Soft- and hard-matching of synchronized objects should be blocked.

Proč na tom záleží

Pokud zůstane povoleno měkké i tvrdé párování synchronizovaných objektů, útočníci mohou tyto mechanismy zneužít k převzetí uživatelských identit párováním cloud-only účtů s místními objekty. To zvyšuje riziko eskalace oprávnění a neoprávněného přístupu napříč vaším hybridním prostředím. Blokování těchto procesů párování je nezbytné k zabránění falšování identit a udržení přísné kontroly nad synchronizovanými adresářovými objekty.

Co Aether365 kontroluje

Aether365 ověřuje, zda tenant blokuje měkké i tvrdé párování synchronizovaných objektů. Tato kontrola se zobrazuje v dashboardu Aether365 v sekci kontrol microsoft-365.

Jak opravit

Pro vynucení tohoto nastavení použijte rutinu PowerShell Set-MgPolicyAuthorizationPolicy. Spusťte následující příkaz v relaci PowerShellu se zvýšenými oprávněními po připojení k Microsoft Graphu s oprávněním Policy.ReadWrite.Authorization:

Set-MgPolicyAuthorizationPolicy -BlockSoftAndHardMatching $true

Upozorňujeme, že toto nastavení není konfigurovatelné prostřednictvím Azure Portal. Před spuštěním příkazu se ujistěte, že máte potřebná oprávnění.

Shoda s předpisy

• Rámec: Jiné (CIS, EIDSCA, CISA)

Související zdroje

• Microsoft Learn: Set-MgPolicyAuthorizationPolicy

Microsoft references

• OnPremisesSynchronization
• [$($onPremisesSynchronization](https://graph.microsoft.com/v1.0/directory/onPremisesSynchronization/$($onPremisesSynchronization.id)
• How to connect install existing tenant
• Update mgdirectoryonpremisesynchronization