Aether365

Polski

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Polski

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

No hybrid user with permanent role assignment on Control Plane

Dlaczego to jest ważne

Jeśli użytkownik hybrydowy (zsynchronizowany z lokalnego Active Directory) ma stałą, wysoce uprzywilejowaną rolę w warstwie zarządzania Microsoft 365, osoba atakująca, która naruszy Twoje środowisko lokalne, może uzyskać dostęp do zasobów w chmurze bez dodatkowego uwierzytelniania. Obejście to pomija Twoje zabezpieczenia w chmurze i tworzy bezpośrednią ścieżkę ruchu bocznego. Administratorzy powinni priorytetowo eliminować takie hybrydowe przypisania ról, aby zapewnić ścisłe rozdzielenie tożsamości lokalnych i chmurowych.

Co sprawdza Aether365

To sprawdzenie skanuje wszystkie przypisania ról Azure Active Directory w warstwie zarządzania, identyfikując użytkowników hybrydowych (zsynchronizowanych z środowiska lokalnego) posiadających stałą rolę o wysokich uprawnieniach, taką jak Global Administrator lub Privileged Role Administrator. Aether365 oznacza je jako naruszenia na pulpicie zabezpieczeń Microsoft 365 w grupie sprawdzeń microsoft-365.

Jak naprawić

  1. Zidentyfikuj odpowiednich użytkowników hybrydowych. Sprawdź, czy atrybut OnPremisesSyncEnabled ma wartość True w centrum administracyjnym Azure AD lub za pomocą PowerShell.
  2. Określ, czy przypisanie roli jest rzeczywiście wymagane. Jeśli użytkownik potrzebuje tymczasowego dostępu, użyj Azure AD Privileged Identity Management (PIM), aby nadać ograniczone czasowo, kwalifikowalne przypisania zamiast stałych.
  3. Jeśli rola nie jest niezbędna, usuń stałe przypisanie. W portalu Azure przejdź do Azure Active Directory > Roles and administrators, wybierz rolę, a następnie usuń użytkownika.
  4. Dla pozostałych stałych przypisań ról użytkownikom hybrydowym utwórz konto tylko w chmurze (niezsynchronizowane z środowiska lokalnego) i przypisz rolę tej tożsamości chmurowej.
  5. Po wprowadzeniu zmian uruchom ponownie sprawdzenie Aether365, aby potwierdzić brak naruszeń.

Zgodność

  • Ramy: Inne
  • Ważność: Średnia (ocena Aether365)
  • Powiązane standardy: To sprawdzenie jest zgodne z zasadą CISA Zero Trust dotyczącą eliminowania domyślnego zaufania między środowiskiem lokalnym a chmurą. Wspiera również konfiguracje bazowe EIDSCA dla izolacji tożsamości.

Powiązane zasoby

Microsoft references

Czy ta strona była pomocna?

© 2026 Aether365. All rights reserved.