azure-active-directory - Azure AD 访问评论

如果用户超过指定天数而未激活角色，您可以为 azure ad PIM 配置安全警报。触发警报时，它会显示在 Privileged Identity Management 仪表板上。选择警报以查看列出触发警报的用户或角色的报告。我们在安全警报中有三个严重级别。

高：由于违反政策而需要立即采取措施。

中：不需要立即采取行动，但表示可能违反政策。

低：不需要立即采取行动，但建议进行更可取的政策改变。

我们有一个名为管理员未使用其特权角色的默认规则，您可以配置此警报以获取列表。

为什么我会收到此警报？

被分配了他们不需要的特权角色的用户增加了攻击的机会。

触发器： 如果用户超过指定的天数而没有激活角色，则触发。

天数：此设置指定用户在不激活角色的情况下可以执行的最大天数（从 0 到 100）。

预防 仅将特权角色分配给具有业务理由的用户。安排定期访问审查以验证用户是否仍需要其访问权限。

怎么修？查看列表中的用户并将他们从不需要的特权角色中删除。

PIM 中 Azure AD 角色的安全警报 - Azure AD | 微软文档

您还可以检索使用 power shell 命令或脚本激活的组成员信息和用户

下面是一些使用 power shell 命令的参考资料

https://docs.microsoft.com/en-us/azure/active-directory/privileged-identity-management/powershell-for-azure-ad-roles

https://practical365.com/powershell-script-to-report-rbac-role-group-membership/