Privileged role on Control Plane are managed by PIM only
Perché è Importante
I ruoli con privilegi nel piano di controllo di Azure concedono un'ampia gestione amministrativa sul tenant. Quando questi ruoli vengono assegnati in modo permanente al di fuori di Privileged Identity Management (PIM), introducono accessi permanenti non necessari che aggirano le policy di attivazione just-in-time. Ciò aumenta il rischio di movimento laterale ed escalation dei privilegi in caso di compromissione dell'account.
Cosa Controlla Aether365
Questa verifica controlla se il tenant di Microsoft 365 presenta assegnazioni di ruoli con privilegi non gestite tramite Privileged Identity Management (PIM). Viene visualizzata nel dashboard di Aether365 sotto i controlli microsoft-365 e segnala le assegnazioni attive che dovrebbero essere trasferite a PIM per un accesso temporale e approvato.
Come Risolvere
- Accedi al portale di Azure e vai su Azure Active Directory, quindi seleziona Ruoli e amministratori.
- Nella sezione PIM, vai su Avvisi e clicca sull'avviso intitolato "Assegnazioni di ruoli con privilegi al di fuori di PIM".
- Esamina l'elenco degli utenti visualizzato nei dettagli dell'avviso.
- Per ogni utente, determina se necessita ancora del ruolo con privilegi. In caso contrario, rimuovi l'assegnazione direttamente in Azure AD. Se invece il ruolo è necessario, configura l'assegnazione tramite PIM, richiedendo approvazione e attivazione a tempo limitato.
- Affronta tutte le raccomandazioni riportate nei risultati del test Maester, che forniscono collegamenti diretti alla pagina dell'avviso per una facile identificazione.
Conformità
- Questa verifica è mappata alla categoria "Altro" del framework.
- Supporta le best practice per il minimo privilegio e la gestione degli accessi privilegiati, come raccomandato da CISA e dalle baseline di sicurezza Microsoft.