Aether365

Norsk bokmål

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Norsk bokmål

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

No hybrid user with permanent role assignment on Control Plane

Hvorfor dette er viktig

Hvis en hybridbruker (en bruker synkronisert fra lokal Active Directory) har en permanent høyprivilegert rolle på Microsoft 365-kontrollplanet, kan en angriper som kompromitterer ditt lokale miljø, bevege seg over til skytjenester uten ytterligere autentisering. Dette omgår dine skysikkerhetskontroller og skaper en direkte sidelengs bevegelsesbane. Administratorer bør prioritere å fjerne disse hybride rolletildelingene for å opprettholde streng atskillelse mellom lokale og skybaserte identiteter.

Hva Aether365 sjekker

Denne sjekken skanner alle Azure Active Directory-rolletildelinger på kontrollplanet for å identifisere hybridbrukere (synkronisert fra lokalt miljø) med en permanent høyprivilegert rolle, som Global Administrator eller Privileged Role Administrator. Aether365 markerer disse som brudd i ditt Microsoft 365-sikkerhetsdashboard under kontrollgruppen microsoft-365.

Slik retter du

  1. Identifiser de berørte hybridbrukerne. Se etter brukere der OnPremisesSyncEnabled-attributtet er True i Azure AD-administrasjonssenteret eller via PowerShell.
  2. Avgjr om rolletildelingen faktisk er ndvendig. Hvis brukeren trenger midlertidig tilgang, bruk Azure AD Privileged Identity Management (PIM) til å gi tidsbegrensede, kvalifiserte tildelinger i stedet for permanente.
  3. Hvis rollen ikke er avgjørende, fjern den permanente tildelingen. I Azure-portalen går du til Azure Active Directory > Roller og administratorer, velger rollen, og fjerner deretter brukeren.
  4. For gjenværende permanente rolletildelinger på hybridbrukere oppretter du en skyspesifikk konto (ikke synkronisert fra lokalt miljø) og tildeler rollen til den skybaserte identiteten i stedet.
  5. Etter ndringer, kjør Aether365-sjekken på nytt for å bekrefte at ingen brudd gjenstår.

Samsvar

  • Ramverk: Annet
  • Alvorlighetsgrad: Middels (Aether365-vurdering)
  • Relaterte standarder: Denne sjekken er i trad med CISA Zero Trust-prinsippet om å fjerne implisitt tillit mellom lokale og skymiljøer. Den støtter også EIDSCA-grunnkonfigurasjoner for identitetsisolering.

Relaterte ressurser

Microsoft references

Var denne siden nyttig?

© 2026 Aether365. All rights reserved.