All Conditional Access policies are configured to exclude directory synchronization accounts or do not scope them
Waarom dit van Belang is
Serviceaccounts, zoals de Microsoft Entra Connect Sync Account, zijn essentieel voor directorysynchronisatie, maar mogen nooit worden onderworpen aan voorwaardelijketoegangsbeleid dat gebruikersinteractie vereist, zoals multi-factorauthenticatie. Als deze accounts worden geblokkeerd door regels voor voorwaardelijke toegang, kan de synchronisatie mislukken, wat leidt tot identiteitsinconsistenties en mogelijke uitval in uw tenant.
Wat Aether365 Controleert
Deze controle verifieert dat al het voorwaardelijketoegangsbeleid expliciet directorysynchronisatie-serviceaccounts uitsluit of deze helemaal niet omvat. Het verschijnt in het Aether365-dashboard onder de categorie microsoft-365 als controle AE.1020.
Hoe het Op te Lossen
- Meld u aan bij het Microsoft Entra admin center en navigeer naar Protection > Conditional Access > Policies.
- Controleer elk beleid dat van toepassing is op gebruikersacties of aanmeldrisico. Voor beleid dat controles afdwingt zoals het vereisen van MFA of het blokkeren van toegang, voegt u de Microsoft Entra Connect Sync Account toe aan de lijst Exclude onder het gedeelte Users and groups.
- Als het synchronisatieaccount een serviceprincipal is, zorg er dan voor dat het wordt uitgesloten door "Directory synchronization" of de specifieke object-ID van de serviceprincipal te selecteren.
- Sla het beleid op en test het met een validatiehulpmiddel of pilootgroep om te bevestigen dat de synchronisatietoegang functioneel blijft.
Naleving
Deze controle is niet expliciet gekoppeld aan een specifiek nalevingskader, maar ondersteunt best practices van CIS en algemene Microsoft 365-beveiligingsrichtlijnen.
Gerelateerde Bronnen
- Microsoft Learn: Exclude service accounts from Conditional Access policies
- Microsoft Learn: Conditional Access policies for Microsoft Entra Connect