No external user with permanent role assignment on Control Plane
Warum dies wichtig ist
Externe Benutzer mit hoch privilegierten Rollenzuweisungen auf der Steuerungsebene stellen ein erhebliches Sicherheitsrisiko dar. Diese Konten unterliegen möglicherweise nicht denselben Conditional Access-Richtlinien, Lifecycle Workflows oder Identity Protection-Kontrollen wie interne Benutzer und sind daher ein potenzieller Vektor für unbefugten Zugriff oder Privilegieneskalation. Die regelmäßige Überprüfung und Entfernung von dauerhaften hoch privilegierten Rollen für externe Benutzer hilft, eine Sicherheitsstrategie mit minimalen Berechtigungen aufrechtzuerhalten.
Was Aether365 prüft
Diese Prüfung stellt sicher, dass keinem externen Benutzer eine hoch privilegierte Rolle auf der Steuerungsebene in Ihrem Microsoft 365-Mandanten zugewiesen wurde. Das Ergebnis wird in Ihrem Aether365-Dashboard unter der Dienstkategorie microsoft-365 angezeigt.
Behebung
- Melden Sie sich beim Microsoft Entra admin center an.
- Navigieren Sie zu Identity > Roles & admins > Roles & administrators.
- Identifizieren Sie externe Benutzer (Benutzerprinzipalnamen aus einer Domain außerhalb Ihres primären Mandanten) mit hoch privilegierten Rollen (z. B. Global Administrator, Privileged Role Administrator).
- Überprüfen Sie für jeden externen Benutzer die geschäftliche Begründung für die Rollenzuweisung. Überlegen Sie, ob die Rolle weiterhin benötigt wird und ob der Benutzer die Sicherheitsanforderungen Ihrer Organisation für Conditional Access, Lifecycle Workflows und Identity Protection erfüllt.
- Wenn die Rolle nicht mehr benötigt wird, wählen Sie die Rolle, dann den externen Benutzer aus und klicken Sie auf Remove assignment.
- Konfigurieren Sie für die laufende Verwaltung Zugriffsüberprüfungen in Microsoft Entra (Identity Governance > Access reviews), um die Rollenzuweisungen externer Benutzer regelmäßig zu überprüfen.
Compliance
- Framework: Andere
- Referenzen: N/A