Hybrid users should not be assigned Entra ID role assignments
Warum dies wichtig ist
Die Zuweisung von Entra ID-Rollen an Hybridbenutzer, deren Identitäten aus der lokalen Active Directory-Umgebung synchronisiert werden, erhöht das Risiko einer Kompromittierung von Anmeldeinformationen. Wenn ein Angreifer Zugriff auf einen lokalen Domänencontroller erlangt, könnte er die hybride Identitätssynchronisation nutzen, um Berechtigungen in Cloudrollen zu eskalieren. Indem die Zuweisung von Entra ID-Rollen auf dedizierte reine Cloudkonten beschränkt wird, wird diese Angriffsfläche reduziert.
Was Aether365 prüft
Aether365 durchsucht Ihren Mandanten nach allen Entra ID-Rollenzuweisungen (sowohl berechtigte als auch permanente), die an hybride Synchronisationsbenutzer vergeben wurden. Diese Prüfung erscheint im Aether365-Dashboard unter der Kategorie entra-id.
So beheben Sie das Problem
- Erstellen Sie dedizierte reine Cloudbenutzerkonten im Microsoft Entra admin center, um privilegierte Rollen zu verwalten. Folgen Sie der dokumentierten Anleitung zum Schutz privilegierter Konten.
- Weisen Sie die erforderlichen Entra ID-Rollen diesen neuen Cloudkonten mithilfe von Azure AD Privileged Identity Management (PIM) für Just-in-Time-Zugriff zu.
- Entfernen Sie alle bestehenden Rollenzuweisungen von den ursprünglichen Hybridbenutzerkonten, die aus der lokalen Umgebung synchronisiert wurden.
- Vergewissern Sie sich, dass nach der Änderung kein Hybridbenutzer eine permanente oder berechtigte Entra ID-Rollenzuweisung besitzt.
Compliance
- Sonstiges: Sicherheitsbaseline-Empfehlung zur Trennung von administrativen Identitäten und Benutzeridentitäten
Verwandte Ressourcen
- Schützen Ihrer globalen Administratorkonten
- Sichern privilegierten Zugriffs für hybride und Cloud-basierte Bereitstellungen