Do not sync krbtgt_AzureAD to Entra ID

Kodėl tai svarbu

Paskyra krbtgt_AzureAD yra įmontuota vietinė paskyra, kurią pradinio sinchronizavimo metu naudoja Microsoft Entra Connect. Jei ši paskyra netyčia sinchronizuojama į Entra ID, sukuriamas paslėptas saugos objektas, kuris gali būti netinkamai naudojamas privilegijų didinimui ar horizontaliam judėjimui. Administratoriai privalo užtikrinti, kad ši paskyra būtų neįtraukta į sinchronizavimą, kad būtų palaikoma švari ir saugi tapatybių aplinka.

Ką tikrina Aether365

Aether365 patikrina, ar jūsų Entra ID nuomotoje egzistuoja sinchronizuota paskyra krbtgt_AzureAD. Šis patikrinimas rodomas Aether365 ataskaitų suvestinėje po kategorija „microsoft-365“ ir yra pažymėtas kaip vidutinio sunkumo problema.

Kaip ištaisyti

1. Prisijunkite prie Microsoft Entra admin center turėdami bent jau hibridinės tapatybės administratoriaus vaidmenį.
2. Eikite į Identity > Hybrid management > Microsoft Entra Connect ir peržiūrėkite dabartinę sinchronizavimo konfigūraciją.
3. Microsoft Entra Connect serveryje raskite vietinę paskyrą krbtgt_AzureAD ir neįtraukite ją iš sinchronizavimo naudodami OU filtravimą, domenų filtravimą arba atributais pagrįstą filtravimą.
4. Paleiskite visą sinchronizavimo ciklą ir patikrinkite, ar paskyra krbtgt_AzureAD nebėra rodoma Entra ID.

Atitiktis

• Sistema: Kita
• Nuorodos: Nepateikta

Susiję ištekliai

• Microsoft Entra Connect Sync: Understand and customize synchronization
• Microsoft Entra Connect: Filter synchronization scope

Microsoft references

• Kerberos
• How to connect sync configure filtering
• Microsoft Learn