Hybrid users should not be assigned Entra ID role assignments
Miks See Oluline On
Entra ID rollide määramine hübriidkasutajatele, kelle identiteedid on sünkroonitud kohapealsest Active Directoryst, suurendab mandaatide ohustamise riski. Kui ründaja saab juurdepääsu kohapealsele domeenikontrollerile, võib ta potentsiaalselt ära kasutada hübriididentiteedi sünkroonimist, et tõsta õigusi pilverollidesse. Entra ID rollide määramise piiramine ainult pilvepõhistele kontodele vähendab seda ründeulatuspinda.
Mida Aether365 Kontrollib
Aether365 skannib teie rentnikku kõigi Entra ID rollide määramise osas, nii hõivatavate kui ka püsivate, mis on antud hübriidsünkroonimiskasutajatele. See kontroll kuvatakse teie Aether365 töölaual entra-id kategooria all.
Kuidas Parandada
- Tuvastage ja looge spetsiaalsed pilvepõhised kasutajakontod Microsoft Entra admin center'is, et hoida privileegidega rolle. Järgige dokumenteeritud juhiseid privileegidega kontode kaitsmiseks.
- Määrake nõutavad Entra ID rollid nendele uutele pilvepõhistele kontodele, kasutades Azure AD Privileged Identity Management (PIM) õigeaegse juurdepääsu tagamiseks.
- Eemaldage kõik olemasolevad rollimäärangud algsetelt hübriidkasutajakontodelt, mis olid sünkroonitud kohapealsest süsteemist.
- Veenduge, et pärast muutmist ei säiliks ühelgi hübriidkasutajal püsivat ega hõivatavat Entra ID rollimäärangut.
Vastavus
- Muu: Turbebaasi soovitus eraldada haldusidentiteedid kasutajaidentiteetidest
Seotud Ressursid
- Kaitske oma üldadministraatori kontosid
- Privilegeeritud juurdepääsu turvamine hübriid- ja pilvejuurutuste puhul