Privileged role on Control Plane are managed by PIM only

Kodėl tai svarbu

Privilegijuoti vaidmenys "Azure" valdymo plokštumoje suteikia plačias administracines galimybes jūsų nuomininkui. Kai šie vaidmenys priskiriami nuolatiniams, ne Privileged Identity Management (PIM) kontekste, jie sukuria nereikalingą nuolatinę prieigą, kuri aplenkia "just-in-time" aktyvinimo politiką. Tai padidina šoninio judėjimo ir teisių išplėtimo riziką, jei paskyra būtų pažeista.

Ką tikrina Aether365

Šis patikrinimas patvirtina, ar jūsų "Microsoft 365" nuomininkas turi privilegijuotų vaidmenų priskyrimų, kurie nėra valdomi per Privileged Identity Management (PIM). Jis rodomas "Aether365" valdymo skydelyje po "microsoft-365" patikrinimais ir pateikia aktyvius priskyrimus, kuriuos reikėtų perkelti į PIM, kad būtų užtikrinta laiko ir patvirtinimo ribojama prieiga.

Kaip ištaisyti

1. Prisijunkite prie Azure Portal ir eikite į Azure Active Directory, tada pasirinkite Roles and administrators.
2. PIM skyriuje eikite į Alerts ir spustelėkite įspėjimą pavadinimu "Privileged role assignments outside of PIM".
3. Peržiūrėkite įspėjimo informacijoje rodomų vartotojų sąrašą.
4. Kiekvienam vartotojui nustatykite, ar jam vis dar reikalingas privilegijuotas vaidmuo. Jei ne, pašalinkite priskyrimą tiesiogiai "Azure AD". Jei vaidmuo reikalingas, konfigūruokite priskyrimą per PIM, reikalaujant patvirtinimo ir laiko ribojamo aktyvinimo.
5. Išspręskite visas rekomendacijas, nurodytas "Maester" testo rezultatuose, kurie pateikia tiesiogines nuorodas į įspėjimo puslapį, kad būtų lengva identifikuoti.

Atitiktis

• Šis patikrinimas priskiriamas "Other" sistemos kategorijai.
• Jis palaiko geriausias mažiausių teisių ir privilegijuotos prieigos valdymo praktikas, kaip rekomenduoja CISA ir "Microsoft" saugos pagrindai.

Susiję ištekliai

• Manage privileged roles in Azure AD with PIM
• PIM alerts in Azure AD

Microsoft references

• Pim how to configure security alerts