Privileged role on Control Plane are managed by PIM only

Proč na tom záleží

Privilegované role v řídicí rovině Azure poskytují rozsáhlou administrativní kontrolu nad vaším tenantem. Pokud jsou tyto role přiděleny trvale mimo Privileged Identity Management (PIM), vytvářejí zbytečný stálý přístup, který obchází zásady aktivace just-in-time. Tím se zvyšuje riziko laterálního pohybu a eskalace oprávnění v případě kompromitace účtu.

Co Aether365 kontroluje

Tato kontrola ověřuje, zda váš tenant Microsoft 365 obsahuje nějaká přiřazení privilegovaných rolí, která nejsou spravována prostřednictvím Privileged Identity Management (PIM). Zobrazuje se na řídicím panelu Aether365 v rámci kontrol microsoft-365 a odhaluje aktivní přiřazení, která by měla být převedena do PIM pro časově omezený a schválený přístup.

Jak opravit

1. Přihlaste se do Azure Portal a přejděte do Azure Active Directory, poté vyberte Roles and administrators.
2. V části PIM přejděte na Alerts a klikněte na upozornění s názvem "Privileged role assignments outside of PIM".
3. Zkontrolujte seznam uživatelů zobrazený v podrobnostech upozornění.
4. U každého uživatele rozhodněte, zda stále potřebuje privilegovanou roli. Pokud ne, odeberte přiřazení přímo v Azure AD. Pokud roli potřebuje, nakonfigurujte přiřazení prostřednictvím PIM, které vyžaduje schválení a časově omezenou aktivaci.
5. Vyřešte všechna doporučení uvedená ve výsledcích testu Maester, která poskytují přímé odkazy na stránku s upozorněním pro snadnou identifikaci.

Shoda s předpisy

• Tato kontrola je mapována do kategorie rámce "Other".
• Podporuje osvědčené postupy pro nejnižší oprávnění a správu privilegovaného přístupu, jak doporučují CISA a bezpečnostní směrnice Microsoftu.

Související zdroje

• Manage privileged roles in Azure AD with PIM
• PIM alerts in Azure AD

Microsoft references

• Pim how to configure security alerts