All Conditional Access policies are configured to exclude directory synchronization accounts or do not scope them

Miksi tämä on tärkeää

Palvelutilit, kuten Microsoft Entra Connect -synkronointitili, ovat kriittisiä hakemistosynkronoinnille, eikä niihin tulisi koskaan soveltaa ehdollisia käyttöoikeuskäytäntöjä, jotka edellyttävät käyttäjän vuorovaikutusta, kuten monivaiheista todennusta. Jos nämä tilit estetään ehdollisten käyttöoikeussääntöjen toimesta, synkronointi voi epäonnistua, mikä johtaa identiteettien epäjohdonmukaisuuksiin ja mahdollisiin käyttökatkoksiin vuokraajassa.

Mitä Aether365 tarkistaa

Tämä tarkistus varmistaa, että kaikki ehdolliset käyttöoikeuskäytännöt joko sulkevat nimenomaisesti pois hakemistosynkronoinnin palvelutilit tai eivät kohdista niitä lainkaan. Se näkyy Aether365-hallintapaneelissa microsoft-365-luokassa tarkistuksena AE.1020.

Korjausohjeet

1. Kirjaudu sisään Microsoft Entran hallintakeskukseen ja siirry kohtaan Protection > Conditional Access > Policies.
2. Tarkista jokainen käytäntö, joka koskee käyttäjien toimia tai kirjautumisriskiä. Lisää käytäntöihin, jotka edellyttävät valvontatoimia, kuten MFA:n vaatimista tai pääsyn estämistä, Microsoft Entra Connect -synkronointitili Users and groups -osion Exclude-listaan.
3. Jos synkronointitili on palvelun pääobjekti, varmista sen poissulkeminen valitsemalla "Directory synchronization" tai sen tietty palvelun pääobjektin tunnus.
4. Tallenna käytäntö ja testaa se validointityökalulla tai pilottiryhmällä varmistaaksesi, että synkronointipääsy pysyy toiminnassa.

Vaatimustenmukaisuus

Tämä tarkistus ei liity suoraan tiettyyn vaatimustenmukaisuuskehykseen, mutta se tukee CIS:n ja yleisten Microsoft 365 -tietoturvaohjeiden parhaita käytäntöjä.

Liittyvät resurssit

• Microsoft Learn: Palvelutilien sulkeminen pois ehdollisista käyttöoikeuskäytännöistä
• Microsoft Learn: Ehdolliset käyttöoikeuskäytännöt Microsoft Entra Connectille

Microsoft references

• Howto conditional access policy admin mfa