Hybrid users should not be assigned Entra ID role assignments

Miksi Tämä on Tärkeää

Entra ID -roolien myöntäminen hybridikäyttäjille, joiden identiteetit synkronoidaan paikallisesta Active Directorysta, lisää tunnistetietojen vaarantumisen riskiä. Jos hyökkääjä saa pääsyn paikalliseen toimialueen ohjaimeen, hän voi mahdollisesti hyödyntää hybridi-identiteettien synkronointia laajentaakseen oikeuksiaan pilvirooleihin. Entra ID -roolien rajoittaminen vain omistetuille pilvitileille vähentää tätä hyökkäyspinta-alaa.

Mitä Aether365 Tarkistaa

Aether365 tarkistaa vuokraajasi kaikki Entra ID -roolien määritykset, sekä kelpoiset että pysyvät, jotka on annettu hybridisynkronointikäyttäjille. Tämä tarkistus näkyy Aether365-hallintapaneelissasi entra-id-kategoriassa.

Korjaustoimenpiteet

1. Tunnista ja luo omistettuja pilvipohjaisia käyttäjätilejä Microsoft Entra admin center -palvelussa pitääksesi hallussasi etuoikeutetut roolit. Noudata dokumentoituja ohjeita etuoikeutettujen tilien suojaamiseksi.
2. Määritä tarvittavat Entra ID -roolit näille uusille pilvitileille käyttämällä Azure AD Privileged Identity Management (PIM) -palvelua oikea-aikaista käyttöä varten (just-in-time access).
3. Poista kaikki olemassa olevat roolimääritykset alkuperäisiltä hybridikäyttäjätileiltä, jotka on synkronoitu paikallisesta ympäristöstä.
4. Varmista, ettei millään hybridikäyttäjällä ole muutoksen jälkeen pysyvää tai kelpoista Entra ID -roolimääritystä.

Vaatimustenmukaisuus

• Muu: Turvallisuusperustason suositus hallintatunnusten erottamisesta käyttäjätunnuksista

Aiheeseen Liittyvät Resurssit

• Protect your global administrator accounts
• Securing privileged access for hybrid and cloud deployments

Microsoft references

• Advanced hunting identityinfo table
• App governance get started
• Protect m365 from on premises attacks
• Protect your global administrator accounts