Privileged role on Control Plane are managed by PIM only

Por que Isso é Importante

Funções privilegiadas no plano de controle do Azure concedem ampla administração sobre seu locatário. Quando essas funções são atribuídas permanentemente fora do Privileged Identity Management (PIM), elas introduzem acesso permanente desnecessário que ignora políticas de ativação just-in-time. Isso aumenta o risco de movimento lateral e escalonamento de privilégios se uma conta for comprometida.

O Que a Aether365 Verifica

Esta verificação confirma se seu locatário do Microsoft 365 tem alguma atribuição de função privilegiada que não seja gerenciada pelo Privileged Identity Management (PIM). Ela aparece no painel do Aether365 sob as verificações do microsoft-365 e exibe atribuições ativas que devem ser migradas para o PIM para acesso com limite de tempo e aprovação.

Como Corrigir

1. Faça login no Azure Portal e navegue até Azure Active Directory, em seguida selecione Roles and administrators.
2. Na seção PIM, vá para Alerts e clique no alerta intitulado "Privileged role assignments outside of PIM".
3. Revise a lista de usuários exibida nos detalhes do alerta.
4. Para cada usuário, determine se ele ainda precisa da função privilegiada. Se não, remova a atribuição diretamente no Azure AD. Se precisar da função, configure a atribuição por meio do PIM, exigindo aprovação e ativação com tempo limitado.
5. Atenda a todas as recomendações anotadas nos resultados do teste Maester, que fornecem links diretos para a página de alerta para fácil identificação.

Conformidade

• Esta verificação está mapeada para a categoria de framework "Other".
• Ela suporta as melhores práticas de privilégio mínimo e gerenciamento de acesso privilegiado, conforme recomendado pela CISA e pelas linhas de base de segurança da Microsoft.

Recursos Relacionados

• Manage privileged roles in Azure AD with PIM
• PIM alerts in Azure AD

Microsoft references

• Pim how to configure security alerts