Restrict non-admin users from creating security groups.

Por Que Es Importante

Permitir que usuarios no administradores creen grupos de seguridad puede provocar una proliferación descontrolada de grupos, convenciones de nomenclatura inconsistentes y asignaciones de acceso excesivamente permisivas. Esto reduce su capacidad para auditar y controlar el acceso a recursos confidenciales. Al restringir la creación de grupos a los administradores, mantiene una gobernanza centralizada sobre su infraestructura de identidad.

Que Verifica Aether365

Aether365 verifica que los usuarios no administradores tengan restringida la creación de grupos de seguridad en Microsoft Entra ID. Esta comprobación aparece en el panel de control de Aether365 bajo la categoría de servicios entra-id y marca cualquier tenant donde los usuarios sin roles administrativos puedan crear grupos de seguridad.

Como Solucionarlo

1. Inicie sesión en Azure Portal como administrador global o administrador de roles con privilegios.
2. Navegue a Microsoft Entra ID y seleccione Groups en el menu izquierdo.
3. Seleccione la configuracion General en la hoja de Groups.
4. Localice la opcion Users can create security groups in Microsoft Entra portals. Establezcala en No.
5. Haga clic en Save para aplicar el cambio.
6. Si es necesario, use el cmdlet de PowerShell de Azure AD Set-AzureADDirectorySetting para aplicar esta restriccion en todos los metodos de creacion de grupos, incluso a traves de API y PowerShell.

Cumplimiento

• Otros: Esta comprobacion se alinea con las practicas recomendadas de seguridad para la gobernanza de identidades, pero no esta asignada a un marco de cumplimiento especifico en los datos de origen.
• Referencias: No se proporcionan referencias de cumplimiento especificas.

Recursos Relacionados

• Manage group creation in Microsoft Entra ID
• Restrict who can create groups in Microsoft Entra ID