Do not sync krbtgt_AzureAD to Entra ID
Miért fontos ez
A krbtgt_AzureAD fiók egy beépített helyszíni fiók, amelyet a Microsoft Entra Connect használ a kezdeti szinkronizálás során. Ha ez a fiók véletlenül szinkronizálásra kerül az Entra ID-ba, egy rejtett biztonsági rendszerbiztonsági tag jön létre, amely jogosultságkiterjesztésre vagy oldalirányú mozgásra használható fel. A rendszergazdáknak biztosítaniuk kell, hogy ez a fiók ki legyen zárva a szinkronizálásból a tiszta és biztonságos identitáskörnyezet fenntartása érdekében.
Mit ellenőriz az Aether365
Az Aether365 ellenőrzi, hogy létezik-e szinkronizált krbtgt_AzureAD fiók az Entra ID-bérlőben. Ez az ellenőrzés az Aether365 irányítópulton a microsoft-365 szolgáltatáskategória alatt jelenik meg, és Közepes súlyosságú problémaként van megjelölve.
Hogyan javítsuk ki
- Jelentkezzen be a Microsoft Entra admin center webhelyre legalább Hibrid identitásrendszergazda szerepkörrel.
- Lépjen az Identity > Hybrid management > Microsoft Entra Connect menüpontra, és tekintse át a jelenlegi szinkronizálási konfigurációt.
- A Microsoft Entra Connect kiszolgálón keresse meg a helyszíni
krbtgt_AzureADfiókot, és zárja ki a szinkronizálásból szervezeti egység szerinti szűréssel, tartomány szerinti szűréssel vagy attribútumalapú szűréssel. - Futtasson egy teljes szinkronizálási ciklust, és ellenőrizze, hogy a
krbtgt_AzureADfiók már nem jelenik meg az Entra ID-ban.
Megfelelőség
- Keretrendszer: Egyéb
- Hivatkozások: Nincs megadva
Kapcsolódó források
- Microsoft Entra Connect Sync: A szinkronizálás megértése és testreszabása
- Microsoft Entra Connect: A szinkronizálási hatókör szűrése