At least one Conditional Access policy is configured to require MFA for Azure management
Miksi tämä on tärkeää
Azure-hallintaan sisältyy kriittisiä toimintoja, kuten tilausten määrittäminen, laskutuksen hallinta ja hakemistoasetusten muokkaaminen. Ilman ehdollista käyttöoikeuskäytäntöä (Conditional Access), joka edellyttää monivaiheista todennusta (MFA) näille toimenpiteille, hyökkääjä, joka on saanut haltuunsa järjestelmänvalvojan tilin, voi saada täyden hallinnan koko Azure-ympäristöön. MFA:n pakottaminen Azure-hallinnan käyttöön vähentää merkittävästi luvattomien hallinnollisten muutosten riskiä.
Mitä Aether365 tarkistaa
Tämä tarkistus varmistaa, että vähintään yksi ehdollisen käyttöoikeuden käytäntö (Conditional Access policy) on määritetty edellyttämään MFA:ta kaikille Azure-hallintatoimenpiteille. Tulos näkyy Aether365-hallintapaneelissa Microsoft 365 -tarkistusten osiossa.
Kuinka korjata
- Kirjaudu sisään Microsoft Entra admin centeriin ehdollisen käyttöoikeuden järjestelmänvalvojana (Conditional Access Administrator) tai yleisenä järjestelmänvalvojana (Global Administrator).
- Siirry kohtaan Protection > Conditional Access > Policies.
- Valitse New policy.
- Valitse kohdasta Assignments kohta Users and groups ja lisää All users tai tietty joukko järjestelmänvalvojan rooleja.
- Valitse kohdasta Cloud apps or actions kohta Select apps ja valitse Microsoft Azure Management.
- Määritä kohdassa Conditions tarvittavat ehdot (esimerkiksi sijainnit tai laitealustat).
- Valitse kohdassa Access controls kohta Grant ja valitse Require multifactor authentication.
- Ota käytäntö käyttöön ja napsauta Create.
Vaatimustenmukaisuus
Tämä tarkistus on linjassa seuraavien vaatimustenmukaisuuskehysten ja viittausten kanssa:
- Ei tällä hetkellä kartoitettu tiettyyn kehykseen (listattu nimellä Other). Harkitse kartoittamista alan vertailuarvoihin, kuten CIS Azure Foundations tai CISA Azure Secure Configuration Baseline, tarpeen mukaan.