All security groups assigned to Conditional Access Policies should be protected by RMAU
Por que es importante
Las politicas de Conditional Access son una capa critica en la seguridad de su identidad. Si un grupo de seguridad asignado a una politica de Conditional Access se ve comprometido, un atacante podria modificar la membresia del grupo para eludir sus controles de seguridad, exponiendo su inquilino a accesos no autorizados.
Que verifica Aether365
Aether365 verifica que cada grupo de seguridad utilizado en una politica de Conditional Access este protegido por una Restricted Management Administrative Unit (RMAU) o marcado como grupo asignable a roles. Esta comprobacion aparece en el panel de Aether365 en la seccion de comprobaciones de microsoft-365.
Como solucionarlo
- Inicie sesion en el Azure Portal y navegue a Microsoft Entra ID > Administrative units.
- Seleccione Add y cree una nueva Restricted Management Administrative Unit con un nombre claro, como "Proteccion de grupos de Conditional Access."
- Desde la lista de miembros, agregue todos los grupos de seguridad que actualmente esten asignados a cualquier politica de Conditional Access.
- Asigne un rol administrativo (como Groups Administrator) a la unidad, limitando los permisos de administracion solo a los administradores autorizados.
- Guarde los cambios y ejecute nuevamente el analisis de Aether365 para confirmar el cumplimiento.
Cumplimiento
- Marco de referencia: Otro (linea base de seguridad personalizada)
Recursos relacionados
- Restricted Management Administrative Units en Microsoft Entra ID
- Conditional Access: Proteger grupos de seguridad con Azure AD