Ensure approval is required for Privileged Role Administrator activation

Perché è Importante

Il ruolo di Amministratore dei Ruoli con Privilegi può gestire le assegnazioni per tutti i ruoli di Microsoft Entra, incluso l'Amministratore Globale. Senza richiedere l'approvazione per l'attivazione, un account compromesso assegnato a questo ruolo potrebbe elevarsi silenziosamente ai livelli di privilegio più alti. L'attivazione dell'approvazione costringe ogni attivazione a essere esaminata da parti fidate, aggiungendo un livello critico di responsabilità e riducendo il rischio di attacchi di escalation dei privilegi.

Cosa Controlla Aether365

Questo controllo verifica che Microsoft Entra Privileged Identity Management (PIM) richieda l'approvazione quando viene attivato il ruolo di Amministratore dei Ruoli con Privilegi. Nel dashboard di Aether365, questo appare sotto la sezione dei controlli Entra ID.

Come Risolvere

1. Accedi a Microsoft Entra admin center all'indirizzo https://entra.microsoft.com.
2. Espandi Identity Governance e seleziona Privileged Identity Management.
3. Sotto Manage, seleziona Microsoft Entra Roles.
4. Sotto Manage, seleziona Roles.
5. Seleziona Privileged Role Administrator dall'elenco.
6. Seleziona Role settings e fai clic su Edit.
7. Seleziona la casella Require approval to activate.
8. Aggiungi almeno due approvatori (non è necessario che siano membri o proprietari del gruppo).
9. Fai clic su Update per salvare le modifiche.

Conformità

• CIS Microsoft 365 Foundations Benchmark 5.0.0 (E5 Level 1): Sezione 5.3.5

Risorse Correlate

• Configure Microsoft Entra PIM settings
• Require approval to activate in PIM

Microsoft references

• Pim configure
• Groups role settings