All security groups assigned to Conditional Access Policies should be protected by RMAU
Чому це важливо
Політики умовного доступу є критично важливим шаром безпеки вашої ідентифікаційної системи. Якщо групу безпеки, призначену для політики умовного доступу, буде скомпрометовано, зловмисник може змінити членство в групі, щоб обійти ваші засоби безпеки, відкриваючи вашому клієнту шлях до несанкціонованого доступу.
Що перевіряє Aether365
Aether365 перевіряє, чи кожна група безпеки, використана в політиці умовного доступу, захищена за допомогою адміністративної одиниці з обмеженим керуванням (RMAU) або позначена як група, що призначається для ролей. Ця перевірка відображається на вашій панелі керування Aether365 у розділі перевірок microsoft-365.
Як виправити
- Увійдіть в Azure Portal та перейдіть до Microsoft Entra ID > Administrative units.
- Виберіть Add та створіть нову адміністративну одиницю з обмеженим керуванням з чіткою назвою, наприклад, "Conditional Access Group Protection".
- Зі списку членів додайте всі групи безпеки, які наразі призначені для будь-якої політики умовного доступу.
- Призначте адміністративну роль (наприклад, Groups Administrator) для цієї одиниці, обмеживши права керування лише авторизованими адміністраторами.
- Збережіть зміни та запустіть сканування Aether365 знову, щоб підтвердити відповідність.
Відповідність
- Стандарти: Інші (користувацький базовий рівень безпеки)
Пов'язані ресурси
- Restricted Management Administrative Units in Microsoft Entra ID
- Conditional Access: Securing security groups with Azure AD