Soft- and hard-matching of synchronized objects should be blocked.

Waarom dit belangrijk is

Als soft matching en hard matching van gesynchroniseerde objecten ingeschakeld blijven, kunnen aanvallers deze mechanismen misbruiken om identiteiten van gebruikers over te nemen door cloud-only accounts te koppelen aan on-premises objecten. Dit verhoogt het risico op privilege-escalatie en ongeautoriseerde toegang in uw hybride omgeving. Het blokkeren van deze matchingprocessen is essentieel om identiteitsvervalsing te voorkomen en strikte controle over gesynchroniseerde directoryobjecten te behouden.

Wat Aether365 controleert

Aether365 controleert of de tenant zowel soft matching als hard matching van gesynchroniseerde objecten blokkeert. Deze controle is te vinden in het Aether365-dashboard onder de sectie microsoft-365-checks.

Hoe u het oplost

Om deze instelling af te dwingen, gebruikt u de PowerShell-cmdlet Set-MgPolicyAuthorizationPolicy. Voer de volgende opdracht uit in een verhoogde PowerShell-sessie nadat u verbinding hebt gemaakt met Microsoft Graph met het bereik Policy.ReadWrite.Authorization:

Set-MgPolicyAuthorizationPolicy -BlockSoftAndHardMatching $true

Let op: deze instelling is niet configureerbaar via Azure Portal. Zorg ervoor dat u de benodigde machtigingen hebt voordat u de opdracht uitvoert.

Compliance

• Framework: Andere (CIS, EIDSCA, CISA)

Gerelateerde bronnen

• Microsoft Learn: Set-MgPolicyAuthorizationPolicy

Microsoft references

• OnPremisesSynchronization
• [$($onPremisesSynchronization](https://graph.microsoft.com/v1.0/directory/onPremisesSynchronization/$($onPremisesSynchronization.id)
• How to connect install existing tenant
• Update mgdirectoryonpremisesynchronization