All security groups assigned to Conditional Access Policies should be protected by RMAU
Kāpēc tas ir svarīgi
Conditional Access politikas ir kritisks jūsu identitātes drošības slānis. Ja drošības grupa, kas piešķirta Conditional Access politikai, tiek apdraudēta, uzbrucējs var mainīt grupas dalībniekus, lai apietu jūsu drošības kontroles, pakļaujot jūsu tenantu nesankcionētai piekļuvei.
Ko pārbauda Aether365
Aether365 pārbauda, vai katra drošības grupa, kas izmantota Conditional Access politikā, ir aizsargāta ar Restricted Management Administrative Unit (RMAU) vai atzīmēta kā "role-assignable group". Šī pārbaude ir redzama jūsu Aether365 informācijas panelī sadaļā "microsoft-365" pārbaudes.
Kā to labot
- Pierakstieties Azure Portal un dodieties uz Microsoft Entra ID > Administrative units.
- Izvēlieties Add un izveidojiet jaunu Restricted Management Administrative Unit ar skaidru nosaukumu, piemēram, "Conditional Access Group Protection."
- No dalībnieku saraksta pievienojiet visas drošības grupas, kas pašlaik ir piešķirtas jebkurai Conditional Access politikai.
- Piešķiriet administratīvu lomu (piemēram, Groups Administrator) šai vienībai, ierobežojot pārvaldības tiesības tikai autorizētiem administratoriem.
- Saglabājiet izmaiņas un palaidiet Aether365 skenēšanu vēlreiz, lai apstiprinātu atbilstību.
Atbilstība
- Ietvars: Cits (pielāgota drošības bāzlīnija)
Saistītie resursi
- Restricted Management Administrative Units in Microsoft Entra ID
- Conditional Access: Securing security groups with Azure AD