Ensure That 'Subscription leaving Microsoft Entra tenant' and 'Subscription entering Microsoft Entra tenant' Is Set To 'Permit no one'
Perché è Importante
I proprietari delle sottoscrizioni possono spostare le sottoscrizioni Azure tra tenant di Microsoft Entra, operazione che comporta rischi di sicurezza significativi. Quando una sottoscrizione viene spostata in un altro tenant, potrebbe finire sotto controlli amministrativi diversi, esponendo potenzialmente risorse sensibili a utenti non autorizzati o malintenzionati. Limitare questa capacità a nessuno garantisce che solo il personale debitamente autorizzato possa apportare tali modifiche, prevenendo la perdita di dati o modifiche non approvate.
Cosa Controlla Aether365
Aether365 verifica che le impostazioni dei criteri delle sottoscrizioni per "Subscription leaving Microsoft Entra tenant" e "Subscription entering Microsoft Entra tenant" siano entrambe configurate su "Permit no one." Questo controllo appare nel dashboard di Aether365 nella categoria azure-subscription-security checks.
Come Risolvere
- Accedere al Azure Portal e aprire il menu del portale dall'angolo in alto a sinistra.
- Nel menu che appare, selezionare "General" e poi "Subscriptions" dalla pagina che si apre.
- Scegliere "Manage policies" dalle opzioni di gestione delle sottoscrizioni.
- Per entrambe le opzioni "Subscription leaving Microsoft Entra tenant" e "Subscription entering Microsoft Entra tenant," selezionare "Permit no one" dall'elenco a discesa.
- Fare clic su "Save" per applicare le modifiche.
Conformità
- CIS Microsoft Azure Foundations 3.0.0 2.25 (Level 2)
- CISA Zero Trust
- EIDSCA
Risorse Correlate
- Manage Azure subscription policy
- How Azure subscriptions are associated with Microsoft Entra ID
- Azure security benchmark: Identity management control IM-2