Restrict non-admin users from creating security groups.

De ce este important

Permiterea utilizatorilor non-admin să creeze grupuri de securitate poate duce la o proliferare necontrolată a grupurilor, denumiri inconsecvente și atribuiri de acces excesiv de permisive. Acest lucru reduce capacitatea de a audita și controla accesul la resursele sensibile. Prin restricționarea creării grupurilor doar la administratori, mențineți o guvernanță centralizată asupra infrastructurii de identitate.

Ce verifică Aether365

Aether365 verifică dacă utilizatorii non-admin sunt restricționați de la crearea grupurilor de securitate în Microsoft Entra ID. Această verificare apare în tabloul de bord Aether365 sub categoria serviciilor entra-id și semnalează orice entitate (tenant) în care utilizatorii fără roluri administrative pot crea grupuri de securitate.

Cum se remediază

1. Conectați-vă la Azure portal ca Global Administrator sau Privileged Role Administrator.
2. Navigați la Microsoft Entra ID și selectați Groups din meniul din stânga.
3. Selectați setările General din panoul Groups.
4. Localizați setarea Users can create security groups in Microsoft Entra portals. Setați aceasta la No.
5. Faceți clic pe Save pentru a aplica modificarea.
6. Dacă este necesar, utilizați cmdlet-ul PowerShell Azure AD Set-AzureADDirectorySetting pentru a impune această restricție pentru toate metodele de creare a grupurilor, inclusiv prin API-uri și PowerShell.

Conformitate

• Altele: Această verificare este aliniată cu cele mai bune practici de securitate pentru guvernanța identității, dar nu este mapată la un cadru de conformitate specific în datele sursă.
• Referințe: Nu sunt furnizate referințe specifice de conformitate.

Resurse conexe

• Manage group creation in Microsoft Entra ID
• Restrict who can create groups in Microsoft Entra ID