Do not sync krbtgt_AzureAD to Entra ID
Por qué es importante
La cuenta krbtgt_AzureAD es una cuenta local integrada que utiliza Microsoft Entra Connect durante la sincronización inicial. Si esta cuenta se sincroniza accidentalmente con Entra ID, se crea una entidad de seguridad oculta que podría utilizarse indebidamente para la escalada de privilegios o el movimiento lateral. Los administradores deben asegurarse de que esta cuenta esté excluida de la sincronización para mantener un entorno de identidad limpio y seguro.
Qué comprueba Aether365
Aether365 verifica si existe una cuenta sincronizada krbtgt_AzureAD en el inquilino de Entra ID. Esta comprobación aparece en el panel de control de Aether365 bajo la categoría de servicio microsoft-365 y se marca como un problema de gravedad Media.
Cómo solucionarlo
- Inicie sesión en Microsoft Entra admin center con al menos un rol de Hybrid Identity Administrator.
- Vaya a Identity > Hybrid management > Microsoft Entra Connect y revise la configuración de sincronización actual.
- En el servidor de Microsoft Entra Connect, localice la cuenta local
krbtgt_AzureADy exclúyala de la sincronización mediante filtrado por unidad organizativa, filtrado por dominio o filtrado basado en atributos. - Ejecute un ciclo de sincronización completo y verifique que la cuenta
krbtgt_AzureADya no aparece en Entra ID.
Cumplimiento normativo
- Marco: Otros
- Referencias: No se proporcionan
Recursos relacionados
- Microsoft Entra Connect Sync: Understand and customize synchronization
- Microsoft Entra Connect: Filter synchronization scope