Privileged role on Control Plane are managed by PIM only
Kāpēc tas ir svarīgi
Priviliģētās lomas Azure kontrolplaknē piešķir plašas administratīvās tiesības pār jūsu nomnieku. Ja šīs lomas tiek piešķirtas pastāvīgi ārpus Privileged Identity Management (PIM), tās rada nevajadzīgu pastāvīgu piekļuvi, kas apiet tūlītējas aktivizācijas politikas. Tas palielina sānu pārvietošanās un privilēģiju eskalācijas risku, ja kontu apdraud.
Ko pārbauda Aether365
Šī pārbaude apstiprina, vai jūsu Microsoft 365 nomniekā ir kādi priviliģētie lomu piešķīrumi, kas netiek pārvaldīti, izmantojot Privileged Identity Management (PIM). Tas tiek parādīts Aether365 informācijas panelī zem microsoft-365 pārbaudēm un atklāj aktīvos piešķīrumus, kas būtu jāpārvieto uz PIM, lai nodrošinātu laika ierobežotu, apstiprinātu piekļuvi.
Kā to labot
- Pierakstieties Azure portal un dodieties uz Azure Active Directory, pēc tam atlasiet Roles and administrators.
- Sadaļā PIM dodieties uz Alerts un noklikšķiniet uz brīdinājuma ar nosaukumu "Privileged role assignments outside of PIM".
- Pārskatiet lietotāju sarakstu, kas redzams brīdinājuma detalizētajā informācijā.
- Katram lietotājam noskaidrojiet, vai viņam joprojām ir nepieciešama priviliģētā loma. Ja nav, noņemiet piešķīrumu tieši Azure AD. Ja loma ir nepieciešama, tās vietā konfigurējiet piešķīrumu caur PIM, pieprasot apstiprinājumu un ierobežotu laika aktivizāciju.
- Novērsiet visus ieteikumus, kas norādīti Maester testu rezultātos, kuri sniedz tiešas saites uz brīdinājuma lapu vieglai identificēšanai.
Atbilstība
- Šī pārbaude ir kartēta kategorijai "Citi".
- Tā atbalsta mazāko privilēģiju un priviliģētās piekļuves pārvaldības paraugpraksi, kā ieteikts CISA un Microsoft drošības bāzlīnijās.