Restrict non-admin users from creating security groups.
Pourquoi c'est important
Autoriser les utilisateurs non administrateurs à créer des groupes de sécurité peut entraîner une prolifération incontrôlée de groupes, des conventions de nommage incohérentes et des attributions d'accès trop permissives. Cela réduit votre capacité à auditer et à contrôler l'accès aux ressources sensibles. En limitant la création de groupes aux administrateurs, vous maintenez une gouvernance centralisée sur votre infrastructure d'identité.
Ce que vérifie Aether365
Aether365 vérifie que les utilisateurs non administrateurs ne peuvent pas créer de groupes de sécurité dans Microsoft Entra ID. Cette vérification apparaît dans votre tableau de bord Aether365 sous la catégorie des services entra-id et signale tout locataire où des utilisateurs sans rôles administratifs peuvent créer des groupes de sécurité.
Comment corriger
- Connectez-vous au Azure portal en tant qu'administrateur général ou administrateur de rôles privilégiés.
- Accédez à Microsoft Entra ID et sélectionnez Groups dans le menu de gauche.
- Sélectionnez les paramètres General dans le panneau Groups.
- Localisez le paramètre Users can create security groups in Microsoft Entra portals. Définissez-le sur No.
- Cliquez sur Save pour appliquer la modification.
- Si nécessaire, utilisez l'applet de commande PowerShell Azure AD
Set-AzureADDirectorySettingpour appliquer cette restriction à toutes les méthodes de création de groupes, y compris via les API et PowerShell.
Conformité
- Autre : Cette vérification s'aligne sur les bonnes pratiques de sécurité pour la gouvernance des identités, mais n'est pas associée à un cadre de conformité spécifique dans les données sources.
- Références : Aucune référence de conformité spécifique fournie.