Controle op het Aanmaken van Beveiligingsgroepen door Reguliere Gebruikers [CHK-1056]
Deze controle bepaalt of reguliere gebruikers in staat zijn om beveiligingsgroepen aan te maken in Entra ID.
Reden
Een beveiligingsgroep in de Microsoft cloud is een verzameling van gebruikers, gecreëerd binnen Azure AD. De eigenaar van een beveiligingsgroep kan applicaties toestemming geven voor de hele groep. Als een reguliere gebruiker een nieuwe beveiligingsgroep kan maken, kan dit leiden tot het risico dat kwaadaardige applicaties toegang krijgen tot uw tenant. Daarom is het aan te raden om het aanmaken van beveiligingsgroepen te beperken tot alleen beheerders.
Oplossing
Een geautomatiseerde oplossing is beschikbaar via Attic.
Handmatige stappen:
- Navigeer naar de Entra ID portal.
- Selecteer "Groups".
- Selecteer "Group settings".
- Zet "Gebruikers kunnen beveiligingsgroepen maken in Azure portals, API of PowerShell" op "Nee".
Impact
Het resultaat van deze controle kan twee mogelijke uitkomsten hebben:
- Okay: Reguliere gebruikers kunnen geen nieuwe beveiligingsgroepen aanmaken.
- Notice: Een reguliere gebruiker kan beveiligingsgroepen aanmaken.
Als de output Notice is, wordt geadviseerd om de mogelijkheid voor reguliere gebruikers om beveiligingsgroepen aan te maken, uit te schakelen.
Meer Informatie
Voor meer informatie, zie CHK-1128.