All Conditional Access policies are configured to exclude directory synchronization accounts or do not scope them
Por Que Isso é Importante
Contas de serviço como a Conta de Sincronização do Microsoft Entra Connect são críticas para a sincronização de diretórios, mas nunca devem ser submetidas a políticas de acesso condicional que exijam interação do usuário, como a autenticação multifator. Se essas contas forem bloqueadas por regras de acesso condicional, a sincronização pode falhar, levando a inconsistências de identidade e possíveis interrupções em todo o seu locatário.
O Que o Aether365 Verifica
Esta verificação confirma que todas as políticas de acesso condicional excluem explicitamente as contas de serviço de sincronização de diretórios ou não as incluem em seu escopo. Ela aparece no painel do Aether365 na categoria microsoft-365 como a verificação AE.1020.
Como Corrigir
- Acesse o Microsoft Entra admin center e navegue até Protection > Conditional Access > Policies.
- Revise cada política que se aplica a ações do usuário ou risco de entrada. Para políticas que impõem controles como exigir MFA ou bloquear acesso, adicione a Conta de Sincronização do Microsoft Entra Connect à lista de Exclusão na seção Users and groups.
- Se a conta de sincronização for uma entidade de serviço, certifique-se de que ela seja excluída selecionando "Directory synchronization" ou o ID do objeto da entidade de serviço específica.
- Salve a política e teste com uma ferramenta de validação ou grupo piloto para confirmar que o acesso de sincronização permanece funcional.
Conformidade
Esta verificação não está explicitamente mapeada para uma estrutura de conformidade específica, mas suporta as melhores práticas do CIS e as diretrizes gerais de segurança do Microsoft 365.
Recursos Relacionados
- Microsoft Learn: Excluir contas de serviço das políticas de Acesso Condicional
- Microsoft Learn: Políticas de Acesso Condicional para o Microsoft Entra Connect