Hybrid users should not be assigned Entra ID role assignments

Hvorfor dette er vigtigt

Tildeling af Entra ID-roller til hybridbrugere, hvis identiteter synkroniseres fra det lokale Active Directory, øger risikoen for kompromittering af legitimationsoplysninger. Hvis en angriber får adgang til en lokal domænecontroller, kan de potentielt udnytte hybrididentitetssynkronisering til at eskalere rettigheder til cloudroller. Ved at begrænse tildelingen af Entra ID-roller til dedikerede cloud-only-konti reduceres dette angrebsoverfladeområde.

Hvad Aether365 kontrollerer

Aether365 scanner din lejer for alle Entra ID-rollertildelinger, både kvalificerede og permanente, som er givet til hybridsynkroniseringsbrugere. Denne kontrol vises i dit Aether365-dashboard under kategorien Entra ID.

Sådan løses problemet

1. Identificer og opret dedikerede cloud-only-brugerkonti i Microsoft Entra admin center for at have privilegerede roller. Følg den dokumenterede vejledning til beskyttelse af privilegerede konti.
2. Tildel de nødvendige Entra ID-roller til disse nye cloud-only-konti ved hjælp af Azure AD Privileged Identity Management (PIM) til just-in-time-adgang.
3. Fjern alle eksisterende rollertildelinger fra de oprindelige hybridbrugerkonti, der var synkroniseret fra det lokale miljø.
4. Bekræft, at ingen hybridbruger har en permanent eller kvalificeret Entra ID-rollertildeling efter ændringen.

Overholdelse

• Andet: Basissikkerhedsanbefaling om at adskille administrative identiteter fra brugeridentiteter

Relaterede ressourcer

• Beskyttelse af dine globale administratorkonti
• Sikring af privilegeret adgang til hybrid- og cloudimplementeringer

Microsoft references

• Advanced hunting identityinfo table
• App governance get started
• Protect m365 from on premises attacks
• Protect your global administrator accounts