Privileged role on Control Plane are managed by PIM only
Чому це важливо
Привілейовані ролі в Azure control plane надають широке адміністративне керування вашим орендарем. Коли ці ролі призначаються на постійній основі за межами Privileged Identity Management (PIM), вони створюють невиправданий постійний доступ, який обходить політики активації "точно вчасно". Це підвищує ризик горизонтального переміщення та ескалації привілеїв у разі компрометації облікового запису.
Що перевіряє Aether365
Ця перевірка з'ясовує, чи має ваш орендар Microsoft 365 будь-які призначення привілейованих ролей, які не керуються через Privileged Identity Management (PIM). Вона відображається на панелі інструментів Aether365 у розділі перевірок microsoft-365 та виявляє активні призначення, які слід перенести до PIM для забезпечення обмеженого за часом схваленого доступу.
Як виправити
- Увійдіть у Azure Portal та перейдіть до Azure Active Directory, потім виберіть Roles and administrators.
- У розділі PIM перейдіть до Alerts та натисніть на сповіщення під назвою "Privileged role assignments outside of PIM".
- Перегляньте список користувачів, показаний у деталях сповіщення.
- Для кожного користувача визначте, чи потребує він досі цю привілейовану роль. Якщо ні, видаліть призначення безпосередньо в Azure AD. Якщо роль необхідна, налаштуйте призначення через PIM, що вимагатиме схвалення та активації на обмежений час.
- Опрацюйте всі рекомендації, зазначені в результатах тесту Maester, які надають прямі посилання на сторінку сповіщення для легшої ідентифікації.
Відповідність вимогам
- Ця перевірка відповідає категорії "Other" у рамках.
- Вона підтримує найкращі практики найменших привілеїв та управління привілейованим доступом, що рекомендовані CISA та базовими рівнями безпеки Microsoft.