Privileged role on Control Plane are managed by PIM only

De ce este important

Rolurile privilegiate în planul de control Azure acordă un control administrativ extins asupra tenantului dumneavoastră. Când aceste roluri sunt atribuite permanent, în afara Privileged Identity Management (PIM), ele introduc acces permanent inutil care ocolește politicile de activare just-in-time. Acest lucru crește riscul de mișcare laterală și escaladare a privilegiilor în cazul în care un cont este compromis.

Ce verifică Aether365

Această verificare confirmă dacă tenantul Microsoft 365 are atribuiri de roluri privilegiate care nu sunt gestionate prin Privileged Identity Management (PIM). Apare în tabloul de bord Aether365 sub verificările microsoft-365 și evidențiază atribuirile active care ar trebui transferate în PIM pentru acces limitat în timp și aprobat.

Cum se remediază

1. Conectați-vă la Azure portal și navigați la Azure Active Directory, apoi selectați Roles and administrators.
2. În secțiunea PIM, accesați Alerts și faceți clic pe alerta intitulată "Privileged role assignments outside of PIM".
3. Examinați lista de utilizatori afișată în detaliile alertei.
4. Pentru fiecare utilizator, stabiliți dacă mai are nevoie de rolul privilegiat. Dacă nu, eliminați atribuirea direct în Azure AD. Dacă are nevoie de rol, configurați atribuirea prin PIM, care necesită aprobare și activare limitată în timp.
5. Rezolvați toate recomandările menționate în rezultatele testului Maester, care oferă linkuri directe către pagina de alertă pentru identificare ușoară.

Conformitate

• Această verificare este mapată la categoria de framework "Other".
• Suportă cele mai bune practici pentru privilegii minime și gestionarea accesului privilegiat, conform recomandărilor CISA și ale bazelor de securitate Microsoft.

Resurse conexe

• Manage privileged roles in Azure AD with PIM
• PIM alerts in Azure AD

Microsoft references

• Pim how to configure security alerts