Restrict non-admin users from creating security groups.

Proč na tom záleží

Povolení vytváření bezpečnostních skupin uživatelům bez oprávnění správce může vést k nekontrolovatelnému množství skupin, nejednotným konvencím pojmenovávání a příliš benevolentnímu přidělování přístupů. Tím se snižuje vaše schopnost auditovat a řídit přístup k citlivým prostředkům. Omezením vytváření skupin pouze na správce si udržujete centralizovanou správu nad svou identitní infrastrukturou.

Co Aether365 kontroluje

Aether365 ověřuje, zda je uživatelům bez oprávnění správce zakázáno vytvářet bezpečnostní skupiny v Microsoft Entra ID. Tato kontrola se zobrazí na vašem dashboardu Aether365 v kategorii služeb entra-id a označí všechny tenanty, kde uživatelé bez administrativních rolí mohou vytvářet bezpečnostní skupiny.

Jak to opravit

1. Přihlaste se do Azure Portal jako Globální správce nebo Správce privilegovaných rolí.
2. Přejděte do Microsoft Entra ID a v levém menu vyberte Groups.
3. V okně Groups vyberte nastavení General.
4. Najděte nastavení Users can create security groups in Microsoft Entra portals. Nastavte ho na No.
5. Klikněte na Save pro uložení změny.
6. V případě potřeby použijte rutinu PowerShell pro Azure AD Set-AzureADDirectorySetting k vynucení tohoto omezení pro všechny způsoby vytváření skupin, včetně přes API a PowerShell.

Compliance

• Ostatní: Tato kontrola je v souladu s bezpečnostními osvědčenými postupy pro správu identit, ale není ve zdrojových datech přiřazena ke konkrétnímu rámci shody.
• Reference: Nejsou uvedeny žádné konkrétní referenční materiály ke shodě.

Související zdroje

• Správa vytváření skupin v Microsoft Entra ID
• Omezení vytváření skupin v Microsoft Entra ID