Overslaan naar inhoud
Nederlands
Neem contact met ons op
  • Er zijn geen suggesties want het zoekveld is leeg.

Dynamische Groep Kwetsbaarheid Analyse [CHK-1177]

Deze analyse identificeert dynamische groepen met lidmaatschapsregels gebaseerd op door gebruikers te beïnvloeden attributen wanneer gastuitnodigingen zijn ingeschakeld. Dit kan mogelijk ongeautoriseerde groepstoegang mogelijk maken.

Reden

Het is belangrijk om te controleren op kwetsbare dynamische groepen, omdat deze groepen toegang kunnen hebben tot gevoelige bronnen, applicaties of permissies. Als deze groepen worden gemanipuleerd, kan dit leiden tot ongeautoriseerde toegang tot deze bronnen.

Dynamische groepen in Entra ID gebruiken regelgebaseerd lidmaatschap om gebruikers automatisch toe te voegen op basis van hun attributen. Wanneer een lidmaatschapsregel controleert op attributen zoals displayName, userPrincipalName, MailNickname of Email adres ontstaat er een potentieel beveiligingsrisico als gastuitnodigingen zijn toegestaan in uw tenant.

Bij het uitnodigen van een guest account kunnen bepaalde profielattributen worden ingesteld door de persoon die de uitnodiging verstuurt. Een aanvaller die een uitnodiging ontvangt (of zelf kan versturen als gastuitnodigingen breed zijn toegestaan) kan deze attributen strategisch invullen om te voldoen aan de lidmaatschapsregels van dynamische groepen. Zodra de gast lid wordt van zo'n groep, erft deze automatisch alle permissies, toegang tot resources en applicaties die aan die groep zijn gekoppeld.

Fix

Handmatige stappen:

  1. Navigeer naar Microsoft Entra admin center https://entra.microsoft.com
  2. Selecteer Groups en vervolgens Dynamic groups.
  3. Bekijk de dynamic group(s) met membership rules die gebaseerd zijn op door gebruikers controleerbare attributen.
  4. Klik op "Edit".
  5. Bepaal welke toegang deze groepen bieden. Controleer of ze toegang hebben tot gevoelige resources, applications of permissions.
  6. Beoordeel of de mogelijkheid tot guest access overeenkomt met je security policies.
  7. Als de groepen alleen toegang geven tot niet-gevoelige resources, kan dit acceptabel zijn voor je organisatie.
  8. Overweeg om de membership rules aan te passen zodat ze gebruik maken van attributen die guests niet kunnen aanpassen (bijv. employee ID, manager relationships, of specifieke group memberships).
  9. Indien nodig kun je beperken wie guests kan uitnodigen in je Azure AD settings.
  10. Klik op "Save".

Impact

Het oplossen van dit probleem zal helpen om de veiligheid van je groepen en de bijbehorende bronnen te waarborgen door ervoor te zorgen dat alleen geautoriseerde gebruikers toegang hebben.

Meer Informatie

Voor meer informatie over het delen van groepstoegang en andere M365-bronnen in M365, bekijk onze partner tool https://www.m365permissions.com/#/.