All security groups assigned to Conditional Access Policies should be protected by RMAU
Perché è Importante
I criteri di Conditional Access rappresentano un livello critico per la sicurezza delle identità. Se un gruppo di sicurezza assegnato a un criterio di Conditional Access viene compromesso, un utente malintenzionato potrebbe modificare l'appartenenza al gruppo per aggirare i controlli di sicurezza, esponendo il tenant ad accessi non autorizzati.
Cosa Controlla Aether365
Aether365 verifica che ogni gruppo di sicurezza utilizzato in un criterio di Conditional Access sia protetto da una Restricted Management Administrative Unit (RMAU) o sia contrassegnato come gruppo assegnabile a un ruolo. Questo controllo appare nel dashboard di Aether365 sotto i controlli di microsoft-365.
Come Risolvere
- Accedi al Azure Portal e vai su Microsoft Entra ID > Administrative units.
- Seleziona Add e crea una nuova Restricted Management Administrative Unit con un nome chiaro, ad esempio "Protezione Gruppi di Conditional Access."
- Dall'elenco dei membri, aggiungi tutti i gruppi di sicurezza attualmente assegnati a un criterio di Conditional Access.
- Assegna un ruolo amministrativo (come Groups Administrator) all'unità, limitando le autorizzazioni di gestione solo agli amministratori autorizzati.
- Salva le modifiche ed esegui nuovamente la scansione di Aether365 per confermare la conformità.
Conformità
- Framework: Altro (baseline di sicurezza personalizzata)
Risorse Correlate
- Restricted Management Administrative Units in Microsoft Entra ID
- Conditional Access: Securing security groups with Azure AD