All Conditional Access policies are configured to exclude directory synchronization accounts or do not scope them
Perché è Importante
Gli account di servizio, come l'account di sincronizzazione di Microsoft Entra Connect, sono fondamentali per la sincronizzazione delle directory, ma non dovrebbero mai essere soggetti a policy di accesso condizionale che richiedono l'interazione dell'utente, come l'autenticazione a più fattori. Se questi account vengono bloccati dalle regole di accesso condizionale, la sincronizzazione può fallire, causando incongruenze di identità e potenziali interruzioni in tutto il tenant.
Cosa Controlla Aether365
Questa verifica controlla che tutte le policy di accesso condizionale escludano esplicitamente gli account di servizio di sincronizzazione delle directory o non li includano affatto. Appare nella dashboard di Aether365 nella categoria microsoft-365 come controllo AE.1020.
Come Risolvere
- Accedere al Microsoft Entra admin center e navigare su Protection > Conditional Access > Policies.
- Esaminare ogni policy che si applica alle azioni dell'utente o al rischio di accesso. Per le policy che impongono controlli come la richiesta di MFA o il blocco dell'accesso, aggiungere l'account di sincronizzazione di Microsoft Entra Connect all'elenco Exclude nella sezione Users and groups.
- Se l'account di sincronizzazione è un'entità servizio, assicurarsi che sia escluso selezionando "Directory synchronization" o il relativo ID oggetto dell'entità servizio.
- Salvare la policy e testarla con uno strumento di convalida o un gruppo pilota per confermare che l'accesso alla sincronizzazione rimanga funzionale.
Conformità
Questa verifica non è mappata esplicitamente a un framework di conformità specifico, ma supporta le best practice di CIS e le linee guida generali sulla sicurezza di Microsoft 365.
Risorse Correlate
- Microsoft Learn: Escludere account di servizio dalle policy di Accesso Condizionale
- Microsoft Learn: Policy di Accesso Condizionale per Microsoft Entra Connect