Privileged role on Control Plane are managed by PIM only

Prečo je to dôležité

Privilegované roly v rovine riadenia služby Azure udeľujú rozsiahle administratívne oprávnenia nad vaším tenantom. Keď sú tieto roly priradené natrvalo mimo nástroja Privileged Identity Management (PIM), vytvára to zbytočný trvalý prístup, ktorý obchádza pravidlá aktivácie na vyžiadanie. To zvyšuje riziko laterálneho pohybu a eskalácie oprávnení v prípade kompromitácie účtu.

Čo kontroluje Aether365

Táto kontrola overuje, či váš tenant Microsoft 365 neobsahuje priradenia privilegovaných rolí, ktoré nie sú spravované prostredníctvom nástroja Privileged Identity Management (PIM). Zobrazuje sa na paneli Aether365 v rámci kontrol microsoft-365 a odhaľuje aktívne priradenia, ktoré by sa mali previesť do PIM na časovo obmedzený a schválený prístup.

Ako to opraviť

1. Prihláste sa do portálu Azure Portal a prejdite do časti Azure Active Directory, potom vyberte Roles and administrators.
2. V sekcii PIM prejdite na Alerts a kliknite na upozornenie s názvom "Privileged role assignments outside of PIM".
3. Skontrolujte zoznam používateľov zobrazených v podrobnostiach upozornenia.
4. Pri každom používateľovi zvážte, či stále potrebuje privilegovanú rolu. Ak nie, odstráňte priradenie priamo v službe Azure AD. Ak rolu skutočne potrebuje, nakonfigurujte priradenie cez PIM, ktoré vyžaduje schválenie a časovo obmedzenú aktiváciu.
5. Riešte všetky odporúčania uvedené vo výsledkoch testov Maester, ktoré poskytujú priame prepojenia na stránku upozornení pre jednoduchú identifikáciu.

Súlad s predpismi

• Táto kontrola je mapovaná do kategórie rámca "Other".
• Podporuje osvedčené postupy pre minimálne oprávnenia a správu privilegovaného prístupu podľa odporúčaní CISA a bezpečnostných základných línií spoločnosti Microsoft.

Súvisiace zdroje

• Správa privilegovaných rolí v Azure AD pomocou PIM
• Upozornenia PIM v Azure AD

Microsoft references

• Pim how to configure security alerts