Privileged users SHALL be provisioned cloud-only accounts separate from an on-premises directory or other federated identity providers.
Proč na tom záleží
Když se privilegovaní uživatelé spoléhají na účty synchronizované z místních adresářů nebo federovaných poskytovatelů identit, může kompromitace místního prostředí přímo zasáhnout Azure AD. Tím vzniká jediný bod selhání, kde se útočníci mohou přesunout z místního prostředí do rolí cloudových správců. Používání výhradně cloudových účtů izoluje privilegovaný přístup od rizik místního prostředí, snižuje dosah případného incidentu a splňuje principy Zero Trust.
Co Aether365 kontroluje
Aether365 prohledá všechna přiřazení privilegovaných rolí v Entra ID a ověří, zda mají přiřazení uživatelé výhradně cloudové účty (nesynchronizované z místního prostředí nebo federovaných poskytovatelů). Tato kontrola se zobrazí na vašem dashboardu Aether365 v sekci kontrol Entra ID s identifikátorem CISA.MS.AAD.7.3.
Jak problém vyřešit
- Identifikujte všechna přiřazení privilegovaných rolí ve vašem tenantovi Entra ID (Global Administrator, Privileged Role Administrator, Exchange Administrator atd.).
- U každého privilegovaného uživatele ověřte typ účtu: User Principal Name končící na
.onmicrosoft.comnebo vaši vlastní ověřenou doménu s prázdnýmImmutableIDindikuje výhradně cloudový účet. - Pokud má uživatel místní synchronizovaný účet, vytvořte nový samostatný výhradně cloudový uživatelský účet pomocí Azure Portal: přejděte do
Azure Active Directory>Users>New user, vyberteCreate usera zadejte jedinečné uživatelské jméno s cloudovou doménou. - Přiřaďte privilegovanou roli novému výhradně cloudovému účtu.
- Odeberte privilegovanou roli původního synchronizovaného účtu.
- Zajistěte, aby synchronizovaný účet nebyl součástí žádných privilegovaných adresářových rolí ani skupin.
Soulad s předpisy
- CIS: CISA.MS.AAD.7.3 (Microsoft 365 Foundations Benchmark)
- Rámec: CISA (Cybersecurity and Infrastructure Security Agency)
- Reference: CIS Microsoft 365 Foundations Benchmark, Section 7.3