Ensure Intune RBAC groups are protected by Restricted Management Administrative Units or Role Assignable groups
Hvorfor Dette Er Viktig
Privilegerte Intune-roller som Intune Administrator eller Policy Manager bør kun tildeles brukere i grupper som er beskyttet mot utilsiktet endring eller sletting. Uten bruk av Restricted Management Administrative Units (RMAU-er) eller rolle-tildelbare grupper, kan en angriper eller en overprivilegert bruker endre gruppemedlemskap for å få uautorisert administrativ tilgang til Intune-miljøet ditt.
Hva Aether365 Sjekker
Denne kontrollen verifiserer at alle Intune RBAC-grupper enten er plassert i en Administrative Unit med begrenset forvaltning aktivert, eller konfigurert som rolle-tildelbare grupper. Resultatet vises i Aether365-dashbordet under seksjonen for Intune-sikkerhetskontroller.
Slik Fikser Du Det
- Gå gjennom dine nåværende Intune-rolletilordninger og identifiser hvilke grupper som brukes som rolle-tildelbare grupper.
- For hver gruppe avgjør du om den skal beskyttes ved å plassere den i en Restricted Management Administrative Unit, eller ved å merke den som en rolle-tildelbar gruppe.
- For å bruke en RMAU: Opprett eller velg en Administrative Unit i Azure AD, aktiver begrenset forvaltning på denne Administrative Unit-en, og legg til Intune RBAC-gruppen som medlem.
- For å bruke en rolle-tildelbar gruppe: I Azure AD redigerer du gruppens egenskaper og setter
isAssignableToRoletiltrue. Merk at dette er en permanent innstilling som ikke kan reverseres. - Fjern eventuelle direkte brukertilordninger fra Intune-roller, og tilordn roller kun gjennom disse beskyttede gruppene.
Samsvar
- Ramme: Ikke knyttet til en spesifikk samsvarsstandard (Annet)
- Denne kontrollen er i tråd med Microsofts beste praksis for å sikre privilegert tilgang og redusere angrepsoverflaten for rollebasert administrasjon.
Relaterte Ressurser
- Restricted Management Administrative Units in Azure AD
- Create a role-assignable group in Azure AD
- Intune role-based access control (RBAC)