Aether365

Dansk

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Dansk

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

No hybrid user with permanent role assignment on Control Plane

Hvorfor dette er vigtigt

Hvis en hybridbruger (en bruger, der synkroniseres fra en lokal Active Directory) har en permanent højprivilegeret rolle på Microsoft 365-kontrolplanet, kan en angriber, der kompromitterer dit lokale miljø, flytte sig til cloudressourcer uden yderligere godkendelse. Dette omgår dine cloud-sikkerhedskontroller og skaber en direkte lateral bevægelsesvej. Administratorer bør prioritere at fjerne disse hybridrolle-tildelinger for at håndhæve en skarp adskillelse mellem lokale og cloud-identiteter.

Hvad Aether365 kontrollerer

Denne kontrol scanner alle Azure Active Directory-rolle-tildelinger på kontrolplanet for at identificere enhver hybridbruger (synkroniseret fra lokalt miljø) med en permanent højprivilegeret rolle, såsom Global Administrator eller Privileged Role Administrator. Aether365 markerer disse som overtrædelser i dit Microsoft 365-sikkerhedsdashboard under kontrolgruppen microsoft-365.

Sådan løser du problemet

  1. Identificer de(n) berørte hybridbruger(e). Se efter brugere, hvor attributten OnPremisesSyncEnabled er True i Azure AD-admincentret eller via PowerShell.
  2. Afgør, om rolletildelingen reelt er nødvendig. Hvis brugeren har brug for midlertidig adgang, skal du bruge Azure AD Privileged Identity Management (PIM) til at give tidsbegrænsede, berettigede tildelinger i stedet for permanente.
  3. Hvis rollen ikke er essentiel, skal du fjerne den permanente tildeling. I Azure-portalen skal du gå til Azure Active Directory > Roles and administrators, vælge rollen og derefter fjerne brugeren.
  4. For eventuelle tilbageværende permanente rolletildelinger på hybridbrugere skal du oprette en cloud-only-konto (ikke synkroniseret fra lokalt miljø) og tildele rollen til den cloud-only-identitet i stedet.
  5. Efter ændringerne skal du køre Aether365-kontrollen igen for at bekræfte, at der ikke er nogen overtrædelser tilbage.

Overholdelse

  • Rammeværk: Andet
  • Alvorlighed: Medium (Aether365-bedømmelse)
  • Relaterede standarder: Denne kontrol er i overensstemmelse med CISA Zero Trust-princippet om at fjerne implicit tillid mellem lokale og cloud-miljøer. Den understøtter også EIDSCA-baselinekonfigurationer til identitetsisolering.

Relaterede ressourcer

Microsoft references

Var denne side nyttig?

© 2026 Aether365. All rights reserved.