Do not sync krbtgt_AzureAD to Entra ID
Hvorfor dette er viktig
krbtgt_AzureAD-kontoen er en innebygd lokal konto som brukes av Microsoft Entra Connect under innledende synkronisering. Hvis denne kontoen ved et uhell synkroniseres til Entra ID, opprettes det en skjult sikkerhetsprinsipal som kan misbrukes til privilegieøkning eller lateral bevegelse. Administratorer må sikre at denne kontoen er ekskludert fra synkronisering for å opprettholde et rent og sikkert identitetsmiljø.
Hva Aether365 sjekker
Aether365 verifiserer om en synkronisert krbtgt_AzureAD-konto finnes i Entra ID-leieren din. Denne kontrollen vises i Aether365-dashbordet under microsoft-365-tjenestekategorien og flagges som et problem med medium alvorlighetsgrad.
Slik fikser du
- Logg inn på Microsoft Entra admin center med minst rollen Hybrid Identity Administrator.
- Gå til Identity > Hybrid management > Microsoft Entra Connect og se gjennom gjeldende synkroniseringskonfigurasjon.
- På Microsoft Entra Connect-serveren finner du den lokale
krbtgt_AzureAD-kontoen og ekskluderer den fra synkronisering ved hjelp av filtrering basert på OU, domene eller attributter. - Kjør en fullstendig synkroniseringssyklus og bekreft at
krbtgt_AzureAD-kontoen ikke lenger vises i Entra ID.
Samsvar
- Rammeverk: Annet
- Referanser: Ingen oppgitt
Relaterte ressurser
- Microsoft Entra Connect Sync: Forstå og tilpass synkronisering
- Microsoft Entra Connect: Filtrer synkroniseringsomfang