Restrict non-admin users from creating security groups.
Warum das wichtig ist
Wenn Nicht-Administratoren Sicherheitsgruppen erstellen können, führt dies zu unkontrolliertem Gruppenwachstum, inkonsistenten Namenskonventionen und übermäßig großzügigen Zugriffsberechtigungen. Dies schränkt Ihre Fähigkeit ein, den Zugriff auf sensible Ressourcen zu prüfen und zu kontrollieren. Indem Sie die Gruppenerstellung auf Administratoren beschränken, behalten Sie die zentrale Governance über Ihre Identitätsinfrastruktur.
Was Aether365 prüft
Aether365 überprüft, ob Nicht-Administratoren daran gehindert werden, Sicherheitsgruppen in Microsoft Entra ID zu erstellen. Diese Prüfung wird in Ihrem Aether365-Dashboard unter der Kategorie „entra-id services“ angezeigt und kennzeichnet jeden Mandanten, in dem Benutzer ohne Administratorrollen Sicherheitsgruppen erstellen können.
Behebungsmethode
- Melden Sie sich als Globaler Administrator oder Administrator für privilegierte Rollen beim Azure Portal an.
- Navigieren Sie zu Microsoft Entra ID und wählen Sie im linken Menü Groups aus.
- Wählen Sie im Gruppenmenü die Option General aus.
- Suchen Sie die Einstellung Users can create security groups in Microsoft Entra portals. Setzen Sie diese auf No.
- Klicken Sie auf Save, um die Änderung zu übernehmen.
- Verwenden Sie bei Bedarf das Azure AD PowerShell-Cmdlet
Set-AzureADDirectorySetting, um diese Einschränkung für alle Gruppenerstellungsmethoden (einschließlich APIs und PowerShell) durchzusetzen.
Compliance
- Sonstiges: Diese Prüfung entspricht den Best Practices für die Identitätsgovernance, ist jedoch in den Quelldaten keinem spezifischen Compliance-Framework zugeordnet.
- Referenzen: Es wurden keine spezifischen Compliance-Referenzen angegeben.