Do not sync krbtgt_AzureAD to Entra ID
Warum das wichtig ist
Das Konto krbtgt_AzureAD ist ein integriertes lokales Konto, das von Microsoft Entra Connect bei der ersten Synchronisierung verwendet wird. Wenn dieses Konto versehentlich mit Entra ID synchronisiert wird, entsteht ein verstecktes Sicherheitsprinzipal, das für Rechteausweitungen oder laterale Bewegungen missbraucht werden könnte. Administratoren müssen sicherstellen, dass dieses Konto von der Synchronisierung ausgeschlossen ist, um eine saubere und sichere Identitätsumgebung zu gewährleisten.
Was Aether365 prüft
Aether365 überprüft, ob ein synchronisiertes krbtgt_AzureAD-Konto in Ihrem Entra ID-Mandanten vorhanden ist. Diese Prüfung wird im Aether365-Dashboard unter der Dienstkategorie microsoft-365 angezeigt und als Problem mit mittlerem Schweregrad eingestuft.
So beheben Sie das Problem
- Melden Sie sich beim Microsoft Entra admin center mit mindestens der Rolle "Hybrid Identity Administrator" an.
- Navigieren Sie zu Identity > Hybrid management > Microsoft Entra Connect und überprüfen Sie die aktuelle Synchronisierungskonfiguration.
- Suchen Sie auf dem Microsoft Entra Connect-Server das lokale
krbtgt_AzureAD-Konto und schließen Sie es mithilfe von OU-Filterung, Domänenfilterung oder attributbasierter Filterung von der Synchronisierung aus. - Führen Sie einen vollständigen Synchronisierungszyklus durch und stellen Sie sicher, dass das
krbtgt_AzureAD-Konto nicht mehr in Entra ID angezeigt wird.
Compliance
- Framework: Sonstige
- Referenzen: Keine angegeben
Verwandte Ressourcen
- Microsoft Entra Connect Sync: Synchronisierung verstehen und anpassen
- Microsoft Entra Connect: Synchronisierungsbereich filtern