No external user with permanent role assignment on Control Plane
Чому це важливо
Зовнішні користувачі з високопривілейованими ролями на рівні управління (control plane) становлять значний ризик для безпеки. Такі облікові записи можуть не підпадати під дію тих самих політик умовного доступу (Conditional Access), робочих процесів життєвого циклу (Lifecycle Workflows) або засобів захисту ідентифікації (Identity Protection), що й внутрішні користувачі, що робить їх потенційним вектором для несанкціонованого доступу або підвищення привілеїв. Регулярний перегляд і видалення постійних високопривілейованих ролей для зовнішніх користувачів допомагає підтримувати безпеку на основі принципу мінімальних привілеїв.
Що перевіряє Aether365
Ця перевірка підтверджує, що жодному зовнішньому користувачу не призначено високопривілейовану роль на рівні управління у вашому клієнті Microsoft 365. Результат відображається на інформаційній панелі Aether365 у категорії послуг "microsoft-365".
Як виправити
- Увійдіть до Microsoft Entra admin center.
- Перейдіть до Identity > Roles & admins > Roles & administrators.
- Визначте зовнішніх користувачів (імена учасників-користувачів із домену, що не належить до вашого основного клієнта), які мають високопривілейовані ролі (наприклад, Global Administrator, Privileged Role Administrator).
- Для кожного зовнішнього користувача перевірте обґрунтування призначення ролі. Оцініть, чи все ще потрібна ця роль та чи відповідає користувач вимогам вашої організації до політик умовного доступу (Conditional Access), робочих процесів життєвого циклу (Lifecycle Workflows) та захисту ідентифікації (Identity Protection).
- Якщо роль більше не потрібна, виберіть роль, потім зовнішнього користувача та натисніть Remove assignment.
- Для подальшого керування налаштуйте перевірки доступу в Microsoft Entra (Identity Governance > Access reviews), щоб періодично переглядати призначення ролей для зовнішніх користувачів.
Відповідність вимогам
- Структура: Інше
- Посилання: Не застосовується