Ensure Intune RBAC groups are protected by Restricted Management Administrative Units or Role Assignable groups
Miksi Tämä on Tärkeää
Erioikeutettuja Intune-rooleja, kuten Intune Administrator tai Policy Manager, tulisi määrittää vain sellaisiin ryhmiin, jotka on suojattu tahattomalta muokkaukselta tai poistolta. Ilman Restricted Management Administrative Units (RMAU) -yksiköiden tai Role Assignable -ryhmien käyttöä hyökkääjä tai liikaa oikeuksia omaava käyttäjä saattaa muuttaa ryhmän jäsenyyksiä saadakseen luvattoman hallintaoikeuden Intune-ympäristöösi.
Mitä Aether365 Tarkistaa
Tämä tarkistus varmistaa, että kaikki Intune RBAC -ryhmät ovat joko hallintayksikössä, jossa on rajoitettu hallinta käytössä, tai ne on määritetty Role Assignable -ryhmiksi. Tulos näkyy Aether365-hallintapaneelissa Intune-tietoturvatarkistusten osiossa.
Korjaustoimenpiteet
- Tarkista nykyiset Intune-roolien määritykset ja tunnista, mitä ryhmiä käytetään roolikohtaisina ryhminä.
- Päätä kunkin ryhmän kohdalla, suojataanko se sijoittamalla se Restricted Management Administrative Unit -yksikköön vai merkitsemällä se Role Assignable -ryhmäksi.
- Jos haluat käyttää RMAU:ta: Luo tai valitse hallintayksikkö Azure AD:ssa, ota rajoitettu hallinta käyttöön kyseisessä AU:ssa ja lisää Intune RBAC -ryhmä jäseneksi.
- Jos haluat käyttää Role Assignable -ryhmää: Muokkaa ryhmän ominaisuuksia Azure AD:ssa ja aseta
isAssignableToRolearvoontrue. Huomaa, että tämä on pysyvä asetus eikä sitä voi peruuttaa. - Poista kaikki suorat käyttäjäkohtaiset määritykset Intune-rooleista ja määritä roolit vain näiden suojattujen ryhmien kautta.
Vaatimustenmukaisuus
- Viitekehys: Ei sidottu tiettyyn vaatimustenmukaisuusstandardiin (Muu)
- Tämä tarkistus noudattaa Microsoftin parhaita käytäntöjä erioikeutetun käytön suojaamiseksi ja roolipohjaisen hallinnon hyökkäyspinta-alan vähentämiseksi.
Liittyvät Resurssit
- Restricted Management Administrative Units in Azure AD
- Create a role-assignable group in Azure AD
- Intune role-based access control (RBAC)