Hybrid users should not be assigned Entra ID role assignments
Hvorfor dette er viktig
Å tildele Entra ID-roller til hybridbrukere hvis identiteter synkroniseres fra lokal Active Directory, øker risikoen for kompromittering av legitimasjon. Hvis en angriper får tilgang til en lokal domenekontroller, kan de potensielt utnytte hybrid-identitetssynkronisering for å eskalere rettigheter til skytjenester. Å begrense Entra ID-rolletildelinger til dedikerte, kun-sky-baserte kontoer reduserer denne angrepsflaten.
Hva Aether365 sjekker
Aether365 skanner din leietaker for eventuelle Entra ID-rolletildelinger, både kvalifiserende og permanente, som gis til hybrid-synkroniseringsbrukere. Denne sjekken vises i Aether365-dashbordet under kategorien entra-id.
Slik løser du problemet
- Identifiser og opprett dedikerte, kun-sky-baserte brukerkontoer i Microsoft Entra admin center for å inneha privilegerte roller. Følg den dokumenterte veiledningen for å beskytte privilegerte kontoer.
- Tilordne de nødvendige Entra ID-rollene til disse nye, kun-sky-baserte kontoene ved hjelp av Azure AD Privileged Identity Management (PIM) for rett-tid-tilgang.
- Fjern eventuelle eksisterende rolletildelinger fra de opprinnelige hybridbrukerkontoene som ble synkronisert fra lokal infrastruktur.
- Bekreft at ingen hybridbruker beholder noen permanent eller kvalifiserende Entra ID-rolletildeling etter endringen.
Samsvar
- Annet: Sikkerhetsbaseline-anbefaling om å skille administrative identiteter fra brukeridentiteter
Relaterte ressurser
- Beskytt dine globale administrator-kontoer
- Sikre privilegert tilgang for hybrid- og skydistribusjoner