Ensure Intune RBAC groups are protected by Restricted Management Administrative Units or Role Assignable groups
Proč na tom záleží
Privilegované role Intune, jako je Intune Administrator nebo Policy Manager, by měly být přiřazovány pouze uživatelům ve skupinách, které jsou chráněny před náhodnou změnou nebo smazáním. Bez použití Restricted Management Administrative Units (RMAU) nebo skupin s možností přiřazení rolí by útočník nebo uživatel s nadměrnými oprávněními mohl změnit členství ve skupině a získat neoprávněný přístup pro správu vašeho prostředí Intune.
Co kontroluje Aether365
Tato kontrola ověřuje, že všechny skupiny Intune RBAC jsou buď v administrativní jednotce s povoleným omezeným řízením, nebo jsou nakonfigurovány jako skupiny s možností přiřazení rolí. Výsledek se zobrazí na řídicím panelu Aether365 v sekci kontrol zabezpečení Intune.
Jak to opravit
- Projděte si aktuální přiřazení rolí Intune a identifikujte, které skupiny se používají jako skupiny s možností přiřazení rolí.
- U každé skupiny se rozhodněte, zda ji ochráníte umístěním do administrativní jednotky s omezeným řízením nebo označením jako skupiny s možností přiřazení rolí.
- Chcete-li použít RMAU: Vytvořte nebo vyberte administrativní jednotku v Azure AD, povolte na této jednotce omezené řízení a přidejte skupinu Intune RBAC jako člena.
- Chcete-li použít skupinu s možností přiřazení rolí: V Azure AD upravte vlastnosti skupiny a nastavte
isAssignableToRolenatrue. Toto nastavení je trvalé a nelze jej vrátit zpět. - Odstraňte všechna přímá přiřazení uživatelů k rolím Intune a role přiřazujte pouze prostřednictvím těchto chráněných skupin.
Shoda s předpisy
- Rámec: Není vázán na konkrétní standard shody (Jiné)
- Tato kontrola je v souladu s osvědčenými postupy Microsoftu pro zabezpečení privilegovaného přístupu a snížení plochy pro útoky při správě na základě rolí.
Související zdroje
- Restricted Management Administrative Units v Azure AD
- Vytvoření skupiny s možností přiřazení rolí v Azure AD
- Řízení přístupu na základě rolí (RBAC) v Intune