Privileged role on Control Plane are managed by PIM only
Dlaczego to ma znaczenie
Role uprzywilejowane w płaszczyźnie sterowania Azure zapewniają szeroką kontrolę administracyjną nadTwoją dzierżawą. Gdy role te są przypisane na stałe poza Privileged Identity Management (PIM), wprowadzają niepotrzebny stały dostęp, który omija zasady aktywacji just-in-time. Zwiększa to ryzyko ruchu bocznego i eskalacji uprawnień w przypadku naruszenia konta.
Co sprawdza Aether365
To sprawdzenie weryfikuje, czy Twoja dzierżawa Microsoft 365 zawiera jakiekolwiek przypisania ról uprzywilejowanych, które nie są zarządzane przez Privileged Identity Management (PIM). Pojawia się na pulpicie nawigacyjnym Aether365 w ramach kontroli microsoft-365 i wykrywa aktywne przypisania, które należy przenieść do PIM w celu dostępu ograniczonego czasowo i wymagającego zatwierdzenia.
Jak naprawić
- Zaloguj się do Azure Portal i przejdź do Azure Active Directory, a następnie wybierz opcję Roles and administrators.
- W sekcji PIM przejdź do Alerts i kliknij alert zatytułowany "Privileged role assignments outside of PIM".
- Przejrzyj listę użytkowników wyświetloną w szczegółach alertu.
- Dla każdego użytkownika określ, czy nadal potrzebuje on roli uprzywilejowanej. Jeśli nie, usuń przypisanie bezpośrednio w Azure AD. Jeśli rola jest potrzebna, skonfiguruj przypisanie przez PIM, wymagające zatwierdzenia i aktywacji czasowej.
- Postępuj zgodnie ze wszystkimi zaleceniami wskazanymi w wynikach testu Maester, które zawierają bezpośrednie linki do strony alertu w celu łatwej identyfikacji.
Zgodność
- To sprawdzenie jest odwzorowane na kategorię "Other" w ramach struktury.
- Wspiera najlepsze praktyki minimalnych uprawnień i zarządzania dostępem uprzywilejowanym, zgodnie z zaleceniami CISA oraz liniami bazowymi bezpieczeństwa Microsoft.