Soft- and hard-matching of synchronized objects should be blocked.

Dlaczego to jest ważne

Jeśli miękkie i twarde dopasowywanie zsynchronizowanych obiektów pozostanie włączone, osoby atakujące mogą wykorzystać te mechanizmy do przejęcia tożsamości użytkowników poprzez dopasowanie kont chmurowych do obiektów lokalnych. Zwiększa to ryzyko eskalacji uprawnień i nieautoryzowanego dostępu w środowisku hybrydowym. Zablokowanie tych procesów dopasowywania jest niezbędne, aby zapobiec podszywaniu się pod tożsamości i zachować ścisłą kontrolę nad zsynchronizowanymi obiektami katalogowymi.

Co sprawdza Aether365

Aether365 weryfikuje, czy dzierżawa blokuje zarówno miękkie, jak i twarde dopasowywanie zsynchronizowanych obiektów. To sprawdzenie pojawia się w panelu Aether365 w sekcji sprawdzeń microsoft-365.

Jak naprawić

Aby wymusić to ustawienie, użyj polecenia cmdlet PowerShell Set-MgPolicyAuthorizationPolicy. Uruchom następujące polecenie w sesji PowerShell z podwyższonym poziomem uprawnień po połączeniu z Microsoft Graph z zakresem Policy.ReadWrite.Authorization:

Set-MgPolicyAuthorizationPolicy -BlockSoftAndHardMatching $true

Należy pamiętać, że to ustawienie nie jest konfigurowalne za pośrednictwem Azure Portal. Przed wykonaniem polecenia upewnij się, że masz wymagane uprawnienia.

Zgodność

• Framework: Inne (CIS, EIDSCA, CISA)

Powiązane zasoby

• Microsoft Learn: Set-MgPolicyAuthorizationPolicy

Microsoft references

• OnPremisesSynchronization
• [$($onPremisesSynchronization](https://graph.microsoft.com/v1.0/directory/onPremisesSynchronization/$($onPremisesSynchronization.id)
• How to connect install existing tenant
• Update mgdirectoryonpremisesynchronization