Hybrid users should not be assigned Entra ID role assignments
Por Que Isso Importa
Atribuir funções do Entra ID a usuários híbridos cujas identidades são sincronizadas do Active Directory local aumenta o risco de comprometimento de credenciais. Se um invasor obtiver acesso a um controlador de domínio local, ele poderá potencialmente explorar a sincronização de identidade híbrida para elevar privilégios a funções na nuvem. Manter as atribuições de funções do Entra ID limitadas a contas dedicadas exclusivas da nuvem reduz essa superfície de ataque.
O Que o Aether365 Verifica
O Aether365 verifica seu locatário em busca de quaisquer atribuições de funções do Entra ID, tanto elegíveis quanto permanentes, concedidas a usuários de sincronização híbrida. Essa verificação aparece no painel do Aether365 sob a categoria entra-id.
Como Corrigir
- Identifique e crie contas de usuário dedicadas exclusivas da nuvem no Microsoft Entra admin center para manter funções privilegiadas. Siga as orientações documentadas para proteger contas privilegiadas.
- Atribua as funções necessárias do Entra ID a essas novas contas exclusivas da nuvem usando o Azure AD Privileged Identity Management (PIM) para acesso just-in-time.
- Remova quaisquer atribuições de funções existentes das contas de usuário híbridas originais que foram sincronizadas do ambiente local.
- Verifique se nenhum usuário híbrido mantém qualquer atribuição de função permanente ou elegível do Entra ID após a alteração.
Conformidade
- Outros: Recomendação de linha de base de segurança para separar identidades administrativas de identidades de usuário
Recursos Relacionados
- Proteja suas contas de administrador global
- Segurança de acesso privilegiado para implantações híbridas e na nuvem