Ensure that 'Restrict non-admin users from creating tenants' is set to 'Yes'
Dlaczego to jest ważne
Zezwalanie dowolnemu użytkownikowi na tworzenie nowych dzierżaw zwiększa ryzyko wystąpienia niezarządzanych lub nieautoryzowanych środowisk Microsoft Entra ID. Takie niekontrolowane dzierżawy mogą omijać mechanizmy bezpieczeństwa, prowadzić do rozprzestrzeniania się danych oraz utrudniać administratorom utrzymanie spójnego nadzoru w całej organizacji. Ograniczenie tworzenia dzierżaw wyłącznie do administratorów gwarantuje, że tylko upoważnione osoby będą mogły uruchamiać nowe katalogi, zachowując scentralizowaną kontrolę.
Co sprawdza Aether365
Ta kontrola weryfikuje, czy ustawienie "Restrict non-admin users from creating tenants" (Ogranicz tworzenie dzierżaw przez użytkowników niebędących administratorami) w Microsoft Entra ID jest skonfigurowane jako "Yes" (Tak). Jest ona widoczna na pulpicie nawigacyjnym Aether365 w kategorii kontroli bezpieczeństwa entra-id.
Jak naprawić
Aby ograniczyć tworzenie dzierżaw do administratorów, wykonaj następujące kroki:
- Zaloguj się do Azure Portal jako Administrator globalny.
- Przejdź do Microsoft Entra ID i wybierz "User settings" (Ustawienia użytkownika).
- W sekcji "External users" (Użytkownicy zewnętrzni) znajdź opcję "Restrict non-admin users from creating tenants" (Ogranicz tworzenie dzierżaw przez użytkowników niebędących administratorami).
- Ustaw tę opcję na "Yes" (Tak), aby zablokować użytkownikom niebędącym administratorami możliwość tworzenia nowych dzierżaw.
- Kliknij "Save" (Zapisz), aby zastosować zmianę.
Należy pamiętać, że to ustawienie nie wpływa na użytkowników, którym już przypisano rolę "Tenant Creator" (Twórca dzierżawy). Tę kwestię należy przejrzeć oddzielnie.
Zgodność
- CIS Microsoft Azure Foundations 3.0.0 Control 2.3
- EIDSCA v1.0
- Najlepsze praktyki bezpieczeństwa Microsoft 365
Powiązane zasoby
- Users default permissions in Microsoft Entra ID
- Tenant Creator role in Microsoft Entra ID
- Disable users from creating new Azure AD tenants