Ensure Intune RBAC groups are protected by Restricted Management Administrative Units or Role Assignable groups
Miks see oluline on
Privilegeeritud Intune'i rollid, nagu Intune Administrator või Policy Manager, tuleks määrata ainult rühmadele, mis on kaitstud juhusliku muutmise või kustutamise eest. Ilma Restricted Management Administrative Units (RMAU) või Role Assignable gruppide kasutamiseta võib ründaja või liigsete õigustega kasutaja muuta rühmade liikmelisust, et saada volitamata administraatori juurdepääs teie Intune'i keskkonnale.
Mida Aether365 kontrollib
See kontroll veendub, et kõik Intune'i RBAC rühmad on kas administreeriva üksuse (Administrative Unit) sees, millel on piiratud haldus lubatud, või on konfigureeritud Role Assignable rühmadena. Tulemus kuvatakse Aether365 armatuurlaual jaotises Intune security checks.
Kuidas parandada
- Vaadake üle oma praegused Intune'i rollimäärangud ja tuvastage, milliseid rühmi kasutatakse rollimääratavate rühmadena.
- Iga rühma puhul otsustage, kas kaitsta seda paigutades selle piiratud haldusega administreerivasse üksusesse (Restricted Management Administrative Unit) või märkides selle Role Assignable rühmaks.
- RMAU kasutamiseks: Looge või valige administreeriv üksus (Administrative Unit) Azure AD-s, lubage sellel AU-l piiratud haldus ja lisage Intune'i RBAC rühm liikmena.
- Role Assignable rühma kasutamiseks: Azure AD-s redigeerige rühma Properties ja määrake
isAssignableToRoleväärtusekstrue. Pange tähele, et see on püsiv seade ja seda ei saa tagasi pöörata. - Eemaldage kõik otsesed kasutaja määrangud Intune'i rollidest ja määrake rolle ainult nende kaitstud rühmade kaudu.
Vastavus
- Raamistik: Ei ole seotud konkreetse vastavusstandardiga (Other)
- See kontroll vastab Microsofti parimatele tavadele privilegeeritud juurdepääsu turvamiseks ja rollipõhise halduse ründepinna vähendamiseks.
Seotud ressursid
- Restricted Management Administrative Units in Azure AD
- Create a role-assignable group in Azure AD
- Intune role-based access control (RBAC)