Do not sync krbtgt_AzureAD to Entra ID
Miksi tämä on tärkeää
krbtgt_AzureAD-tili on paikallinen sisäänrakennettu tili, jota Microsoft Entra Connect käyttää alkuperäisen synkronoinnin aikana. Jos tämä tili synkronoidaan vahingossa Entra ID:hen, se luo piilotetun suojauspääobjektin, jota voidaan väärinkäyttää etuoikeuksien korottamiseen tai lateraaliseen liikkumiseen. Järjestelmänvalvojien on varmistettava, että tämä tili on suljettu pois synkronoinnista puhtaan ja turvallisen identiteettiympäristön ylläpitämiseksi.
Mitä Aether365 tarkistaa
Aether365 tarkistaa, onko synkronoitu krbtgt_AzureAD-tili olemassa Entra ID -vuokraajassasi. Tämä tarkistus näkyy Aether365-hallintapaneelissa microsoft-365-palveluluokassa ja se on merkitty keskitasoiseksi vakavuusongelmaksi.
Kuinka korjata
- Kirjaudu sisään Microsoft Entra admin centeriin vähintään Hybrid Identity Administrator -roolilla.
- Siirry kohtaan Identity > Hybrid management > Microsoft Entra Connect ja tarkista nykyinen synkronointikokoonpano.
- Etsi Microsoft Entra Connect -palvelimelta paikallinen
krbtgt_AzureAD-tili ja sulje se pois synkronoinnista käyttämällä OU-suodatusta, toimialuesuodatusta tai attribuuttipohjaista suodatusta. - Suorita täysi synkronointijakso ja varmista, ettei
krbtgt_AzureAD-tili enää näy Entra ID:ssä.
Vaatimustenmukaisuus
- Kehys: Muut
- Viittaukset: Ei annettu
Liittyvät resurssit
- Microsoft Entra Connect Sync: Understand and customize synchronization
- Microsoft Entra Connect: Filter synchronization scope