Ensure Intune RBAC groups are protected by Restricted Management Administrative Units or Role Assignable groups
Чому це важливо
Привілейовані ролі Intune, як-от Intune Administrator або Policy Manager, повинні призначатися лише користувачам у групах, які захищені від випадкової зміни або видалення. Без використання Restricted Management Administrative Units (RMAU) або Role Assignable груп зловмисник або користувач із надмірними привілеями може змінити членство в групі, щоб отримати несанкціонований адміністративний доступ до вашого середовища Intune.
Що перевіряє Aether365
Ця перевірка підтверджує, що всі групи RBAC Intune знаходяться або в адміністративній одиниці з увімкненим обмеженим управлінням, або налаштовані як Role Assignable групи. Результат відображається на панелі Aether365 у розділі перевірок безпеки Intune.
Як виправити
- Перегляньте поточні призначення ролей Intune та визначте, які групи використовуються як групи, яким можна призначати ролі.
- Для кожної групи вирішіть, чи захищати її, помістивши її в Restricted Management Administrative Unit, чи позначивши її як Role Assignable групу.
- Щоб використати RMAU: Створіть або виберіть адміністративну одиницю в Azure AD, увімкніть обмежене управління для цієї одиниці та додайте групу RBAC Intune як учасника.
- Щоб використати Role Assignable групу: В Azure AD відредагуйте властивості групи та встановіть
isAssignableToRoleвtrue. Зауважте, що це постійне налаштування, яке не можна скасувати. - Видаліть будь-які прямі призначення користувачів для ролей Intune та призначайте ролі лише через ці захищені групи.
Відповідність
- Рамкова основа: Не прив'язана до конкретного стандарту відповідності (Other)
- Ця перевірка узгоджується з найкращими практиками Microsoft для захисту привілейованого доступу та зменшення поверхні атак для рольового адміністрування.
Пов'язані ресурси
- Restricted Management Administrative Units in Azure AD
- Create a role-assignable group in Azure AD
- Intune role-based access control (RBAC)