All Conditional Access policies are configured to exclude directory synchronization accounts or do not scope them
Proč na tom záleží
Účty služeb, jako je účet Microsoft Entra Connect Sync Account, jsou klíčové pro synchronizaci adresářů, ale nikdy by neměly podléhat podmíněným přístupovým politikám, které vyžadují interakci uživatele, například Multi-Factor Authentication. Pokud jsou tyto účty blokovány pravidly podmíněného přístupu, synchronizace může selhat, což vede k nekonzistencím identit a potenciálním výpadkům v celém tenantovi.
Co Aether365 kontroluje
Tato kontrola ověřuje, že všechny politiky podmíněného přístupu buď explicitně vylučují účty služeb pro synchronizaci adresářů, nebo je vůbec nezahrnují. V řídicím panelu Aether365 se zobrazuje v kategorii microsoft-365 jako kontrola AE.1020.
Jak to opravit
- Přihlaste se do Microsoft Entra admin center a přejděte na Protection > Conditional Access > Policies.
- Zkontrolujte každou politiku, která se vztahuje na akce uživatelů nebo riziko přihlášení. U politik, které vynucují kontroly, jako je vyžadování MFA nebo blokování přístupu, přidejte účet Microsoft Entra Connect Sync Account do seznamu Exclude v části Users and groups.
- Pokud je synchronizační účet instančním objektem (service principal), ujistěte se, že je vyloučen výběrem možnosti "Directory synchronization" nebo jeho konkrétního ID objektu instančního objektu.
- Uložte politiku a otestujte ji pomocí validačního nástroje nebo pilotní skupiny, abyste potvrdili, že synchronizační přístup zůstává funkční.
Soulad s předpisy
Tato kontrola není explicitně mapována na konkrétní rámec shody, ale podporuje osvědčené postupy z CIS a obecná bezpečnostní doporučení pro Microsoft 365.
Související zdroje
- Microsoft Learn: Vyloučení účtů služeb z politik podmíněného přístupu
- Microsoft Learn: Politiky podmíněného přístupu pro Microsoft Entra Connect