Permanent active role assignments SHALL NOT be allowed for highly privileged roles.
Miksi tämä on tärkeää
Pysyvien aktiivisten roolien määrittäminen erittäin etuoikeutetuille tileille aiheuttaa tarpeetonta turvallisuusriskiä. Hyökkääjät, jotka vaarantavat pysyvästi aktiivisen etuoikeutetun tilin, säilyttävät pysyvän pääsyn ilman tarvetta nostaa oikeuksiaan. Edellyttämällä juuri-oikea-aikaista aktivointia korkean arvon rooleille vähennät hyökkäyspinta-alaa ja rajoitat tunnistetietojen vaarantumisen räjähdyssädettä.
Mitä Aether365 tarkistaa
Tämä tarkistus varmistaa, ettei kenelläkään käyttäjällä tai ryhmällä ole pysyvää aktiivista määritystä erittäin etuoikeutetuille rooleille, kuten Global Administrator, Privileged Role Administrator tai Exchange Administrator. Se näkyy Aether365-hallintapaneelissa entra-id-tietoturvatarkistuskategoriassa.
Korjausohjeet
- Kirjaudu sisään Microsoft Entra admin centeriin Privileged Role Administrator -roolilla.
- Siirry kohtaan Identity > Roles & admins > Roles & admins.
- Valitse erittäin etuoikeutettu rooli (esim. Global Administrator).
- Tarkista pysyvästi määritettyjen jäsenten luettelo ja huomioi, mitkä käyttäjät tarvitsevat jatkuvaa pääsyä.
- Poista pysyvät määritykset valitsemalla käyttäjä ja valitsemalla Remove assignment.
- Määritä jokaiselle poistetulle käyttäjälle kelpoisuusaktivointi Privileged Identity Managementissä (PIM) pysyvän määrityksen sijaan.
- Ota käyttöön juuri-oikea-aikaiset aktivointikäytännöt, jotka edellyttävät hyväksyntää ja MFA:ta aktivoinnille.
- Toista vaiheet 3-7 kaikille erittäin etuoikeutetuille rooleille.
Vaatimustenmukaisuus
- CIS: CISA.MS.AAD.7.4
- Viitekehys: CIS Microsoft 365 Foundation Benchmark
- Viittaukset: N/A
Liittyvät resurssit
- Microsoft Learn: What is Privileged Identity Management?
- Microsoft Learn: Assign Azure AD roles in PIM