All security groups assigned to Conditional Access Policies should be protected by RMAU
Dlaczego to jest ważne
Zasady dostępu warunkowego (Conditional Access) stanowią kluczową warstwę zabezpieczeń tożsamości. Jeśli grupa zabezpieczeń przypisana do zasad dostępu warunkowego zostanie naruszona, osoba atakująca może zmodyfikować członkostwo w grupie, aby ominąć kontrolę zabezpieczeń, narażając Twoją dzierżawę na nieautoryzowany dostęp.
Co sprawdza Aether365
Aether365 weryfikuje, czy każda grupa zabezpieczeń używana w zasadach dostępu warunkowego jest chroniona przez jednostkę administracyjną z ograniczonym zarządzaniem (Restricted Management Administrative Unit, RMAU) lub oznaczona jako grupa z przypisaną rolą. To sprawdzenie pojawia się na pulpicie nawigacyjnym Aether365 w sekcji kontroli microsoft-365.
Jak naprawić
- Zaloguj się do Azure Portal i przejdź do Microsoft Entra ID > Administrative units.
- Wybierz Add i utwórz nową jednostkę administracyjną z ograniczonym zarządzaniem, nadając jej jasną nazwę, np. "Conditional Access Group Protection".
- Z listy członków dodaj wszystkie grupy zabezpieczeń, które są aktualnie przypisane do dowolnych zasad dostępu warunkowego.
- Przypisz do jednostki rolę administracyjną (np. Groups Administrator), ograniczając uprawnienia zarządzania tylko do autoryzowanych administratorów.
- Zapisz zmiany i uruchom ponownie skanowanie Aether365, aby potwierdzić zgodność.
Zgodność z przepisami
- Framework: Inne (niestandardowa linia bazowa zabezpieczeń)
Powiązane zasoby
- Restricted Management Administrative Units in Microsoft Entra ID
- Conditional Access: Securing security groups with Azure AD