All Conditional Access policies are configured to exclude directory synchronization accounts or do not scope them
Por que es importante
Las cuentas de servicio como la cuenta de sincronizacion de Microsoft Entra Connect son fundamentales para la sincronizacion de directorios, pero nunca deben estar sujetas a politicas de acceso condicional que requieran interaccion del usuario, como la autenticacion multifactor. Si estas cuentas son bloqueadas por reglas de acceso condicional, la sincronizacion puede fallar, lo que genera inconsistencias de identidad y posibles interrupciones en todo su inquilino.
Que verifica Aether365
Esta verificacion confirma que todas las politicas de acceso condicional excluyan explícitamente las cuentas de servicio de sincronizacion de directorios o no las incluyan en absoluto. Aparece en el panel de Aether365 bajo la categoria microsoft-365 como la verificacion AE.1020.
Como solucionarlo
- Inicie sesion en el Microsoft Entra admin center y navegue a Protection > Conditional Access > Policies.
- Revise cada politica que se aplique a acciones de usuario o riesgo de inicio de sesion. Para politicas que impongan controles como exigir MFA o bloquear el acceso, agregue la cuenta de sincronizacion de Microsoft Entra Connect a la lista Exclude en la seccion Users and groups.
- Si la cuenta de sincronizacion es un service principal, asegurese de que este excluida seleccionando "Directory synchronization" o su ID de objeto de service principal especifico.
- Guarde la politica y pruebela con una herramienta de validacion o un grupo piloto para confirmar que el acceso de sincronizacion siga siendo funcional.
Cumplimiento normativo
Esta verificacion no esta asignada explícitamente a un marco normativo especifico, pero respalda las mejores practicas de CIS y las directrices generales de seguridad de Microsoft 365.
Recursos relacionados
- Microsoft Learn: Exclude service accounts from Conditional Access policies
- Microsoft Learn: Conditional Access policies for Microsoft Entra Connect