No external user with permanent role assignment on Control Plane
Dlaczego to ma znaczenie
Zewnętrzni użytkownicy z przypisanymi rolami o wysokim poziomie uprawnień w warstwie sterowania stanowią istotne ryzyko bezpieczeństwa. Te konta mogą nie podlegać tym samym zasadom Conditional Access, Lifecycle Workflows czy kontrolom Identity Protection co użytkownicy wewnętrzni, co czyni je potencjalnym wektorem nieautoryzowanego dostępu lub eskalacji uprawnień. Regularne przeglądanie i usuwanie stałych, wysokoprzywilejowanych ról dla zewnętrznych użytkowników pomaga utrzymać postawę bezpieczeństwa zgodną z zasadą najmniejszych uprawnień.
Co sprawdza Aether365
To sprawdzenie weryfikuje, czy żaden zewnętrzny użytkownik nie otrzymał przypisania roli o wysokim poziomie uprawnień w warstwie sterowania w dzierżawie Microsoft 365. Wynik pojawia się na pulpicie nawigacyjnym Aether365 w kategorii usługi microsoft-365.
Jak naprawić
- Zaloguj się do Microsoft Entra admin center.
- Przejdź do Identity > Roles & admins > Roles & administrators.
- Zidentyfikuj wszystkich zewnętrznych użytkowników (nazwy główne użytkownika z domen zewnętrznych względem podstawowej dzierżawy) posiadających role o wysokim poziomie uprawnień (np. Global Administrator, Privileged Role Administrator).
- Dla każdego zewnętrznego użytkownika przeanalizuj uzasadnienie biznesowe przypisania roli. Rozważ, czy rola jest nadal potrzebna oraz czy użytkownik spełnia wymagania bezpieczeństwa organizacji dotyczące Conditional Access, Lifecycle Workflows i Identity Protection.
- Jeśli rola nie jest już potrzebna, wybierz rolę, a następnie zewnętrznego użytkownika i kliknij Remove assignment.
- W celu bieżącego zarządzania skonfiguruj przeglądy dostępu w Microsoft Entra (Identity Governance > Access reviews), aby okresowo weryfikować przypisania ról dla zewnętrznych użytkowników.
Zgodność
- Ramy: Inne
- Odniesienia: Nie dotyczy