Hybrid users should not be assigned Entra ID role assignments

Por Que Esto Es Importante

Asignar roles de Entra ID a usuarios híbridos cuyas identidades se sincronizan desde Active Directory local aumenta el riesgo de compromiso de credenciales. Si un atacante obtiene acceso a un controlador de dominio local, podria aprovechar la sincronización de identidades híbridas para escalar privilegios hacia roles en la nube. Mantener las asignaciones de roles de Entra ID limitadas a cuentas exclusivas de solo nube reduce esta superficie de ataque.

Que Verifica Aether365

Aether365 analiza tu inquilino para detectar cualquier asignación de roles de Entra ID, tanto elegibles como permanentes, otorgadas a usuarios de sincronización híbrida. Esta verificación aparece en tu panel de Aether365 bajo la categoría entra-id.

Como Solucionarlo

1. Identifica y crea cuentas de usuario dedicadas de solo nube en el Microsoft Entra admin center para ocupar roles privilegiados. Sigue la guía documentada para proteger cuentas privilegiadas.
2. Asigna los roles de Entra ID necesarios a estas nuevas cuentas de solo nube usando Azure AD Privileged Identity Management (PIM) para acceso just-in-time.
3. Elimina cualquier asignación de roles existente de las cuentas de usuario híbridas originales que se sincronizaron desde el entorno local.
4. Verifica que ningún usuario híbrido conserve ninguna asignación de roles de Entra ID permanente o elegible después del cambio.

Cumplimiento

• Otro: Recomendación de línea base de seguridad para separar identidades administrativas de identidades de usuario

Recursos Relacionados

• Proteger tus cuentas de administrador global
• Asegurar el acceso privilegiado para implementaciones híbridas y en la nube

Microsoft references

• Advanced hunting identityinfo table
• App governance get started
• Protect m365 from on premises attacks
• Protect your global administrator accounts