Privileged role on Control Plane are managed by PIM only

Hvorfor dette er vigtigt

Privilegerede roller i Azure-kontrolplanet giver bred administrativ kontrol over dit lejersystem. Når disse roller tildeles permanent uden for Privileged Identity Management (PIM), skaber de unødvendig stående adgang, som omgår just-in-time-aktiveringspolitikker. Dette øger risikoen for lateral bevægelse og privilegieeskalering, hvis en konto kompromitteres.

Hvad Aether365 kontrollerer

Denne kontrol verificerer, om din Microsoft 365-lejer har nogen privilegerede rolletildelinger, der ikke administreres via Privileged Identity Management (PIM). Den vises i Aether365-dashboardet under microsoft-365 checks og fremhæver aktive tildelinger, der bør overføres til PIM for tidsbegrænset, godkendt adgang.

Sådan udbedres

1. Log på Azure Portal, naviger til Azure Active Directory, og vælg derefter Roles and administrators.
2. Under sektionen PIM skal du gå til Alerts og klikke på advarslen med titlen "Privileged role assignments outside of PIM".
3. Gennemgå listen over brugere, der vises i advarselsdetaljerne.
4. For hver bruger skal du vurdere, om de stadig har brug for den privilegerede rolle. Hvis ikke, skal du fjerne tildelingen direkte i Azure AD. Hvis de har brug for rollen, skal du konfigurere tildelingen via PIM i stedet, med krav om godkendelse og tidsbegrænset aktivering.
5. Håndter alle anbefalinger, der er angivet i Maester-testresultaterne, som indeholder direkte links til advarselssiden for nem identifikation.

Overholdelse

• Denne kontrol er tilknyttet kategorien "Andre" rammeværk.
• Den understøtter bedste praksis for mindsteprivilegie og privilegeret adgangsstyring, som anbefalet af CISA og Microsofts sikkerhedsbaselines.

Relaterede ressourcer

• Manage privileged roles in Azure AD with PIM
• PIM alerts in Azure AD

Microsoft references

• Pim how to configure security alerts