Aether365

Español

English
Deutsch
Français
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Español

English
Deutsch
Français
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

No hybrid user with permanent role assignment on Control Plane

Por Que Es Importante

Si un usuario híbrido (un usuario sincronizado desde Active Directory local) tiene un rol permanente de alto privilegio en el plano de control de Microsoft 365, un atacante que comprometa su entorno local puede moverse a recursos en la nube sin necesidad de autenticación adicional. Esto elude sus controles de seguridad en la nube y crea una ruta directa de movimiento lateral. Los administradores deben priorizar la eliminación de estas asignaciones de roles híbridos para imponer una separación estricta entre identidades locales y en la nube.

Que Comprueba Aether365

Esta comprobación examina todas las asignaciones de roles de Azure Active Directory en el plano de control para identificar cualquier usuario híbrido (sincronizado desde el entorno local) que tenga un rol permanente de alto privilegio, como Administrador Global o Administrador de Roles con Privilegios. Aether365 marca estas asignaciones como infracciones en su panel de seguridad de Microsoft 365, dentro del grupo de comprobación microsoft-365.

Como Solucionarlo

  1. Identifique los usuarios híbridos afectados. Busque usuarios cuyo atributo OnPremisesSyncEnabled sea True en el centro de administración de Azure AD o mediante PowerShell.
  2. Determine si la asignación del rol es realmente necesaria. Si el usuario necesita acceso temporal, use Azure AD Privileged Identity Management (PIM) para conceder asignaciones elegibles con límite de tiempo en lugar de permanentes.
  3. Si el rol no es esencial, elimine la asignación permanente. En Azure Portal, vaya a Azure Active Directory > Roles y administradores, seleccione el rol y luego elimine al usuario.
  4. Para cualquier asignación permanente restante en usuarios híbridos, cree una cuenta solo en la nube (no sincronizada desde el entorno local) y asigne el rol a esa identidad solo en la nube.
  5. Despues de realizar los cambios, ejecute la comprobacion de Aether365 nuevamente para confirmar que no quedan infracciones.

Cumplimiento

  • Marco: Otros
  • Gravedad: Media (calificación de Aether365)
  • Estándares relacionados: Esta comprobación se alinea con el principio de Confianza Cero de CISA de eliminar la confianza implícita entre entornos locales y en la nube. También respalda las configuraciones de referencia de EIDSCA para el aislamiento de identidades.

Recursos Relacionados

Microsoft references

¿Te resultó útil esta página?

© 2026 Aether365. All rights reserved.