Ensure sign-in to shared mailboxes is blocked
Dlaczego to jest ważne
Skrzynki współdzielone są przeznaczone do wspólnego dostępu do poczty, a nie do interaktywnego logowania użytkowników. Jeśli logowanie nie jest zablokowane, osoba atakująca, która przejmie dane logowania do skrzynki współdzielonej, może uzyskać do niej bezpośredni dostęp, omijając delegowane uprawnienia i audyt. Zablokowanie logowania zmniejsza powierzchnię ataku, zapewniając, że skrzynki współdzielone nie mogą być wykorzystywane jako nieautoryzowane konta.
Co sprawdza Aether365
To sprawdzenie weryfikuje, czy właściwość accountEnabled jest ustawiona na False dla wszystkich skrzynek współdzielonych w Twojej dzierżawie. Jest ono widoczne na pulpicie nawigacyjnym Aether365 w sekcji kontroli zabezpieczeń Microsoft 365.
Jak naprawić
- Otwórz Microsoft 365 admin center i przejdź do Teams & groups > Shared mailboxes.
- Wybierz skrzynkę współdzieloną, którą chcesz zmodyfikować.
- W obszarze Settings upewnij się, że opcja Block sign-in jest zaznaczona (czerwony suwak).
- Kliknij Save changes, aby zastosować ustawienie.
- Powtórz dla wszystkich skrzynek współdzielonych w organizacji. Alternatywnie użyj Exchange Online PowerShell:
Set-Mailbox -Identity "SharedMailboxName" -AccountEnabled $false.
Zgodność z normami
- CIS: CIS.M365.1.2.2