Privileged role on Control Plane are managed by PIM only
Warum dies wichtig ist
Privilegierte Rollen in der Azure-Verwaltungsebene gewähren umfassende administrative Kontrolle über Ihren Mandanten. Wenn diese Rollen dauerhaft außerhalb von Privileged Identity Management (PIM) zugewiesen werden, entsteht unnötiger permanenter Zugriff, der die Just-in-Time-Aktivierungsrichtlinien umgeht. Dies erhöht das Risiko von Lateralbewegungen und Rechteausweitungen, falls ein Konto kompromittiert wird.
Was Aether365 prüft
Diese Prüfung stellt fest, ob in Ihrem Microsoft 365-Mandanten privilegierte Rollenzuweisungen vorhanden sind, die nicht über Privileged Identity Management (PIM) verwaltet werden. Sie wird im Aether365-Dashboard unter den Prüfungen für microsoft-365 angezeigt und zeigt aktive Zuweisungen an, die für zeitlich begrenzten, genehmigten Zugriff auf PIM umgestellt werden sollten.
Behebung
- Melden Sie sich beim Azure-Portal an, navigieren Sie zu Azure Active Directory und wählen Sie dann Rollen und Administratoren aus.
- Gehen Sie im Bereich PIM zu Warnungen und klicken Sie auf die Warnung mit dem Titel "Privilegierte Rollenzuweisungen außerhalb von PIM".
- Überprüfen Sie die Liste der Benutzer in den Warnungsdetails.
- Entscheiden Sie für jeden Benutzer, ob er die privilegierte Rolle noch benötigt. Wenn nicht, entfernen Sie die Zuweisung direkt in Azure AD. Wenn die Rolle erforderlich ist, konfigurieren Sie die Zuweisung stattdessen über PIM, wobei eine Genehmigung und zeitlich begrenzte Aktivierung erforderlich ist.
- Bearbeiten Sie alle Empfehlungen aus den Maester-Testergebnissen, die direkte Links zur Warnungsseite für eine einfache Identifizierung enthalten.
Compliance
- Diese Prüfung ist der Kategorie "Sonstige" zugeordnet.
- Sie unterstützt Best Practices für minimale Rechte und privilegierten Zugriffsmanagement, wie von CISA und Microsoft-Sicherheitsbaselines empfohlen.