Access package approval workflows must have valid approvers
Por qué es importante
Los flujos de aprobación que hacen referencia a usuarios eliminados o deshabilitados crean brechas de seguridad y retrasos operativos en el ciclo de vida del paquete de acceso de Entra ID Governance. Cuando un aprobador ya no es válido, las solicitudes pueden quedar sin aprobar indefinidamente, omitiendo los controles de acceso previstos y exponiendo potencialmente recursos confidenciales. Los administradores de TI deben asegurarse de que todos los aprobadores estén activos y funcionales para mantener un proceso de gestión de acceso seguro y eficiente.
Qué verifica Aether365
Esta verificación confirma que todos los flujos de aprobación en los paquetes de acceso de Entra ID hagan referencia a aprobadores válidos y activos que no estén eliminados ni deshabilitados. En el panel de Aether365, esto aparece bajo las comprobaciones de entra-id con el ID AE.1109.
Cómo solucionarlo
- Navegue al portal de Entra ID Governance en https://portal.azure.com/#view/Microsoft_Azure_ELMAdmin.
- Revise los resultados de la prueba para identificar qué paquetes de acceso contienen aprobadores no válidos.
- Para cada política de paquete de acceso afectada, elimine cualquier referencia a usuarios eliminados o deshabilitados.
- Agregue aprobadores de reemplazo válidos que estén activos y disponibles.
- Confirme que los grupos de aprobación existan y contengan miembros activos; agregue miembros a los grupos vacíos.
- Considere usar grupos en lugar de usuarios individuales como aprobadores para una mayor resiliencia.
- Pruebe el flujo de aprobación para confirmar que funciona correctamente.
- Vuelva a ejecutar la prueba de Aether365 para verificar que el problema esté resuelto.
Cumplimiento
- Marco: Otros (no vinculado a un marco de cumplimiento específico)
- Servicio: Entra ID
- Gravedad: Media
Recursos relacionados
N/A