Privileged role on Control Plane are managed by PIM only

Zakaj je to pomembno

Privilegirane vloge v Azure Control Plane omogočajo širok administrativni nadzor nad vašim najemnikom. Če so te vloge dodeljene trajno zunaj Privileged Identity Management (PIM), povzročajo nepotreben stalni dostop, ki obide politike aktivacije v pravem trenutku. To povečuje tveganje za stransko premikanje in dvigovanje privilegijev, če je račun ogrožen.

Kaj preverja Aether365

To preverjanje ugotavlja, ali ima vaš najemnik Microsoft 365 kakršne koli dodelitve privilegiranih vlog, ki niso upravljane prek Privileged Identity Management (PIM). Prikaže se na nadzorni plošči Aether365 pod preverjanji microsoft-365 in pokaže aktivne dodelitve, ki bi jih bilo treba prenesti v PIM za časovno omejen in odobren dostop.

Kako odpraviti težavo

1. Prijavite se v Azure Portal in pojdite na Azure Active Directory, nato izberite Roles and administrators.
2. V razdelku PIM pojdite na Alerts in kliknite opozorilo z naslovom "Privileged role assignments outside of PIM".
3. Preglejte seznam uporabnikov, prikazan v podrobnostih opozorila.
4. Za vsakega uporabnika ugotovite, ali še vedno potrebuje privilegirano vlogo. Če je ne, odstranite dodelitev neposredno v Azure AD. Če vlogo potrebuje, namesto tega konfigurirajte dodelitev prek PIM, ki zahteva odobritev in časovno omejeno aktivacijo.
5. Upoštevajte vsa priporočila, navedena v rezultatih testa Maester, ki vključujejo neposredne povezave do strani z opozorili za enostavno identifikacijo.

Skladnost

• To preverjanje je preslikano v kategorijo okvira "Other".
• Podpira najboljše prakse za najmanjše privilegije in upravljanje privilegiranega dostopa, kot jih priporočata CISA in Microsoftove varnostne osnove.

Povezani viri

• Upravljanje privilegiranih vlog v Azure AD s PIM
• Opozorila PIM v Azure AD

Microsoft references

• Pim how to configure security alerts