Ensure That 'Subscription leaving Microsoft Entra tenant' and 'Subscription entering Microsoft Entra tenant' Is Set To 'Permit no one'
Чому це важливо
Власники підписок можуть переносити підписки Azure між Microsoft Entra tenants, що пов'язано з значними ризиками безпеки. Після перенесення підписки до іншого Microsoft Entra tenant вона може потрапити під інші адміністративні контролі, що потенційно дає змогу несанкціонованим користувачам або зловмисникам отримати доступ до чутливих ресурсів. Обмеження цієї можливості до "нікого" гарантує, що лише належно авторизований персонал зможе вносити такі зміни, запобігаючи втраті даних або несанкціонованим модифікаціям.
Що перевіряє Aether365
Aether365 перевіряє, чи параметри політики підписок для "Subscription leaving Microsoft Entra tenant" та "Subscription entering Microsoft Entra tenant" налаштовані як "Permit no one". Ця перевірка відображається на панелі Aether365 у категорії перевірок azure-subscription-security (безпека підписок Azure).
Як виправити
- Увійдіть до Azure Portal та відкрийте меню порталу з верхнього лівого кута.
- У меню, що з'явиться, виберіть "General", потім "Subscriptions" на сторінці, яка відкриється.
- Виберіть "Manage policies" з опцій керування підписками.
- Для обох параметрів "Subscription leaving Microsoft Entra tenant" та "Subscription entering Microsoft Entra tenant" оберіть "Permit no one" з випадаючого списку.
- Натисніть "Save", щоб застосувати зміни.
Відповідність стандартам
- CIS Microsoft Azure Foundations 3.0.0 2.25 (рівень 2)
- CISA Zero Trust
- EIDSCA
Пов'язані ресурси
- Manage Azure subscription policy
- How Azure subscriptions are associated with Microsoft Entra ID
- Azure security benchmark: Identity management control IM-2