Aether365

Español

English
Deutsch
Français
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Español

English
Deutsch
Français
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

Ensure Intune RBAC groups are protected by Restricted Management Administrative Units or Role Assignable groups

Por qué es importante

Los roles de Intune con privilegios, como Intune Administrator o Policy Manager, solo deben asignarse a usuarios en grupos protegidos contra modificaciones o eliminaciones accidentales. Si no se utilizan Restricted Management Administrative Units (RMAU) o grupos asignables a roles, un atacante o un usuario con privilegios excesivos podría alterar la pertenencia a grupos para obtener acceso administrativo no autorizado a su entorno de Intune.

Qué verifica Aether365

Esta verificación confirma que todos los grupos de RBAC de Intune estén en una Administrative Unit con gestión restringida habilitada o estén configurados como grupos asignables a roles. El resultado aparece en el panel de Aether365 en la sección de comprobaciones de seguridad de Intune.

Cómo solucionarlo

  1. Revise las asignaciones de roles actuales de Intune e identifique qué grupos se utilizan como grupos asignables a roles.
  2. Para cada grupo, decida si desea protegerlo colocándolo en una Restricted Management Administrative Unit o marcándolo como grupo asignable a roles.
  3. Para usar un RMAU: Cree o seleccione una Administrative Unit en Azure AD, habilite la gestión restringida en esa AU y agregue el grupo de RBAC de Intune como miembro.
  4. Para usar un grupo asignable a roles: En Azure AD, edite las propiedades del grupo y establezca isAssignableToRole en true. Tenga en cuenta que esta es una configuración permanente y no se puede revertir.
  5. Elimine cualquier asignación directa de usuarios a roles de Intune y asigne roles solo a través de estos grupos protegidos.

Cumplimiento

  • Marco normativo: No vinculado a un estándar de cumplimiento específico (Otro)
  • Esta verificación se alinea con las prácticas recomendadas de Microsoft para proteger el acceso con privilegios y reducir la superficie de ataque en la administración basada en roles.

Recursos relacionados

¿Te resultó útil esta página?

© 2026 Aether365. All rights reserved.