Soft- and hard-matching of synchronized objects should be blocked.

Hvorfor dette er vigtigt

Hvis soft matching og hard matching af synkroniserede objekter forbliver aktiveret, kan angribere udnytte disse mekanismer til at overtage brugeridentiteter ved at matche cloud-only konti med on-premises objekter. Dette øger risikoen for privilegieeskalering og uautoriseret adgang på tværs af dit hybridmiljø. At blokere disse matchingsprocesser er afgørende for at forhindre identitetsspoofing og opretholde streng kontrol over synkroniserede directoryobjekter.

Hvad Aether365 kontrollerer

Aether365 verificerer, om lejeren blokerer både soft matching og hard matching af synkroniserede objekter. Denne kontrol vises i Aether365 dashboardet under sektionen microsoft-365 checks.

Sådan rettes det

For at håndhæve denne indstilling skal du bruge PowerShell-cmdlet'en Set-MgPolicyAuthorizationPolicy. Kør følgende kommando i en forhøjet PowerShell-session efter at have oprettet forbindelse til Microsoft Graph med omfanget Policy.ReadWrite.Authorization:

Set-MgPolicyAuthorizationPolicy -BlockSoftAndHardMatching $true

Bemærk, at denne indstilling ikke kan konfigureres via Azure Portal. Sørg for, at du har de nødvendige tilladelser, før du udfører kommandoen.

Overholdelse

• Rammeværk: Andet (CIS, EIDSCA, CISA)

Relaterede ressourcer

• Microsoft Learn: Set-MgPolicyAuthorizationPolicy

Microsoft references

• OnPremisesSynchronization
• [$($onPremisesSynchronization](https://graph.microsoft.com/v1.0/directory/onPremisesSynchronization/$($onPremisesSynchronization.id)
• How to connect install existing tenant
• Update mgdirectoryonpremisesynchronization