Aether365

Italiano

English
Deutsch
Français
Español
Nederlands
Türkçe
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Italiano

English
Deutsch
Français
Español
Nederlands
Türkçe
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

No hybrid user with permanent role assignment on Control Plane

Perché è Importante

Se un utente ibrido (un utente sincronizzato da Active Directory locale) possiede un ruolo permanente ad alta privilegio sul piano di controllo di Microsoft 365, un attaccante che compromette l'ambiente locale può passare alle risorse cloud senza ulteriore autenticazione. Questo bypassa i controlli di sicurezza cloud e crea un percorso diretto di movimento laterale. Gli amministratori dovrebbero dare priorità all'eliminazione di queste assegnazioni di ruolo ibride per imporre una netta separazione tra le identità locali e quelle cloud.

Cosa Controlla Aether365

Questo controllo esamina tutte le assegnazioni di ruolo di Azure Active Directory sul piano di controllo per identificare qualsiasi utente ibrido (sincronizzato da locale) con un ruolo permanente ad alta privilegio, come Global Administrator o Privileged Role Administrator. Aether365 segnala queste come violazioni nel dashboard di sicurezza di Microsoft 365 sotto il gruppo di controllo microsoft-365.

Come Risolvere

  1. Identificare gli utenti ibridi interessati. Cercare gli utenti in cui l'attributo OnPremisesSyncEnabled è True nell'admin center di Azure AD o tramite PowerShell.
  2. Determinare se l'assegnazione del ruolo è realmente necessaria. Se l'utente necessita di accesso temporaneo, usare Azure AD Privileged Identity Management (PIM) per concedere assegnazioni idonee con scadenza temporale, invece di assegnazioni permanenti.
  3. Se il ruolo non è essenziale, rimuovere l'assegnazione permanente. Nel portale Azure, andare su Azure Active Directory > Ruoli e amministratori, selezionare il ruolo, quindi rimuovere l'utente.
  4. Per qualsiasi assegnazione di ruolo permanente rimanente su utenti ibridi, creare un account solo cloud (non sincronizzato da locale) e assegnare il ruolo a quell'identità solo cloud.
  5. Dopo aver apportato le modifiche, eseguire nuovamente il controllo Aether365 per confermare che non rimangano violazioni.

Conformità

  • Framework: Altro
  • Gravità: Media (valutazione Aether365)
  • Standard correlati: Questo controllo è allineato con il principio CISA Zero Trust di eliminare la fiducia implicita tra ambienti locali e cloud. Supporta inoltre le configurazioni di base EIDSCA per l'isolamento delle identità.

Risorse Correlate

Microsoft references

Questa pagina ti è stata utile?

© 2026 Aether365. All rights reserved.