Do not sync krbtgt_AzureAD to Entra ID
Proč na tom záleží
Účet krbtgt_AzureAD je vestavěný místní účet, který používá Microsoft Entra Connect při počáteční synchronizaci. Pokud je tento účet omylem synchronizován do Entra ID, vytvoří skrytý bezpečnostní objekt, který by mohl být zneužit pro eskalaci oprávnění nebo laterální pohyb. Správci musí zajistit, aby byl tento účet vyloučen ze synchronizace, a tím udržovat čisté a bezpečné prostředí identit.
Co kontroluje Aether365
Aether365 ověřuje, zda ve vašem tenantovi Entra ID existuje synchronizovaný účet krbtgt_AzureAD. Tato kontrola se zobrazí na dashboardu Aether365 v kategorii služeb microsoft-365 a je označena jako problém střední závažnosti.
Jak to opravit
- Přihlaste se do Microsoft Entra admin center s rolí alespoň Hybrid Identity Administrator.
- Přejděte do Identity > Hybrid management > Microsoft Entra Connect a zkontrolujte aktuální konfiguraci synchronizace.
- Na serveru Microsoft Entra Connect najděte místní účet
krbtgt_AzureADa vylučte jej ze synchronizace pomocí filtrování organizačních jednotek, domén nebo atributů. - Spusťte úplný cyklus synchronizace a ověřte, že se účet
krbtgt_AzureADjiž v Entra ID nezobrazuje.
Shoda s předpisy
- Rámec: Ostatní
- Odkazy: Nejsou uvedeny
Související zdroje
- Microsoft Entra Connect Sync: Understand and customize synchronization
- Microsoft Entra Connect: Filter synchronization scope