All Conditional Access policies are configured to exclude directory synchronization accounts or do not scope them

Miks see on oluline

Teenusekontod, nagu Microsoft Entra Connect Sync Account, on kataloogide sünkroonimise jaoks kriitilise tähtsusega, kuid neid ei tohiks kunagi hõlmata tingimusliku juurdepääsu poliitikad, mis nõuavad kasutaja interaktsiooni, nagu näiteks mitmikautentimine. Kui need kontod on tingimusliku juurdepääsu reeglitega blokeeritud, võib sünkroonimine ebaõnnestuda, põhjustades identiteedi ebakõlasid ja võimalikke töökatkestusi kogu rentnikus.

Mida Aether365 kontrollib

See kontroll veendub, et kõik tingimusliku juurdepääsu poliitikad kas välistavad selgelt kataloogide sünkroonimise teenusekontod või ei hõlma neid üldse. See kuvatakse Aether365 töölaual kategooria microsoft-365 all kontrollina AE.1020.

Kuidas parandada

1. Logige sisse Microsoft Entra admin center'i ja minge jaotisesse Protection > Conditional Access > Policies.
2. Vaadake üle iga poliitika, mis kehtib kasutaja toimingutele või sisselogimise riskile. Poliitikate puhul, mis jõustavad juhtnuppe, nagu MFA nõudmine või juurdepääsu blokeerimine, lisage Microsoft Entra Connect Sync Account jaotises Users and groups väljajätmise loendisse Exclude.
3. Kui sünkroonimiskonto on teenusetõend (service principal), veenduge, et see on välistatud, valides "Directory synchronization" või selle konkreetse teenusetõendi objekti ID.
4. Salvestage poliitika ja testige seda valideerimistööriista või pilootrühmaga, et veenduda, et sünkroonimise juurdepääs jääb toimivaks.

Vastavus

See kontroll ei ole otseselt seotud ühegi konkreetse vastavusraamistikuga, kuid toetab CIS-i ja üldisi Microsoft 365 turvajuhiste parimaid tavasid.

Seotud ressursid

• Microsoft Learn: Exclude service accounts from Conditional Access policies
• Microsoft Learn: Conditional Access policies for Microsoft Entra Connect

Microsoft references

• Howto conditional access policy admin mfa