Hybrid users should not be assigned Entra ID role assignments
Kodėl tai svarbu
„Entra ID“ vaidmenų priskyrimas hibridiniams naudotojams, kurių tapatybės sinchronizuojamos iš vietinės „Active Directory“, padidina prisijungimo duomenų pažeidimo riziką. Jei užpuolikas įgyja prieigą prie vietinio domeno valdiklio, jis gali pasinaudoti hibridine tapatybių sinchronizacija, kad padidintų teises debesies vaidmenims. Apribojus „Entra ID“ vaidmenų priskyrimą tik dedikuotiems tik debesyje esantiems paskyroms, ši atakos vieta sumažinama.
Ką tikrina Aether365
„Aether365“ nuskaito jūsų nuomotoją, ieškodamas bet kokių „Entra ID“ vaidmenų priskyrimų, tiek tinkamų, tiek nuolatinių, kurie suteikti hibridiniams sinchronizavimo naudotojams. Šis patikrinimas rodomas jūsų „Aether365“ prietaisų skydelyje po kategorija „entra-id“.
Kaip ištaisyti
- Identifikuokite ir sukurkite dedikuotas tik debesyje esančias naudotojų paskyras „Microsoft Entra admin center“, kad jose būtų laikomi privilegijuoti vaidmenys. Vadovaukitės dokumentuotais nurodymais, kaip apsaugoti privilegijuotas paskyras.
- Priskirkite reikiamus „Entra ID“ vaidmenis šioms naujoms tik debesyje esančioms paskyroms naudodami „Azure AD Privileged Identity Management (PIM)“, kad būtų suteikta prieiga tik tada, kai reikia.
- Pašalinkite visus esamus vaidmenų priskyrimus iš originalių hibridinių naudotojų paskyrų, kurios buvo sinchronizuotos iš vietinės sistemos.
- Patikrinkite, ar po pakeitimo joks hibridinis naudotojas neišlaiko jokio nuolatinio arba tinkamo „Entra ID“ vaidmens priskyrimo.
Atitiktis
- Kita: Saugos bazinės linijos rekomendacija atskirti administracines tapatybes nuo naudotojų tapatybių
Susiję ištekliai
- Apsaugokite savo visuotinius administratoriaus paskyras
- Privilegijuotos prieigos užtikrinimas hibridiniams ir debesies diegimams