Soft- and hard-matching of synchronized objects should be blocked.

Perché è Importante

Se l'associazione flessibile (soft matching) e l'associazione rigida (hard matching) degli oggetti sincronizzati rimangono attive, gli aggressori possono sfruttare questi meccanismi per impossessarsi delle identità degli utenti, abbinando account solo cloud a oggetti on-premises. Questo aumenta il rischio di escalation dei privilegi e di accesso non autorizzato nell'ambiente ibrido. Bloccare questi processi di associazione è essenziale per prevenire lo spoofing delle identità e mantenere un controllo rigoroso sugli oggetti della directory sincronizzati.

Cosa Verifica Aether365

Aether365 verifica se il tenant blocca sia l'associazione flessibile (soft matching) che l'associazione rigida (hard matching) degli oggetti sincronizzati. Questo controllo appare nella dashboard di Aether365 sotto la sezione dei controlli microsoft-365.

Come Risolvere

Per applicare questa impostazione, utilizzare il cmdlet PowerShell Set-MgPolicyAuthorizationPolicy. Eseguire il comando seguente in una sessione PowerShell con privilegi elevati dopo essersi connessi a Microsoft Graph con l'ambito Policy.ReadWrite.Authorization:

Set-MgPolicyAuthorizationPolicy -BlockSoftAndHardMatching $true

Si noti che questa impostazione non è configurabile tramite Azure Portal. Assicurarsi di disporre delle autorizzazioni necessarie prima di eseguire il comando.

Conformità

• Framework: Altro (CIS, EIDSCA, CISA)

Risorse Correlate

• Microsoft Learn: Set-MgPolicyAuthorizationPolicy

Microsoft references

• OnPremisesSynchronization
• [$($onPremisesSynchronization](https://graph.microsoft.com/v1.0/directory/onPremisesSynchronization/$($onPremisesSynchronization.id)
• How to connect install existing tenant
• Update mgdirectoryonpremisesynchronization