Restrict non-admin users from creating security groups.
Dlaczego to jest ważne
Zezwalanie użytkownikom niebędącym administratorami na tworzenie grup zabezpieczeń może prowadzić do niekontrolowanego rozrostu grup, niespójnych konwencji nazewnictwa oraz nadmiernie liberalnych przypisań dostępu. Zmniejsza to możliwość audytu i kontroli dostępu do wrażliwych zasobów. Ograniczając tworzenie grup do administratorów, utrzymujesz scentralizowane zarządzanie infrastrukturą tożsamości.
Co sprawdza Aether365
Aether365 weryfikuje, czy użytkownicy niebędący administratorami mają ograniczone możliwości tworzenia grup zabezpieczeń w Microsoft Entra ID. To sprawdzenie pojawia się na pulpicie nawigacyjnym Aether365 w kategorii usług entra-id i oznacza każdą dzierżawę, w której użytkownicy bez ról administracyjnych mogą tworzyć grupy zabezpieczeń.
Jak naprawić
- Zaloguj się do Azure Portal jako Administrator globalny lub Administrator ról uprzywilejowanych.
- Przejdź do Microsoft Entra ID i wybierz Groups z menu po lewej stronie.
- Wybierz ustawienia General z bloku Groups.
- Znajdź ustawienie Users can create security groups in Microsoft Entra portals. Ustaw je na No.
- Kliknij Save, aby zastosować zmianę.
- W razie potrzeby użyj polecenia cmdlet Azure AD PowerShell
Set-AzureADDirectorySetting, aby wymusić to ograniczenie dla wszystkich metod tworzenia grup, w tym za pośrednictwem API i PowerShell.
Zgodność
- Inne: To sprawdzenie jest zgodne z najlepszymi praktykami bezpieczeństwa w zakresie zarządzania tożsamościami, ale nie jest przypisane do konkretnych ram zgodności w danych źródłowych.
- Odniesienia: Nie podano konkretnych odniesień dotyczących zgodności.