Do not sync krbtgt_AzureAD to Entra ID
Hvorfor dette er vigtigt
krbtgt_AzureAD-kontoen er en indbygget lokal konto, som bruges af Microsoft Entra Connect under den indledende synkronisering. Hvis denne konto ved et uheld synkroniseres til Entra ID, skabes der et skjult sikkerhedsprincip, som kan misbruges til rettighedsopgradering eller lateral bevægelse. Administratorer skal sikre, at denne konto udelukkes fra synkronisering for at opretholde et rent og sikkert identitetsmiljø.
Hvad Aether365 kontrollerer
Aether365 verificerer, om der findes en synkroniseret krbtgt_AzureAD-konto i din Entra ID-lejer. Denne kontrol vises i Aether365-dashboardet under microsoft-365-tjenestekategorien og markeres som et problem med medium alvorlighedsgrad.
Sådan rettes det
- Log på Microsoft Entra admin center med mindst rollen som Hybrid Identity Administrator.
- Gå til Identity > Hybrid management > Microsoft Entra Connect og gennemgå den aktuelle synkroniseringskonfiguration.
- På Microsoft Entra Connect-serveren finder du den lokale
krbtgt_AzureAD-konto og udelukker den fra synkronisering ved hjælp af OU-filtrering, domænefiltrering eller attributbaseret filtrering. - Kør en fuld synkroniseringscyklus, og bekræft, at
krbtgt_AzureAD-kontoen ikke længere vises i Entra ID.
Overholdelse
- Rammeværk: Andet
- Referencer: Ingen angivet
Relaterede ressourcer
- Microsoft Entra Connect Sync: Forstå og tilpas synkronisering
- Microsoft Entra Connect: Filtrer synkroniseringsomfang