Aether365

Português

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Română
Slovenčina
Slovenščina
Svenska
Українська

Português

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

No hybrid user with permanent role assignment on Control Plane

Por Que Isso É Importante

Se um usuário híbrido (sincronizado do Active Directory local) detém uma função permanente de alto privilégio no plano de controle do Microsoft 365, um invasor que comprometer seu ambiente local pode usar os recursos da nuvem sem autenticação adicional. Isso contorna seus controles de segurança na nuvem e cria um caminho direto de movimento lateral. Os administradores devem priorizar a eliminação dessas atribuições de funções híbridas para impor uma separação rigorosa entre identidades locais e na nuvem.

O Que o Aether365 Verifica

Esta verificação examina todas as atribuições de funções do Azure Active Directory no plano de controle para identificar qualquer usuário híbrido (sincronizado do ambiente local) com uma função permanente de alto privilégio, como Global Administrator ou Privileged Role Administrator. O Aether365 sinaliza essas ocorrências como violações em seu painel de segurança do Microsoft 365, no grupo de verificação microsoft-365.

Como Corrigir

  1. Identifique os usuários híbridos afetados. Procure por usuários nos quais o atributo OnPremisesSyncEnabled seja True no centro de administração do Azure AD ou pelo PowerShell.
  2. Determine se a atribuição da função é realmente necessária. Se o usuário precisar de acesso temporário, use o Azure AD Privileged Identity Management (PIM) para conceder atribuições elegíveis e com prazo definido, em vez de permanentes.
  3. Se a função não for essencial, remova a atribuição permanente. No portal do Azure, vá para Azure Active Directory > Roles and administrators, selecione a função e remova o usuário.
  4. Para quaisquer atribuições de função permanente restantes em usuários híbridos, crie uma conta somente na nuvem (não sincronizada do ambiente local) e atribua a função a essa identidade apenas na nuvem.
  5. Após fazer as alterações, execute a verificação do Aether365 novamente para confirmar que não há violações restantes.

Conformidade

  • Estrutura: Outros
  • Severidade: Média (classificação do Aether365)
  • Padrões relacionados: Esta verificação está alinhada ao princípio de Zero Trust da CISA de eliminar a confiança implícita entre ambientes locais e na nuvem. Também oferece suporte às configurações de linha de base do EIDSCA para isolamento de identidade.

Recursos Relacionados

Microsoft references

Esta página foi útil?

© 2026 Aether365. All rights reserved.