Enable Azure AD Identity Protection sign-in risk policies
Miért fontos ez
A Microsoft felügyeleti portálokhoz való korlátlan hozzáférés nem rendszergazdai felhasználók számára teszi elérhetővé az érzékeny bérlői konfigurációkat és a kiemelt jogosultságú műveleteket. Annak ellenére, hogy az alapértelmezett portálhozzáférés korlátozza, mit láthatnak a felhasználók, a széles körű bejelentkezési hozzáférés növeli a felügyeleti hibák, a CSP által okozott sebezhetőségek vagy a biztonsági incidens során történő horizontális mozgás kockázatát. A portálhozzáférés kijelölt felügyeleti szerepkörökre történő korlátozása alapvető védelmi intézkedés a szervezet legérzékenyebb adatainak védelmében.
Mit ellenőriz az Aether365
Az Aether365 ellenőrzi, hogy létezik-e olyan Conditional Access szabályzat, amely blokkolja a nem rendszergazdai felhasználók bejelentkezését a Microsoft Admin Portals alkalmazásokba. Ez az ellenőrzés az entra-id biztonsági ellenőrzések szakaszban jelenik meg az Aether365 irányítópultján.
Javítás menete
- Jelentkezzen be az Azure Portalra, és nyissa meg a Microsoft Entra ID-t.
- A bal oldali navigációs menüben válassza a Security, majd a Conditional Access lehetőséget.
- Kattintson a + New policy lehetőségre, és állítsa be a következő beállításokat:
- Name: adjon meg egy leíró nevet, például "Block Non-Admin Access to Admin Portals".
- Assignments > Users and groups: vegyen fel minden felhasználót, majd zárja ki a vészhelyzeti break-glass fiókokat és azokat a szolgáltatásfiókokat, amelyeknek jogos adminisztratív portálhozzáférésre van szükségük.
- Assignments > Cloud apps or actions: válassza ki a Microsoft Admin Portals elemet a felhőalkalmazások listájából.
- Access controls > Grant: válassza a Block access lehetőséget.
- Állítsa az Enable policy beállítást kezdetben Report-only értékre, tekintse át a hatást a bejelentkezési naplókban, majd kapcsolja át On állapotba.
Megfelelés
- CIS Microsoft 365 Foundations Benchmark 3.1.0 5.2.2.8 (E3 Level 1)
- Microsoft Entra ID biztonsági alapkonfiguráció