Ensure sign-in to shared mailboxes is blocked
Proč na tom záleží
Sdílené poštovní schránky jsou navrženy pro delegovaný přístup, nikoli pro přímé přihlášení. Pokud je u účtu sdílené poštovní schránky povoleno přihlašování, útočník by mohl potenciálně zneužít systémově generované heslo, získat přímý přístup a odesílat e-maily z této schránky bez jedinečné identity. Blokování přihlášení tomuto riziku zabraňuje a zaručuje, že ke schránce lze přistupovat pouze prostřednictvím delegovaných oprávnění od autorizovaných uživatelů.
Co Aether365 kontroluje
Aether365 ověřuje, že je přihlášení zablokováno pro všechny uživatelské účty spojené se sdílenými poštovními schránkami. Tato kontrola se zobrazuje v řídicím panelu Aether365 v části Entra ID checks jako kontrola M365.2197.
Jak to opravit
- Přihlaste se do Microsoft 365 admin center na adrese admin.microsoft.com.
- Přejděte do sekce Teams and groups a poté Shared mailboxes.
- Vyberte sdílenou poštovní schránku, kterou chcete upravit.
- V části Display name vyberte možnost Block sign-in.
- Po výzvě změnu potvrďte.
Pro hromadnou nápravu pomocí PowerShellu použijte rutinu Get-Mailbox k identifikaci sdílených poštovních schránek a poté nastavte vlastnost UserPrincipalName pro zablokování přihlášení u každého účtu.
Shoda s předpisy
- CIS Microsoft Azure Foundations 3.1.0 1.2.2 (E3 Level 1)
- EIDSCA
Související zdroje
- About shared mailboxes
- Block sign-in for the shared mailbox account
- Block user accounts with Microsoft 365 PowerShell