény mimo váš primární tenant), kteří mají vysoce privilegované role (např. Global Administrator, Privileged Role Administrator).
4. U každého externího uživatele zkontrolujte obchodní odůvodnění pro přiřazení role. Zvažte, zda je role stále potřeba a zda uživatel splňuje bezpečnostní požadavky vaší organizace pro Conditional Access, Lifecycle Workflows a Identity Protection.
5. Pokud role již není potřeba, vyberte roli, poté externího uživatele a zvolte Remove assignment.
6. Pro průběžnou správu nakonfigurujte Access reviews v Microsoft Entra (Identity Governance > Access reviews) pro pravidelné přezkoumávání přiřazení rolí externích uživatelů.

Soulad s předpisy

• Rámec: Ostatní
• Odkazy: Není relevantní

Související zdroje

• Co je Microsoft Entra ID?
• Správa přístupu pomocí Access reviews v Microsoft Entra

Microsoft references

• Security planning