Provisioning users to highly privileged roles SHALL NOT occur outside of a PAM system.
Kodėl tai Svarbu
Kai labai privilegijuoti vaidmenys, pavyzdžiui, "Global Administrator", yra suteikiami už privilegijuotos prieigos valdymo (PAM) sistemos ribų, prarandama galimybė audituoti, tvirtinti ir apriboti laikotarpiu šias išplėstines teises. Tai padidina nuolatinės administratoriaus prieigos riziką, kurią užpuolikai gali išnaudoti arba piktnaudžiauti be priežiūros. PAM sistema užtikrina prieigos suteikimą tik tada, kai reikia ("just-in-time"), ir tinkamus tvirtinimo darbo srautus kritiniams vaidmenims.
Ką Tikrina Aether365
Aether365 patikrina, ar visi vartotojų suteikimai į labai privilegijuotus vaidmenis Microsoft Entra ID vyksta per PAM sistemą, pvz., "Microsoft Privileged Identity Management" (PIM). Šis patikrinimas Aether365 valdymo skydelyje rodomas kategorijoje "entra-id" kaip CISA.MS.AAD.7.5.
Kaip Ištaisyti
- Patvirtinkite, kad visi labai privilegijuotų vaidmenų priskyrimai (pvz., "Global Administrator") aktyvuojami tik per Microsoft Entra PIM ar lygiavertį PAM sprendimą.
- Perkelkite bet kokius nuolatinius vaidmenų priskyrimus į PIM, konvertuodami juos į tinkamus priskyrimus, kuriems reikia aktyvavimo naudojant kelių veiksnių autentifikavimą ir pagrindimą.
- Įgalinkite PIM įspėjimus ir tvirtinimo darbo srautus privilegijuotų vaidmenų aktyvavimui, kad užtikrintumėte mažiausią privilegijų principą ir prieigos suteikimą tik tada, kai reikia ("just-in-time").
- Peržiūrėkite ir pašalinkite bet kokius tiesioginius, nuolatinius priskyrimus labai privilegijuotiems vaidmenims iš Microsoft Entra administravimo centro arba naudodami "PowerShell".
Atitiktis
- CIS: CISA.MS.AAD.7.5