Restrict non-admin users from creating security groups.

Miksi tämä on tärkeää

Jos muut kuin järjestelmänvalvojat voivat luoda suojausryhmiä, seurauksena voi olla hallitsematonta ryhmien lisääntymistä, epäjohdonmukaisia nimeämiskäytäntöjä ja liian sallivia käyttöoikeusmäärityksiä. Tämä heikentää kykyäsi valvoa ja hallita pääsyä arkaluonteisiin resursseihin. Rajoittamalla ryhmien luomisen järjestelmänvalvojille säilytät keskitetyn hallinnan identiteetti-infrastruktuurissasi.

Mitä Aether365 tarkistaa

Aether365 varmistaa, että muut kuin järjestelmänvalvojat eivät voi luoda suojausryhmiä Microsoft Entra ID:ssä. Tämä tarkistus näkyy Aether365-hallintapaneelissasi entra-id-palvelut-kategoriassa ja merkitsee ne vuokraajat, joissa käyttäjät ilman järjestelmänvalvojan rooleja voivat luoda suojausryhmiä.

Korjaaminen

1. Kirjaudu Azure-portaaliin Global Administrator- tai Privileged Role Administrator -roolilla.
2. Siirry kohtaan Microsoft Entra ID ja valitse Groups vasemmasta valikosta.
3. Valitse General-asetukset Groups-sivupaneelista.
4. Etsi asetus Users can create security groups in Microsoft Entra portals. Aseta se arvoon No.
5. Napsauta Save tallentaaksesi muutoksen.
6. Tarvittaessa käytä Azure AD PowerShell -cmdlet-komentoa Set-AzureADDirectorySetting pakottaaksesi tämän rajoituksen kaikissa ryhmien luontitavoissa, mukaan lukien sovellusliittymien ja PowerShellin kautta.

Vaatimustenmukaisuus

• Muu: Tämä tarkistus noudattaa identiteetin hallinnan tietoturvan parhaita käytäntöjä, mutta sitä ei ole yhdistetty tiettyyn vaatimustenmukaisuuskehykseen lähdetiedoissa.
• Viittaukset: Yksittäisiä vaatimustenmukaisuusviittauksia ei ole annettu.

Liittyvät resurssit

• Manage group creation in Microsoft Entra ID
• Restrict who can create groups in Microsoft Entra ID