Restrict non-admin users from creating security groups.

Чому це важливо

Дозвіл неадміністраторам створювати групи безпеки може призвести до неконтрольованого розростання груп, непослідовних правил іменування та надто дозвільних призначень доступу. Це знижує вашу здатність аудитувати та контролювати доступ до чутливих ресурсів. Обмежуючи створення груп лише адміністраторами, ви забезпечуєте централізоване управління вашою ідентифікаційною інфраструктурою.

Що перевіряє Aether365

Aether365 перевіряє, чи обмежено створення груп безпеки неадміністраторами в Microsoft Entra ID. Ця перевірка відображається на вашій панелі Aether365 у розділі служб entra-id і позначає будь-якого орендаря, де користувачі без адміністративних ролей можуть створювати групи безпеки.

Як виправити

1. Увійдіть на портал Azure як глобальний адміністратор або адміністратор привілейованих ролей.
2. Перейдіть до Microsoft Entra ID та виберіть Groups у лівому меню.
3. Виберіть General у налаштуваннях групи.
4. Знайдіть параметр Users can create security groups in Microsoft Entra portals. Встановіть значення No.
5. Натисніть Save, щоб застосувати зміни.
6. За потреби використовуйте командлет PowerShell Azure AD Set-AzureADDirectorySetting, щоб застосувати це обмеження для всіх методів створення груп, зокрема через API та PowerShell.

Відповідність

• Інше: Ця перевірка відповідає найкращим практикам безпеки для управління ідентифікацією, але не прив'язана до конкретної структури відповідності у вихідних даних.
• Посилання: Конкретних посилань на відповідність не надано.

Пов'язані ресурси

• Manage group creation in Microsoft Entra ID
• Restrict who can create groups in Microsoft Entra ID