All Conditional Access policies are configured to exclude directory synchronization accounts or do not scope them

Hvorfor dette er viktig

Tjenestekontoer som Microsoft Entra Connect Sync Account er kritiske for katalogsynkronisering, men bør aldri være omfattet av betingede tilgangspolicyer som krever brukerinteraksjon, for eksempel flerfaktorautentisering. Hvis disse kontoene blokkeres av betingede tilgangsregler, kan synkroniseringen mislykkes, noe som fører til identitetsinkonsistens og potensielle driftsstans i hele tenanten din.

Hva Aether365 sjekker

Denne sjekken verifiserer at alle betingede tilgangspolicyer enten eksplisitt utelukker katalog synkroniseringstjenestekontoer eller ikke omfatter dem i det hele tatt. Den vises i Aether365-dashbordet under kategorien microsoft-365 som sjekk AE.1020.

Slik løser du det

1. Logg inn på Microsoft Entra admin center og gå til Protection > Conditional Access > Policies.
2. Gå gjennom hver policy som gjelder for brukerhandlinger eller påloggingsrisiko. For policyer som håndhever kontroller som å kreve MFA eller blokkere tilgang, legger du til Microsoft Entra Connect Sync Account i ekskluderingslisten under delen Users and groups.
3. Hvis synkroniseringskontoen er en tjenestehovedkonto, må du kontrollere at den er ekskludert ved å velge "Directory synchronization" eller dens spesifikke tjenestehovedobjekt-ID.
4. Lagre policyen og test med et valideringsverktøy eller en pilotgruppe for å bekrefte at synkroniseringstilgangen forblir funksjonell.

Samsvar

Denne sjekken er ikke eksplisitt knyttet til et spesifikt samsvarsrammeverk, men støtter beste praksis fra CIS og generelle Microsoft 365 sikkerhetsretningslinjer.

Relaterte ressurser

• Microsoft Learn: Exclude service accounts from Conditional Access policies
• Microsoft Learn: Conditional Access policies for Microsoft Entra Connect

Microsoft references

• Howto conditional access policy admin mfa