Ensure Administrative accounts are cloud-only

Miért fontos ez

Azok a felügyeleti fiókok, amelyek nem kizárólag felhőalapúak, jelentős biztonsági kockázatokat hordozhatnak. Ezek a fiókok helyszíni hitelesítésre támaszkodhatnak, ami növeli a támadási felületet, és sebezhetővé teszi őket a hibrid identitásfenyegetésekkel szemben. A felügyeleti fiókok felhőalapúként való biztosítása segít elkülöníteni a kritikus felügyeleti funkciókat, és csökkenti a hitelesítő adatok kompromittálódásának kockázatát.

Mit ellenőriz az Aether365

Az Aether365 ellenőrzi, hogy a Microsoft 365-bérlő összes felügyeleti fiókja kizárólag felhőalapúként van-e konfigurálva, vagyis nincsenek szinkronizálva helyszíni címtárakból. Ez az ellenőrzés az Aether365 irányítópulton a microsoft-365 checks alatt jelenik meg.

Javítás menete

1. Jelentkezzen be a Microsoft Entra admin centerbe egy olyan fiókkal, amely rendelkezik Global Administrator vagy Privileged Role Administrator szerepkörrel.
2. Lépjen az Identity > Users > All users menüpontra.
3. Minden olyan felhasználó esetében, aki felügyeleti szerepkörrel rendelkezik, ellenőrizze a User principal name és a Source mezőket a felhasználói profilban.
4. Ha a Source értéke Windows Server AD (helyszínről szinkronizálva), azonosítson egy megfelelő, kizárólag felhőalapú felhasználót a felügyeleti szerepkör átvételéhez.
5. Hozzon létre egy új, kizárólag felhőalapú felügyeleti felhasználót a New user kiválasztásával és az űrlap kitöltésével. Győződjön meg arról, hogy a felhasználó felhőalapú tartománnyal (például .onmicrosoft.com) rendelkezik, és nincs szinkronizálva.
6. Rendelje hozzá a szükséges felügyeleti szerepköröket az új, kizárólag felhőalapú felhasználóhoz az Assigned roles alatt.
7. Távolítsa el a felügyeleti szerepköröket a szinkronizált felhasználói fiókról. Opcionálisan blokkolja a bejelentkezést a szinkronizált fiókhoz.

Megfelelőség

CIS M365 v1.1.1 (Control 1.1.1)

Kapcsolódó források

Microsoft Learn: Manage user roles in Microsoft Entra ID