Ensure Administrative accounts are cloud-only

Защо това е важно

Административните акаунти, които не са само в облака, могат да доведат до значителни рискове за сигурността. Тези акаунти може да разчитат на локално удостоверяване, което увеличава повърхността за атаки и ги прави уязвими за хибридни заплахи за самоличността. Гарантирането, че администраторите използват само облачни акаунти, помага да се изолират критичните административни функции и намалява риска от компрометиране на идентификационни данни.

Какво проверява Aether365

Aether365 проверява дали всички административни акаунти във вашия Microsoft 365 клиент са конфигурирани като само облачни, което означава, че не са синхронизирани от локални директории. Тази проверка се появява в таблото за управление на Aether365 под проверки за microsoft-365.

Как да отстраните проблема

1. Влезте в Microsoft Entra admin center с акаунт, който има роля Global Administrator или Privileged Role Administrator.
2. Отидете на Identity > Users > All users.
3. За всеки потребител с административна роля прегледайте полетата User principal name и Source в профила на потребителя.
4. Ако Source е Windows Server AD (синхронизиран от локална инфраструктура), определете подходящ само облачен потребител, който да замени административната му роля.
5. Създайте нов само облачен административен потребител, като изберете New user и попълните формуляра. Уверете се, че потребителят има облачен домейн (като .onmicrosoft.com) и не е синхронизиран.
6. Задайте необходимите административни роли на новия само облачен потребител под Assigned roles.
7. Премахнете административните роли от синхронизирания потребителски акаунт. По избор можете да блокирате влизането за синхронизирания акаунт.

Съответствие

CIS M365 v1.1.1 (Контрол 1.1.1)

Свързани ресурси

Microsoft Learn: Управление на потребителски роли в Microsoft Entra ID