Do not sync krbtgt_AzureAD to Entra ID
Pourquoi cela est important
Le compte krbtgt_AzureAD est un compte local intégré utilisé par Microsoft Entra Connect lors de la synchronisation initiale. Si ce compte est accidentellement synchronisé vers Entra ID, il crée un principal de sécurité caché pouvant être utilisé abusivement pour une élévation de privilèges ou un mouvement latéral. Les administrateurs doivent s'assurer que ce compte est exclu de la synchronisation afin de maintenir un environnement d'identité propre et sécurisé.
Ce que vérifie Aether365
Aether365 vérifie si un compte synchronisé krbtgt_AzureAD existe dans votre locataire Entra ID. Cette vérification apparaît dans le tableau de bord Aether365 sous la catégorie de service microsoft-365 et est signalée comme un problème de sévérité Moyenne.
Comment corriger
- Connectez-vous au Microsoft Entra admin center avec au moins un rôle d'administrateur d'identité hybride.
- Accédez à Identity > Hybrid management > Microsoft Entra Connect et examinez la configuration de synchronisation actuelle.
- Sur le serveur Microsoft Entra Connect, localisez le compte local
krbtgt_AzureADet excluez-le de la synchronisation à l'aide du filtrage par unité d'organisation, du filtrage par domaine ou du filtrage basé sur les attributs. - Exécutez un cycle de synchronisation complet et vérifiez que le compte
krbtgt_AzureADn'apparaît plus dans Entra ID.
Conformité
- Framework : Autre
- Références : Aucune fournie
Ressources associées
- Microsoft Entra Connect Sync: Understand and customize synchronization
- Microsoft Entra Connect: Filter synchronization scope