Ensure that 'Users can create security groups in Azure portals, API or PowerShell' is set to 'No'
Proč na tom záleží
Pokud mohou všichni uživatelé ve vašem adresáři vytvářet skupiny zabezpečení, představuje to významné provozní riziko. Neoprávněně vytvořené skupiny mohou obcházet přístupové kontroly, komplikovat audity a vést k nespravovaným oprávněním, která by útočníci mohli zneužít. Omezením této možnosti pouze na správce zajistíte konzistentní správu a snížíte plochu možných útoků.
Co kontroluje Aether365
Tato kontrola ověřuje, zda je nastavení Microsoft Entra ID "Users can create security groups in Azure portals, API or PowerShell" nastaveno na "No". Tato kontrola se zobrazí na vašem dashboardu Aether365 v sekci kontrola entra-id.
Jak opravit
- Přihlaste se do Azure Portal a přejděte na Microsoft Entra ID.
- V části Spravovat vyberte Groups a poté General settings.
- Najděte nastavení "Users can create security groups in Azure portals, API or PowerShell" a nastavte jej na No.
- Klikněte na Save pro aplikování změny.
Compliance
- CIS Microsoft Azure Foundations 3.0.0 2.19 (Level 2)
Související zdroje
- Methods for assigning users and groups in Microsoft Entra ID
- Self-service group management in Microsoft Entra ID
- Azure security benchmark: Governance strategy GS-6
- Azure security benchmark: Privileged access PA-1
Microsoft references
- Methods for assigning users and groups
- Groups self service management
- Active directory accessmanagement self service group management
- Security controls v2 governance strategy
- Security controls v2 governance strategy
- Security controls v2 privileged access
- Security controls v2 privileged access
- Security controls v2 privileged access