Do not sync krbtgt_AzureAD to Entra ID
Dlaczego to jest wazne
Konto krbtgt_AzureAD to wbudowane konto lokalne uzywane przez Microsoft Entra Connect podczas poczatkowej synchronizacji. Jesli to konto zostanie przypadkowo zsynchronizowane z Entra ID, tworzy ukryty podmiot zabezpieczen, ktory moze byc naduzyty do eskalacji uprawnien lub przemieszczania sie bocznego. Administratorzy musza zapewnic, ze to konto jest wykluczone z synchronizacji, aby utrzymac czyste i bezpieczne srodowisko tozsamosci.
Co sprawdza Aether365
Aether365 weryfikuje, czy zsynchronizowane konto krbtgt_AzureAD istnieje w Twojej dzierZawie Entra ID. To sprawdzenie pojawia sie na pulpicie nawigacyjnym Aether365 w kategorii uslugi microsoft-365 i jest oznaczane jako problem o srednim stopniu waznosci.
Jak naprawic
- Zaloguj sie do Microsoft Entra admin center z co najmniej rola Hybrid Identity Administrator.
- Przejdz do Identity > Hybrid management > Microsoft Entra Connect i przejrzyj biezaca konfiguracje synchronizacji.
- Na serwerze Microsoft Entra Connect znajdz lokalne konto
krbtgt_AzureADi wylacz je z synchronizacji za pomoca filtrowania jednostek OU, filtrowania domen lub filtrowania opartego na atrybutach. - Uruchom pelny cykl synchronizacji i sprawdz, czy konto
krbtgt_AzureADnie pojawia sie juz w Entra ID.
Zgodnosc
- Ramy: Inne
- Materialy zrodlowe: Brak dostarczonych
Powiazane zasoby
- Microsoft Entra Connect Sync: Understand and customize synchronization
- Microsoft Entra Connect: Filter synchronization scope