No external user with permanent role assignment on Control Plane
Por qué es importante
Los usuarios externos con asignaciones de roles de alto privilegio en el plano de control introducen un riesgo de seguridad significativo. Es posible que estas cuentas no estén sujetas a las mismas políticas de Conditional Access, Lifecycle Workflows o controles de Identity Protection que los usuarios internos, lo que las convierte en un vector potencial para accesos no autorizados o escalada de privilegios. Revisar y eliminar periódicamente los roles de alto privilegio permanentes para usuarios externos ayuda a mantener una postura de seguridad de privilegio mínimo.
Qué comprueba Aether365
Esta comprobación verifica que ningún usuario externo tenga asignado un rol de alto privilegio en el plano de control de su inquilino de Microsoft 365. El resultado aparece en su panel de Aether365 bajo la categoría de servicio microsoft-365.
Cómo solucionarlo
- Inicie sesión en el Microsoft Entra admin center.
- Vaya a Identity > Roles & admins > Roles & administrators.
- Identifique cualquier usuario externo (nombres principales de usuario de un dominio fuera de su inquilino principal) con roles de alto privilegio (por ejemplo, Global Administrator, Privileged Role Administrator).
- Para cada usuario externo, revise la justificación comercial de la asignación del rol. Considere si el rol sigue siendo necesario y si el usuario cumple con los requisitos de seguridad de su organización para Conditional Access, Lifecycle Workflows e Identity Protection.
- Si el rol ya no es necesario, seleccione el rol, luego el usuario externo y elija Remove assignment.
- Para la gestión continua, configure revisiones de acceso en Microsoft Entra (Identity Governance > Access reviews) para revisar periódicamente las asignaciones de roles de usuarios externos.
Cumplimiento
- Marco: Otros
- Referencias: N/A