Soft- and hard-matching of synchronized objects should be blocked.
Kodėl tai svarbu
Jeigu minkštasis ir kietasis sinchronizuotų objektų atitikimas lieka įjungtas, užpuolikai gali išnaudoti šiuos mechanizmus, kad perimtų naudotojų tapatybes, suderindami tik debesyje esančias paskyras su vietiniais objektais. Tai padidina privilegijų eskalavimo ir neteisėtos prieigos riziką jūsų hibridinėje aplinkoje. Šių atitikimo procesų blokavimas yra būtinas siekiant išvengti tapatybės klastojimo ir išlaikyti griežtą sinchronizuotų katalogo objektų kontrolę.
Ką tikrina Aether365
Aether365 patikrina, ar nuomininkas blokuoja tiek minkštąjį, tiek kietąjį sinchronizuotų objektų atitikimą. Šis patikrinimas rodomas Aether365 prietaisų skydelyje po microsoft-365 checks skyriumi.
Kaip ištaisyti
Norėdami priverstinai nustatyti šį parametrą, naudokite Set-MgPolicyAuthorizationPolicy PowerShell cmdlet. Paleiskite šią komandą aukštesniosios privilegijos PowerShell seanse po prisijungimo prie Microsoft Graph su Policy.ReadWrite.Authorization apimtimi:
powershell
Set-MgPolicyAuthorizationPolicy -BlockSoftAndHardMatching $trueAtkreipkite dėmesį, kad šis nustatymas nėra konfigūruojamas per Azure Portal. Prieš vykdydami komandą įsitikinkite, kad turite reikiamus leidimus.
Atitiktis
- Sistema: Kita (CIS, EIDSCA, CISA)