Aether365

Čeština

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Čeština

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

No hybrid user with permanent role assignment on Control Plane

Proč na tom záleží

Pokud hybridní uživatel (uživatel synchronizovaný z místní služby Active Directory) má trvalou vysoce privilegovanou roli v řídicí rovině Microsoft 365, útočník, který ohrozí vaše místní prostředí, se může přesunout k cloudovým zdrojům bez dalšího ověření. To obchází vaše cloudové bezpečnostní kontroly a vytváří přímou cestu pro laterální pohyb. Správci by měli upřednostnit odstranění těchto hybridních přiřazení rolí, aby prosadili přísné oddělení mezi místními a cloudovými identitami.

Co kontroluje Aether365

Tato kontrola prohledává všechna přiřazení rolí Azure Active Directory v řídicí rovině a identifikuje jakéhokoli hybridního uživatele (synchronizovaného z místního prostředí) s trvalou vysoce privilegovanou rolí, například Global Administrator nebo Privileged Role Administrator. Aether365 tyto případy označí jako porušení ve vašem bezpečnostním dashboardu Microsoft 365 ve skupině kontroly microsoft-365.

Jak to opravit

  1. Identifikujte dotčeného hybridního uživatele (uživatele). Hledejte uživatele, u kterých je atribut OnPremisesSyncEnabled nastaven na True v centru pro správu Azure AD nebo prostřednictvím PowerShellu.
  2. Zjistěte, zda je přiřazení role skutečně nutné. Pokud uživatel potřebuje dočasný přístup, použijte Azure AD Privileged Identity Management (PIM) k udělení časově omezených způsobilých přiřazení místo trvalých.
  3. Pokud role není nezbytná, odeberte trvalé přiřazení. Na portálu Azure přejděte na Azure Active Directory > Roles and administrators, vyberte roli a poté odeberte uživatele.
  4. Pro všechna zbývající trvalá přiřazení rolí na hybridních uživatelích vytvořte cloudový účet (nesynchronizovaný z místního prostředí) a přiřaďte roli této cloudové identitě.
  5. Po provedení změn spusťte kontrolu Aether365 znovu a potvrďte, že nezbývají žádná porušení.

Shoda s předpisy

  • Rámec: Jiný
  • Závažnost: Střední (hodnocení Aether365)
  • Související standardy: Tato kontrola je v souladu s principem Zero Trust agentury CISA, který vyžaduje odstranění implicitní důvěry mezi místním a cloudovým prostředím. Také podporuje základní konfigurace EIDSCA pro izolaci identit.

Související zdroje

Microsoft references

Byla tato stránka užitečná?

© 2026 Aether365. All rights reserved.