All security groups assigned to Conditional Access Policies should be protected by RMAU

Защо това е важно

Политиките за условен достъп (Conditional Access) са критичен слой на сигурността на вашата идентичност. Ако група за сигурност, назначена към политика за условен достъп, бъде компрометирана, нападателят може да промени членския ѝ състав, за да заобиколи вашите контроли за сигурност, което излага вашия tenant на неоторизиран достъп.

Какво проверява Aether365

Aether365 проверява дали всяка група за сигурност, използвана в политика за условен достъп, е защитена чрез административна единица с ограничено управление (Restricted Management Administrative Unit, RMAU) или е маркирана като група, която може да получава роли. Тази проверка се появява във вашето табло за управление на Aether365 под проверки за microsoft-365.

Как да коригирате

1. Влезте в Azure Portal и отидете на Microsoft Entra ID > Administrative units.
2. Изберете Add и създайте нова административна единица с ограничено управление с ясно име, например "Защита на групи за условен достъп".
3. От списъка с членове добавете всички групи за сигурност, които в момента са назначени към която и да е политика за условен достъп.
4. Назначете административна роля (като например Groups Administrator) към единицата, като ограничите разрешенията за управление само до оторизирани администратори.
5. Запазете промените си и стартирайте отново сканирането на Aether365, за да потвърдите съответствието.

Съответствие

• Рамка: Друго (персонализирана базова линия за сигурност)

Свързани ресурси

• Административни единици с ограничено управление в Microsoft Entra ID
• Условен достъп: Осигуряване на групи за сигурност с Azure AD

Microsoft references

• Admin units restricted management