Do not sync krbtgt_AzureAD to Entra ID

Perché È Importante

L'account krbtgt_AzureAD è un account predefinito locale utilizzato da Microsoft Entra Connect durante la sincronizzazione iniziale. Se questo account viene sincronizzato accidentalmente in Entra ID, crea un'entità di sicurezza nascosta che potrebbe essere sfruttata per l'elevazione dei privilegi o lo spostamento laterale. Gli amministratori devono assicurarsi che questo account sia escluso dalla sincronizzazione per mantenere un ambiente di identità pulito e sicuro.

Cosa Controlla Aether365

Aether365 verifica se nell'ambiente Entra ID è presente un account krbtgt_AzureAD sincronizzato. Questo controllo appare nel dashboard di Aether365 nella categoria di servizio microsoft-365 ed è contrassegnato come problema di gravità Media.

Come Risolvere

1. Accedi al Microsoft Entra admin center con almeno il ruolo di Hybrid Identity Administrator.
2. Vai su Identity > Hybrid management > Microsoft Entra Connect e verifica la configurazione corrente della sincronizzazione.
3. Sul server Microsoft Entra Connect, individua l'account locale krbtgt_AzureAD ed escludilo dalla sincronizzazione utilizzando il filtro per unità organizzative, il filtro per domini o il filtro basato su attributi.
4. Esegui un ciclo completo di sincronizzazione e verifica che l'account krbtgt_AzureAD non sia più presente in Entra ID.

Conformità Normativa

• Framework: Altro
• Riferimenti: Nessuno fornito

Risorse Correlate

• Microsoft Entra Connect Sync: Comprendere e personalizzare la sincronizzazione
• Microsoft Entra Connect: Filtrare l'ambito di sincronizzazione

Microsoft references

• Kerberos
• How to connect sync configure filtering
• Microsoft Learn