Ensure sign-in to shared mailboxes is blocked
Por que es importante
Los buzones compartidos estan disenados para el acceso colaborativo al correo electronico, no para el inicio de sesion interactivo de usuarios. Si no se bloquea el inicio de sesion, un atacante que comprometa las credenciales de un buzon compartido puede acceder directamente a el, evitando los permisos delegados y la auditoria. Bloquear el inicio de sesion reduce la superficie de ataque al garantizar que los buzones compartidos no puedan utilizarse como cuentas maliciosas.
Que verifica Aether365
Esta verificacion confirma que la propiedad accountEnabled esta establecida en False para todos los buzones compartidos de su inquilino. Aparece en el panel de control de Aether365 dentro de la seccion de comprobaciones de seguridad de Microsoft 365.
Como solucionarlo
- Abra el Centro de administracion de Microsoft 365 y vaya a Teams y grupos > Buzones compartidos.
- Seleccione el buzon compartido que desea modificar.
- En Settings, asegurese de que Block sign-in este seleccionado (control deslizante en rojo).
- Haga clic en Save changes para aplicar la configuracion.
- Repita el proceso para todos los buzones compartidos de su organizacion. Como alternativa, use Exchange Online PowerShell:
Set-Mailbox -Identity "NombreBuzonCompartido" -AccountEnabled $false.
Cumplimiento normativo
- CIS: CIS.M365.1.2.2