Aether365

Deutsch

English
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Deutsch

English
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

No hybrid user with permanent role assignment on Control Plane

Warum dies wichtig ist

Wenn ein Hybridbenutzer (ein aus der lokalen Active Directory synchronisierter Benutzer) eine dauerhafte, hochprivilegierte Rolle auf der Microsoft 365-Steuerungsebene innehat, kann ein Angreifer, der Ihre lokale Umgebung kompromittiert, ohne zusätzliche Authentifizierung auf Cloud-Ressourcen zugreifen. Dies umgeht Ihre Cloud-Sicherheitskontrollen und schafft einen direkten lateralen Bewegungsweg. Administratoren sollten priorisieren, diese hybriden Rollenzuweisungen zu eliminieren, um eine strikte Trennung zwischen lokalen und Cloud-Identitäten durchzusetzen.

Was Aether365 prüft

Diese Prüfung durchsucht alle Azure Active Directory-Rollenzuweisungen auf der Steuerungsebene, um Hybridbenutzer (aus der lokalen Umgebung synchronisiert) mit einer dauerhaften, hochprivilegierten Rolle wie Global Administrator oder Privileged Role Administrator zu identifizieren. Aether365 kennzeichnet diese als Verstöße in Ihrem Microsoft 365-Sicherheitsdashboard unter der Prüfgruppe microsoft-365.

So beheben Sie das Problem

  1. Identifizieren Sie die betroffenen Hybridbenutzer. Suchen Sie nach Benutzern, bei denen das Attribut OnPremisesSyncEnabled im Azure AD admin center oder über PowerShell auf True gesetzt ist.
  2. Prüfen Sie, ob die Rollenzuweisung tatsächlich erforderlich ist. Wenn der Benutzer temporären Zugriff benötigt, verwenden Sie Azure AD Privileged Identity Management (PIM), um zeitgebundene, berechtigte Zuweisungen anstelle von dauerhaften zu gewähren.
  3. Wenn die Rolle nicht essenziell ist, entfernen Sie die dauerhafte Zuweisung. Navigieren Sie im Azure-Portal zu Azure Active Directory > Roles and administrators, wählen Sie die Rolle aus und entfernen Sie dann den Benutzer.
  4. Erstellen Sie für verbleibende dauerhafte Rollenzuweisungen für Hybridbenutzer ein reines Cloud-Konto (nicht aus der lokalen Umgebung synchronisiert) und weisen Sie die Rolle dieser reinen Cloud-Identität zu.
  5. Führen Sie nach den Änderungen die Aether365-Prüfung erneut aus, um zu bestätigen, dass keine Verstöße mehr vorliegen.

Compliance

  • Framework: Sonstiges
  • Schweregrad: Mittel (Aether365-Bewertung)
  • Verwandte Standards: Diese Prüfung entspricht dem CISA Zero Trust-Prinzip der Eliminierung impliziten Vertrauens zwischen lokalen und Cloud-Umgebungen. Sie unterstützt auch die EIDSCA-Basiskonfigurationen für die Identitätsisolierung.

Verwandte Ressourcen

Microsoft references

War diese Seite hilfreich?

© 2026 Aether365. All rights reserved.