Aether365

Polski

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Polski

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

Ensure Intune RBAC groups are protected by Restricted Management Administrative Units or Role Assignable groups

Dlaczego to ma znaczenie

Przywilejowane role w Intune, takie jak Intune Administrator lub Policy Manager, powinny być przypisane tylko do grup chronionych przed przypadkową modyfikacją lub usunięciem. Bez użycia Restricted Management Administrative Units (RMAU) lub grup z możliwością przypisania roli, atakujący lub użytkownik z nadmiernymi uprawnieniami może zmienić członkostwo w grupie, aby uzyskać nieautoryzowany dostęp administracyjny do środowiska Intune.

Co sprawdza Aether365

Ta kontrola weryfikuje, czy wszystkie grupy RBAC w Intune znajdują się w jednostce administracyjnej z włączonym ograniczonym zarządzaniem lub są skonfigurowane jako grupy z możliwością przypisania roli. Wynik pojawia się na pulpicie nawigacyjnym Aether365 w sekcji kontroli bezpieczeństwa Intune.

Jak naprawić

  1. Przejrzyj bieżące przypisania ról w Intune i zidentyfikuj, które grupy są używane jako grupy z możliwością przypisania roli.
  2. Dla każdej grupy zdecyduj, czy zabezpieczyć ją poprzez umieszczenie w Restricted Management Administrative Unit, czy oznaczenie jako grupy z możliwością przypisania roli.
  3. Aby użyć RMAU: Utwórz lub wybierz jednostkę administracyjną w Azure AD, włącz ograniczone zarządzanie dla tej jednostki i dodaj grupę RBAC Intune jako członka.
  4. Aby użyć grupy z możliwością przypisania roli: W Azure AD edytuj właściwości grupy i ustaw isAssignableToRole na true. Należy pamiętać, że jest to ustawienie trwałe i nie można go cofnąć.
  5. Usuń bezpośrednie przypisania użytkowników do ról w Intune i przypisuj role wyłącznie za pośrednictwem tych zabezpieczonych grup.

Zgodność

  • Ramy: Niepowiązane z konkretnym standardem zgodności (Inne)
  • Ta kontrola jest zgodna z najlepszymi praktykami Microsoft dotyczącymi zabezpieczania dostępu uprzywilejowanego i zmniejszania powierzchni ataku dla administracji opartej na rolach.

Powiązane zasoby

Czy ta strona była pomocna?

© 2026 Aether365. All rights reserved.