Ensure 'Privileged Identity Management' is used to manage roles
Miért fontos ez
Az állandó rendszergazdai hozzáférés a kiemelt jogosultságú szerepkörökhöz jelentős támadási felületet teremt a Microsoft 365 környezetében. Ha egyetlen kiemelt jogosultságú fiók kompromittálódik, a támadó tartós hozzáférést szerez az érzékeny erőforrásokhoz és konfigurációkhoz. A Privileged Identity Management (PIM) csökkenti ezt a kockázatot azáltal, hogy just-in-time aktiválást ír elő, biztosítva, hogy a rendszergazdák csak az adott feladatok időtartamára tartsanak magasabb szintű szerepköröket.
Mit ellenőriz az Aether365
Az Aether365 ellenőrzi, hogy a Privileged Identity Management engedélyezve van-e a kiemelt Microsoft Entra ID szerepkörök kezelésére. Ez az ellenőrzés az Aether365 irányítópultján a "entra-id checks" szakaszban jelenik meg.
Javítás menete
- Jelentkezzen be az Azure Portalra Globális Rendszergazdaként (Global Administrator).
- Lépjen a Microsoft Entra ID elemhez, majd válassza az Identity Governance lehetőséget.
- A Privileged Identity Management alatt válassza az Azure AD roles lehetőséget.
- Minden kiemelt szerepkör esetében (például Globális Rendszergazda, Exchange Rendszergazda) tekintse át a jelenlegi tagokat.
- Módosítsa az állandó aktív hozzárendeléseket jogosult hozzárendelésekre (eligible assignments). A jogosult felhasználóknak a PIM munkafolyamaton keresztül kell aktiválniuk a szerepkörüket egy meghatározott időtartamra.
- Konfigurálja a szerepkör-aktiválási beállításokat a jóváhagyás, indoklás és többtényezős hitelesítés (MFA) megkövetelésére a magas jogosultságú szerepkörök esetében.
- Állítson be ismétlődő hozzáférési felülvizsgálatokat annak ellenőrzésére és megerősítésére, hogy továbbra is szükség van-e a kiemelt jogosultságú hozzáférésre.
Megfelelőség
- CIS Microsoft 365 Foundations Benchmark 3.1.0, 5.3.1. szakasz (E5 2. szint)
- Microsoft Entra ID Governance bevált gyakorlatok