Hybrid users should not be assigned Entra ID role assignments
De ce contează
Atribuirea rolurilor Entra ID utilizatorilor hibrizi ale căror identități sunt sincronizate din Active Directory on-premises crește riscul de compromitere a acreditărilor. Dacă un atacator obține acces la un controler de domeniu on-premises, ar putea folosi sincronizarea identității hibride pentru a escalada privilegiile în roluri cloud. Limitarea atribuirilor de roluri Entra ID la conturi cloud-only dedicate reduce această suprafață de atac.
Ce verifică Aether365
Aether365 analizează entitatea dvs. pentru orice atribuiri de roluri Entra ID, atât eligibile, cât și permanente, acordate utilizatorilor de sincronizare hibridă. Această verificare apare în tabloul de bord Aether365 la categoria entra-id.
Cum se remediază
- Identificați și creați conturi de utilizator cloud-only dedicate în Microsoft Entra admin center pentru a deține roluri privilegiate. Urmați instrucțiunile documentate pentru protejarea conturilor privilegiate.
- Atribuiți rolurile Entra ID necesare acestor noi conturi cloud-only utilizând Azure AD Privileged Identity Management (PIM) pentru acces just-in-time.
- Eliminați orice atribuiri existente de roluri din conturile de utilizator hibride originale care au fost sincronizate din mediul on-premises.
- Verificați că niciun utilizator hibrid nu păstrează vreo atribuire permanentă sau eligibilă de rol Entra ID după modificare.
Conformitate
- Altele: Recomandare de bază de securitate pentru separarea identităților administrative de identitățile utilizatorilor
Resurse conexe
- Protejați-vă conturile de administrator global
- Asigurarea accesului privilegiat pentru implementări hibride și cloud