Privileged role on Control Plane are managed by PIM only
Por que es importante
Los roles con privilegios en el plano de control de Azure otorgan un control administrativo amplio sobre su inquilino. Cuando estos roles se asignan de forma permanente fuera de Privileged Identity Management (PIM), generan acceso permanente innecesario que elude las politicas de activacion justo a tiempo. Esto incrementa el riesgo de movimiento lateral y escalada de privilegios si una cuenta se ve comprometida.
Que comprueba Aether365
Esta comprobacion verifica si su inquilino de Microsoft 365 tiene asignaciones de roles con privilegios que no se gestionan a traves de Privileged Identity Management (PIM). Aparece en el panel de Aether365 bajo las comprobaciones de microsoft-365 y muestra las asignaciones activas que deberian migrarse a PIM para obtener acceso con limite de tiempo y aprobacion.
Como solucionarlo
- Inicie sesion en Azure Portal y navegue hasta Azure Active Directory, luego seleccione Roles y administradores.
- En la seccion de PIM, vaya a Alertas y haga clic en la alerta titulada "Asignaciones de roles con privilegios fuera de PIM".
- Revise la lista de usuarios que aparece en los detalles de la alerta.
- Para cada usuario, determine si aun necesita el rol con privilegios. Si no es asi, elimine la asignacion directamente en Azure AD. Si necesita el rol, configure la asignacion a traves de PIM en su lugar, lo que requiere aprobacion y activacion con limite de tiempo.
- Atienda todas las recomendaciones indicadas en los resultados de la prueba de Maester, que proporcionan enlaces directos a la pagina de alertas para una identificacion sencilla.
Cumplimiento normativo
- Esta comprobacion esta asignada a la categoria de marco "Otros".
- Respalda las practicas recomendadas de minimo privilegio y gestion de acceso con privilegios, segun lo recomendado por CISA y las lineas base de seguridad de Microsoft.