All Conditional Access policies are configured to exclude directory synchronization accounts or do not scope them

Hvorfor dette er vigtigt

Tjenestekonti som Microsoft Entra Connect Sync-kontoen er afgørende for katalogsynkronisering, men bør aldrig være omfattet af betingede adgangspolitikker, der kræver brugerinteraktion, såsom multi-faktor-godkendelse. Hvis disse konti blokeres af betingede adgangsregler, kan synkroniseringen fejle, hvilket fører til identitetsinkonsistenser og potentielle udfald på tværs af din lejer.

Hvad Aether365 kontrollerer

Denne kontrol verificerer, at alle betingede adgangspolitikker enten eksplicit udelukker katalogsynkroniseringstjenestekonti eller slet ikke omfatter dem. Den vises i Aether365-dashboardet under kategorien microsoft-365 som kontrol AE.1020.

Sådan rettes det

1. Log ind på Microsoft Entra admin center, og naviger til Protection > Conditional Access > Policies.
2. Gennemgå hver politik, der gælder for brugerhandlinger eller login-risiko. For politikker, der håndhæver kontroller som at kræve MFA eller blokere adgang, skal du tilføje Microsoft Entra Connect Sync-kontoen til listen Exclude under sektionen Users and groups.
3. Hvis synkroniseringskontoen er en tjenestehovedstol, skal du sikre, at den udelukkes ved at vælge "Directory synchronization" eller dens specifikke objekt-ID for tjenestehovedstolen.
4. Gem politikken, og test med et valideringsværktøj eller en pilotgruppe for at bekræfte, at synkroniseringsadgangen forbliver funktionel.

Overholdelse

Denne kontrol er ikke eksplicit tilknyttet en specifik overholdelsesramme, men understøtter bedste praksis fra CIS og generel Microsoft 365-sikkerhedsvejledning.

Relaterede ressourcer

• Microsoft Learn: Udeluk tjenestekonti fra betingede adgangspolitikker
• Microsoft Learn: Betingede adgangspolitikker for Microsoft Entra Connect

Microsoft references

• Howto conditional access policy admin mfa