Do not sync krbtgt_AzureAD to Entra ID
Waarom Dit Belangrijk Is
Het krbtgt_AzureAD-account is een ingebouwd on-premises account dat door Microsoft Entra Connect wordt gebruikt tijdens de eerste synchronisatie. Als dit account per ongeluk naar Entra ID wordt gesynchroniseerd, ontstaat er een verborgen beveiligingsprincipal die misbruikt kan worden voor privilege-escalatie of laterale verplaatsing. Beheerders moeten ervoor zorgen dat dit account wordt uitgesloten van synchronisatie om een schone en veilige identiteitsomgeving te behouden.
Wat Aether365 Controleert
Aether365 controleert of er een gesynchroniseerd krbtgt_AzureAD-account bestaat in uw Entra ID-tenant. Deze controle verschijnt in het Aether365-dashboard onder de microsoft-365-servicecategorie en wordt gemarkeerd als een probleem met gemiddelde ernst.
Hoe Het Op Te Lossen
- Meld u aan bij het Microsoft Entra admin center met ten minste een Hybrid Identity Administrator-rol.
- Ga naar Identity > Hybrid management > Microsoft Entra Connect en controleer de huidige synchronisatieconfiguratie.
- Zoek op de Microsoft Entra Connect-server het on-premises
krbtgt_AzureAD-account en sluit het uit van synchronisatie met behulp van OU-filtering, domeinfiltering of op kenmerken gebaseerde filtering. - Voer een volledige synchronisatiecyclus uit en controleer of het
krbtgt_AzureAD-account niet meer in Entra ID verschijnt.
Compliance
- Framework: Overig
- Referenties: Geen opgegeven
Gerelateerde Bronnen
- Microsoft Entra Connect Sync: Understand and customize synchronization
- Microsoft Entra Connect: Filter synchronization scope