Aether365

Български

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Български

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

Ensure Intune RBAC groups are protected by Restricted Management Administrative Units or Role Assignable groups

Защо това е важно

Привилегировани Intune роли като Intune Administrator или Policy Manager трябва да бъдат присвоявани само на групи, които са защитени от случайна промяна или изтриване. Без използването на Restricted Management Administrative Units (RMAUs) или групи, които могат да се присвояват на роли, нападател или потребител с прекалено големи права би могъл да промени членството в групата и да получи неоторизиран административен достъп до вашата Intune среда.

Какво проверява Aether365

Тази проверка потвърждава, че всички Intune RBAC групи са или в Administrative Unit с активирано ограничено управление, или са конфигурирани като групи, които могат да се присвояват на роли. Резултатът се показва в таблото Aether365 в раздела за проверки на сигурността на Intune.

Как да отстраните проблема

  1. Прегледайте текущите си Intune ролеви присвоявания и идентифицирайте кои групи се използват като групи, които могат да се присвояват на роли.
  2. За всяка група решете дали да я защитите, като я поставите в Restricted Management Administrative Unit, или като я маркирате като група, която може да се присвоява на роли.
  3. За да използвате RMAU: Създайте или изберете Administrative Unit в Azure AD, активирайте ограничено управление за тази единица и добавете Intune RBAC групата като член.
  4. За да използвате група, която може да се присвоява на роли: В Azure AD редактирайте свойствата на групата и задайте isAssignableToRole на true. Имайте предвид, че това е постоянно настройка и не може да бъде отменена.
  5. Премахнете всички директни присвоявания на потребители към Intune роли и присвоявайте роли само чрез тези защитени групи.

Съответствие

  • Рамка: Не е обвързана с конкретен стандарт за съответствие (Other)
  • Тази проверка е в съответствие с най-добрите практики на Microsoft за осигуряване на привилегирован достъп и намаляване на повърхността за атаки при ролево базирано администриране.

Свързани ресурси

Беше ли полезна тази страница?

© 2026 Aether365. All rights reserved.