All Conditional Access policies are configured to exclude directory synchronization accounts or do not scope them
Kodėl tai svarbu
Paskyros, naudojamos paslaugoms, pvz., Microsoft Entra Connect Sync Account, yra kritiškai svarbios katalogų sinchronizavimui, tačiau joms niekada neturėtų būti taikomos sąlyginės prieigos taisyklės, reikalaujančios naudotojo sąveikos, pvz., kelių veiksnių autentifikavimo. Jei šios paskyros blokuojamos sąlyginės prieigos taisyklėmis, sinchronizavimas gali nesuveikti, dėl to gali kilti tapatybių neatitikimų ir galimų trikdžių jūsų nuomotojo veikloje.
Ką tikrina Aether365
Šis patikrinimas patvirtina, kad visos sąlyginės prieigos taisyklės arba aiškiai neįtraukia katalogų sinchronizavimo paslaugų paskyrų, arba jų iš viso neapima. „Aether365“ ataskaitų skydelyje jis rodomas kategorijoje microsoft-365 kaip patikrinimas AE.1020.
Kaip ištaisyti
- Prisijunkite prie Microsoft Entra admin center ir eikite į Protection > Conditional Access > Policies.
- Peržiūrėkite kiekvieną taisyklę, kuri taikoma naudotojų veiksmams arba prisijungimo rizikai. Taisyklėse, kurios vykdo valdiklius, pvz., reikalauja MFA arba blokuoja prieigą, pridėkite Microsoft Entra Connect Sync Account prie išimčių sąrašo (Exclude) skiltyje Users and groups.
- Jei sinchronizavimo paskyra yra tarnybos objektas (service principal), įsitikinkite, kad ji neįtraukta pasirinkus „Directory synchronization“ arba konkretų jos tarnybos objekto ID.
- Išsaugokite taisyklę ir išbandykite naudodami patvirtinimo įrankį arba bandomąją grupę, kad patvirtintumėte, jog sinchronizavimo prieiga veikia.
Atitiktis
Šis patikrinimas nėra aiškiai priskirtas konkrečiai atitikties programai, tačiau atitinka geriausią „CIS“ ir bendros „Microsoft 365“ saugos praktiką.
Susiję šaltiniai
- „Microsoft Learn“: paslaugų paskyrų neįtraukimas iš sąlyginės prieigos taisyklių
- „Microsoft Learn“: sąlyginės prieigos taisyklės, skirtos Microsoft Entra Connect