Soft- and hard-matching of synchronized objects should be blocked.

Hvorfor Dette Er Viktig

Hvis soft matching og hard matching av synkroniserte objekter forblir aktivert, kan angripere utnytte disse mekanismene til å overta brukeridentiteter ved å matche skyspesifikke kontoer med lokale objekter. Dette øker risikoen for privilegieeskalering og uautorisert tilgang i hybridmiljøet ditt. Å blokkere disse matchingsprosessene er essensielt for å forhindre identitetsforfalskning og opprettholde streng kontroll over synkroniserte katalogobjekter.

Hva Aether365 Sjekker

Aether365 bekrefter om leieren blokkerer både soft matching og hard matching av synkroniserte objekter. Denne kontrollen vises i Aether365-dashbordet under delen microsoft-365 checks.

Slik Utfører Du Rettelsen

For å håndheve denne innstillingen, bruk PowerShell-cmdleten Set-MgPolicyAuthorizationPolicy. Kjør følgende kommando i en forhøyet PowerShell-økt etter å ha opprettet tilkobling til Microsoft Graph med Policy.ReadWrite.Authorization-omfanget:

Set-MgPolicyAuthorizationPolicy -BlockSoftAndHardMatching $true

Merk at denne innstillingen ikke kan konfigureres via Azure Portal. Sørg for at du har nødvendige tillatelser før du kjører kommandoen.

Samsvar

• Ramme: Annet (CIS, EIDSCA, CISA)

Relaterte Ressurser

• Microsoft Learn: Set-MgPolicyAuthorizationPolicy

Microsoft references

• OnPremisesSynchronization
• [$($onPremisesSynchronization](https://graph.microsoft.com/v1.0/directory/onPremisesSynchronization/$($onPremisesSynchronization.id)
• How to connect install existing tenant
• Update mgdirectoryonpremisesynchronization