All security groups assigned to Conditional Access Policies should be protected by RMAU

Hvorfor dette er vigtigt

Conditional Access-politikker udgør et kritisk lag i din identitetssikkerhed. Hvis en sikkerhedsgruppe, der er tildelt en Conditional Access-politik, kompromitteres, kan en angriber ændre gruppens medlemskab for at omgå dine sikkerhedskontroller og dermed udsætte din tenant for uautoriseret adgang.

Hvad Aether365 kontrollerer

Aether365 verificerer, at hver sikkerhedsgruppe, der bruges i en Conditional Access-politik, er beskyttet af enten en Restricted Management Administrative Unit (RMAU) eller markeret som en rolle-tildelbar gruppe. Denne kontrol vises i dit Aether365-dashboard under microsoft-365 checks.

Sådan rettes

1. Log ind på Azure Portal, og naviger til Microsoft Entra ID > Administrative units.
2. Vælg Add, og opret en ny Restricted Management Administrative Unit med et tydeligt navn, f.eks. "Conditional Access Group Protection."
3. Fra medlemslisten skal du tilføje alle sikkerhedsgrupper, der i øjeblikket er tildelt en Conditional Access-politik.
4. Tildel en administrativ rolle (f.eks. Groups Administrator) til enheden, så kun autoriserede administratorer har rettigheder til at administrere den.
5. Gem dine ændringer, og kør Aether365-scanningen igen for at bekræfte overholdelse.

Overholdelse

• Framework: Other (custom security baseline)

Relaterede ressourcer

• Restricted Management Administrative Units in Microsoft Entra ID
• Conditional Access: Securing security groups with Azure AD

Microsoft references

• Admin units restricted management