All security groups assigned to Conditional Access Policies should be protected by RMAU
Warum das wichtig ist
Conditional Access-Richtlinien stellen eine kritische Sicherheitsebene für Ihre Identitätssicherheit dar. Wird eine Sicherheitsgruppe, die einer Conditional Access-Richtlinie zugewiesen ist, kompromittiert, könnte ein Angreifer die Gruppenmitgliedschaft ändern, um Ihre Sicherheitskontrollen zu umgehen und Ihren Mandanten unbefugtem Zugriff auszusetzen.
Was Aether365 überprüft
Aether365 stellt sicher, dass jede Sicherheitsgruppe, die in einer Conditional Access-Richtlinie verwendet wird, entweder durch eine Restricted Management Administrative Unit (RMAU) geschützt oder als rollenzuweisbare Gruppe markiert ist. Diese Prüfung erscheint in Ihrem Aether365-Dashboard unter den microsoft-365-Prüfungen.
Behebung
- Melden Sie sich am Azure Portal an und navigieren Sie zu Microsoft Entra ID > Administrative units.
- Wählen Sie Add aus und erstellen Sie eine neue Restricted Management Administrative Unit mit einem eindeutigen Namen wie "Conditional Access Group Protection".
- Fügen Sie aus der Mitgliederliste alle Sicherheitsgruppen hinzu, die derzeit einer Conditional Access-Richtlinie zugewiesen sind.
- Weisen Sie der Einheit eine Administratorrolle (z. B. Gruppenadministrator) zu, um die Verwaltungsberechtigungen auf autorisierte Administratoren zu beschränken.
- Speichern Sie Ihre Änderungen und führen Sie den Aether365-Scan erneut aus, um die Einhaltung zu bestätigen.
Compliance
- Framework: Sonstige (benutzerdefinierte Sicherheitsbaseline)
Verwandte Ressourcen
- Restricted Management Administrative Units in Microsoft Entra ID
- Conditional Access: Securing security groups with Azure AD