Ensure Intune RBAC groups are protected by Restricted Management Administrative Units or Role Assignable groups
Bunun Önemi
Intune Yöneticisi veya Politika Yöneticisi gibi ayrıcalıklı Intune rolleri, yalnızca yanlışlıkla yapılan değişikliklere veya silmelere karşı korunan gruplardaki kullanıcılara atanmalıdır. Kısıtlı Yönetim Yönetim Birimleri (RMAU'lar) veya Rol Atanabilir gruplar kullanılmazsa, bir saldırgan veya aşırı yetkili kullanıcı, Intune ortamınıza yetkisiz yönetimsel erişim elde etmek için grup üyeliğini değiştirebilir.
Aether365'in Kontrol Ettiği
Bu kontrol, tüm Intune RBAC gruplarının, kısıtlı yönetimin etkinleştirildiği bir Yönetim Biriminde olup olmadığını veya Rol Atanabilir gruplar olarak yapılandırılıp yapılandırılmadığını doğrular. Sonuç, Aether365 panosunda Intune güvenlik kontrolleri bölümünde görünür.
Nasıl Düzeltilir
- Mevcut Intune rol atamalarınızı gözden geçirin ve hangi grupların rol atanabilir gruplar olarak kullanıldığını belirleyin.
- Her grup için, grubu Kısıtlı Yönetim Yönetim Birimine yerleştirerek mi yoksa Rol Atanabilir grup olarak işaretleyerek mi koruyacağınıza karar verin.
- RMAU kullanmak için: Azure AD'de bir Yönetim Birimi oluşturun veya seçin, bu AU'da kısıtlı yönetimi etkinleştirin ve Intune RBAC grubunu üye olarak ekleyin.
- Rol Atanabilir grup kullanmak için: Azure AD'de grubun özelliklerini düzenleyin ve
isAssignableToRoleöğesinitrueolarak ayarlayın. Bunun kalıcı bir ayar olduğunu ve geri alınamayacağını unutmayın. - Intune rollerinden doğrudan kullanıcı atamalarını kaldırın ve rolleri yalnızca bu korunan gruplar aracılığıyla atayın.
Uyumluluk
- Çerçeve: Belirli bir uyumluluk standardına bağlı değildir (Diğer)
- Bu kontrol, ayrıcalıklı erişimi güvence altına alma ve role dayalı yönetim için saldırı yüzeyini azaltmaya yönelik Microsoft'un en iyi uygulamalarıyla uyumludur.
İlgili Kaynaklar
- Azure AD'de Kısıtlı Yönetim Yönetim Birimleri
- Azure AD'de rol atanabilir bir grup oluşturma
- Intune role dayalı erişim denetimi (RBAC)