Ensure That 'Subscription leaving Microsoft Entra tenant' and 'Subscription entering Microsoft Entra tenant' Is Set To 'Permit no one'
De ce este important
Proprietarii de abonamente pot muta abonamente Azure între entități găzduite Microsoft Entra, ceea ce implică riscuri semnificative de securitate. Când un abonament este transferat către o altă entitate găzduită, acesta poate intra sub control administrativ diferit, expunând potențial resurse sensibile utilizatorilor neautorizați sau persoanelor rău intenționate. Restricționarea acestei capacități la nimeni asigură că doar personalul autorizat corespunzător poate face astfel de modificări, prevenind pierderea de date sau modificări neaprobate.
Ce verifică Aether365
Aether365 verifică dacă setările politicii de abonament pentru "Subscription leaving Microsoft Entra tenant" și "Subscription entering Microsoft Entra tenant" sunt configurate la "Permit no one." Această verificare apare în tabloul de bord Aether365 sub categoria de verificări azure-subscription-security.
Cum se remediază
- Conectați-vă la Azure Portal și deschideți meniul portalului din colțul stânga sus.
- În meniul care apare, selectați "General," apoi "Subscriptions" din pagina care se deschide.
- Alegeți "Manage policies" din opțiunile de gestionare a abonamentelor.
- Pentru ambele opțiuni "Subscription leaving Microsoft Entra tenant" și "Subscription entering Microsoft Entra tenant," selectați "Permit no one" din lista derulantă.
- Faceți clic pe "Save" pentru a aplica modificările.
Conformitate
- CIS Microsoft Azure Foundations 3.0.0 2.25 (Level 2)
- CISA Zero Trust
- EIDSCA
Resurse conexe
- Manage Azure subscription policy
- How Azure subscriptions are associated with Microsoft Entra ID
- Azure security benchmark: Identity management control IM-2