All security groups assigned to Conditional Access Policies should be protected by RMAU
Pourquoi cela est important
Les politiques de Conditional Access constituent une couche essentielle de votre sécurité d'identité. Si un groupe de sécurité affecté à une politique de Conditional Access est compromis, un attaquant pourrait modifier l'appartenance du groupe pour contourner vos contrôles de sécurité, exposant ainsi votre locataire à des accès non autorisés.
Ce que vérifie Aether365
Aether365 vérifie que chaque groupe de sécurité utilisé dans une politique de Conditional Access est protégé soit par une unité administrative à gestion restreinte (RMAU), soit marqué comme groupe attribuable à un rôle. Cette vérification apparaît dans votre tableau de bord Aether365 sous la catégorie microsoft-365 checks.
Comment corriger
- Connectez-vous au Azure Portal et accédez à Microsoft Entra ID > Administrative units.
- Sélectionnez Add et créez une nouvelle unité administrative à gestion restreinte avec un nom clair, par exemple « Conditional Access Group Protection ».
- Depuis la liste des membres, ajoutez tous les groupes de sécurité actuellement affectés à une politique de Conditional Access.
- Attribuez un rôle administratif (tel que Groups Administrator) à cette unité, en limitant les autorisations de gestion aux seuls administrateurs autorisés.
- Enregistrez vos modifications et exécutez à nouveau l'analyse Aether365 pour confirmer la conformité.
Conformité
- Cadre : Autre (base de référence de sécurité personnalisée)
Ressources connexes
- Restricted Management Administrative Units in Microsoft Entra ID
- Conditional Access: Securing security groups with Azure AD