Ensure That 'Subscription leaving Microsoft Entra tenant' and 'Subscription entering Microsoft Entra tenant' Is Set To 'Permit no one'
Warum dies wichtig ist
Abonnementbesitzer können Azure-Abonnements zwischen Microsoft Entra-Mandanten verschieben, was erhebliche Sicherheitsrisiken birgt. Wenn ein Abonnement in einen anderen Mandanten verschoben wird, kann es unter andere Verwaltungskontrollen fallen und möglicherweise sensible Ressourcen für unbefugte Benutzer oder Angreifer freigeben. Indem diese Fähigkeit auf niemanden eingeschränkt wird, wird sichergestellt, dass nur ordnungsgemäß autorisierte Personen solche Änderungen vornehmen können, wodurch Datenverlust oder nicht genehmigte Modifikationen verhindert werden.
Was Aether365 prüft
Aether365 überprüft, ob die Abonnementrichtlinieneinstellungen für "Subscription leaving Microsoft Entra tenant" und "Subscription entering Microsoft Entra tenant" beide auf "Permit no one" konfiguriert sind. Diese Prüfung wird im Aether365-Dashboard unter der Kategorie azure-subscription-security angezeigt.
Behebung
- Melden Sie sich beim Azure Portal an und öffnen Sie das Portalmenü oben links.
- Wählen Sie im angezeigten Menü "General" und dann "Subscriptions" auf der geöffneten Seite.
- Wählen Sie "Manage policies" aus den Abonnementverwaltungsoptionen.
- Wählen Sie für sowohl "Subscription leaving Microsoft Entra tenant" als auch "Subscription entering Microsoft Entra tenant" aus der Dropdown-Liste "Permit no one".
- Klicken Sie auf "Save", um die Änderungen zu übernehmen.
Compliance
- CIS Microsoft Azure Foundations 3.0.0 2.25 (Level 2)
- CISA Zero Trust
- EIDSCA
Verwandte Ressourcen
- Manage Azure subscription policy
- How Azure subscriptions are associated with Microsoft Entra ID
- Azure security benchmark: Identity management control IM-2