All Conditional Access policies are configured to exclude directory synchronization accounts or do not scope them
Dlaczego to ma znaczenie
Konta usługowe, takie jak konto synchronizacji Microsoft Entra Connect Sync Account, są kluczowe dla synchronizacji katalogów, ale nie powinny podlegać zasadom dostępu warunkowego wymagającym interakcji użytkownika, takim jak uwierzytelnianie wieloskładnikowe. Jeśli te konta zostaną zablokowane przez reguły dostępu warunkowego, synchronizacja może się nie powieść, co prowadzi do niespójności tożsamości i potencjalnych przestojów w całej dzierżawie.
Co sprawdza Aether365
To sprawdzenie weryfikuje, czy wszystkie zasady dostępu warunkowego albo jawnie wykluczają konta usługowe synchronizacji katalogów, albo w ogóle ich nie dotyczą. Pojawia się ono w panelu Aether365 w kategorii microsoft-365 jako sprawdzenie AE.1020.
Jak naprawić
- Zaloguj się do Microsoft Entra admin center i przejdź do Protection > Conditional Access > Policies.
- Przejrzyj każdą zasadę, która ma zastosowanie do działań użytkownika lub ryzyka logowania. W przypadku zasad wymuszających kontrole, takie jak wymaganie uwierzytelniania wieloskładnikowego (MFA) lub blokowanie dostępu, dodaj konto synchronizacji Microsoft Entra Connect Sync Account do listy wykluczeń w sekcji Users and groups.
- Jeśli konto synchronizacji jest jednostką usługową (service principal), upewnij się, że zostało wykluczone przez wybranie opcji "Directory synchronization" lub jego konkretnego identyfikatora obiektu jednostki usługowej.
- Zapisz zasadę i przetestuj ją za pomocą narzędzia do walidacji lub grupy pilotażowej, aby potwierdzić, że dostęp synchronizacji pozostaje funkcjonalny.
Zgodność
To sprawdzenie nie jest jawnie przypisane do konkretnych ram zgodności, ale wspiera najlepsze praktyki z CIS oraz ogólne wytyczne bezpieczeństwa Microsoft 365.
Powiązane zasoby
- Microsoft Learn: Wykluczanie kont usługowych z zasad dostępu warunkowego
- Microsoft Learn: Zasady dostępu warunkowego dla Microsoft Entra Connect