Privileged role on Control Plane are managed by PIM only
Miksi Tämä on Tärkeää
Azure-hallintatason etuoikeutetut roolit antavat laajan hallinnollisen hallinnan vuokraajallasi. Kun nämä roolit määrätään pysyvästi Privileged Identity Management (PIM) -palvelun ulkopuolella, ne luovat tarpeetonta pysyvää pääsyä, joka ohittaa juuri-oikea-aikaiset aktivointikäytännöt. Tämä lisää lateraalisen liikkumisen ja etuoikeuksien eskaloinnin riskiä, jos tili vaarantuu.
Mitä Aether365 Tarkistaa
Tämä tarkistus varmistaa, onko Microsoft 365 -vuokraajassasi etuoikeutettuja roolimäärityksiä, joita ei hallinnoida Privileged Identity Management (PIM) -palvelun kautta. Se näkyy Aether365-koontinäytöllä microsoft-365-tarkistusten alla ja tuo esiin aktiivisia määrityksiä, jotka tulisi siirtää PIM:ään aikarajattua, hyväksyttyä pääsyä varten.
Korjaaminen
- Kirjaudu Azure-portaaliin ja siirry kohtaan Azure Active Directory, valitse sitten Roles ja administrators.
- Siirry PIM-osioon, avaa Alerts ja napsauta hälytystä "Privileged role assignments outside of PIM".
- Tarkista hälytyksen yksityiskohdissa näkyvä käyttäjäluettelo.
- Päätä jokaisen käyttäjän kohdalla, tarvitseeko hän edelleen etuoikeutettua roolia. Jos ei, poista määritys suoraan Azure AD:ssa. Jos hän tarvitsee roolin, määritä se PIM:n kautta, mikä edellyttää hyväksyntää ja aikarajattua aktivointia.
- Käsittele kaikki Maester-testituloksissa mainitut suositukset, jotka tarjoavat suorat linkit hälytyssivulle helpon tunnistamisen mahdollistamiseksi.
Vaatimustenmukaisuus
- Tämä tarkistus on kartoitettu "Other"-kehyksen kategoriaan.
- Se tukee parhaita käytäntöjä vähimmäisoikeuksien ja etuoikeutetun pääsyn hallinnassa, kuten CISA ja Microsoftin tietoturvan perusviivat suosittelevat.