Privileged role on Control Plane are managed by PIM only
Γιατί Έχει Σημασία
Οι προνομιούχοι ρόλοι στο Azure control plane παρέχουν εκτεταμένο διαχειριστικό έλεγχο στον tenant σας. Όταν αυτοί οι ρόλοι ανατίθενται μόνιμα εκτός του Privileged Identity Management (PIM), δημιουργούν περιττή μόνιμη πρόσβαση που παρακάμπτει τις πολιτικές ενεργοποίησης just-in-time. Αυτό αυξάνει τον κίνδυνο πλευρικής μετακίνησης και κλιμάκωσης προνομίων σε περίπτωση που κάποιος λογαριασμός παραβιαστεί.
Τι Ελέγχει το Aether365
Αυτός ο έλεγχος επαληθεύει αν ο Microsoft 365 tenant σας διαθέτει αναθέσεις προνομιούχων ρόλων που δεν διαχειρίζονται μέσω του Privileged Identity Management (PIM). Εμφανίζεται στον πίνακα ελέγχου του Aether365 κάτω από τους ελέγχους microsoft-365 και εντοπίζει ενεργές αναθέσεις που θα πρέπει να μεταφερθούν στο PIM για χρονικά περιορισμένη και εγκεκριμένη πρόσβαση.
Πώς να το Διορθώσετε
- Συνδεθείτε στο Azure portal και μεταβείτε στο Azure Active Directory, στη συνέχεια επιλέξτε Roles and administrators.
- Στην ενότητα PIM, μεταβείτε στα Alerts και κάντε κλικ στην ειδοποίηση με τίτλο "Privileged role assignments outside of PIM".
- Ελέγξτε τη λίστα των χρηστών που εμφανίζεται στις λεπτομέρειες της ειδοποίησης.
- Για κάθε χρήστη, αποφασίστε αν εξακολουθεί να χρειάζεται τον προνομιούχο ρόλο. Αν όχι, αφαιρέστε την ανάθεση απευθείας στο Azure AD. Αν τον χρειάζεται, διαμορφώστε την ανάθεση μέσω του PIM, απαιτώντας έγκριση και χρονικά περιορισμένη ενεργοποίηση.
- Διευθετήστε όλες τις συστάσεις που σημειώνονται στα αποτελέσματα των δοκιμών Maester, τα οποία παρέχουν απευθείας συνδέσμους στη σελίδα ειδοποιήσεων για εύκολο εντοπισμό.
Συμμόρφωση
- Αυτός ο έλεγχος αντιστοιχίζεται στην κατηγορία πλαισίου "Other".
- Υποστηρίζει βέλτιστες πρακτικές για ελάχιστα προνόμια και διαχείριση προνομιακής πρόσβασης, όπως προτείνονται από την CISA και τις γραμμές βάσης ασφαλείας της Microsoft.