All Conditional Access policies are configured to exclude directory synchronization accounts or do not scope them
De ce este important
Conturile de serviciu, precum Contul de Sincronizare Microsoft Entra Connect, sunt esențiale pentru sincronizarea directoarelor, dar nu ar trebui să fie niciodată supuse unor politici de acces condiționat care necesită interacțiunea utilizatorului, cum ar fi autentificarea multi-factor. Dacă aceste conturi sunt blocate de regulile de acces condiționat, sincronizarea poate eșua, ducând la inconsistențe de identitate și potențiale întreruperi în întregul dvs. tenant.
Ce verifică Aether365
Această verificare confirmă că toate politicile de acces condiționat fie exclud în mod explicit conturile de serviciu pentru sincronizarea directoarelor, fie nu le includ deloc în domeniul lor de aplicare. Apare în tabloul de bord Aether365 la categoria microsoft-365 ca verificare AE.1020.
Cum se remediază
- Conectați-vă la Microsoft Entra admin center și navigați la Protection > Conditional Access > Policies.
- Examinați fiecare politică care se aplică acțiunilor utilizatorului sau riscului de autentificare. Pentru politicile care impun controale precum solicitarea MFA sau blocarea accesului, adăugați Contul de Sincronizare Microsoft Entra Connect în lista de excludere, în secțiunea Users and groups.
- Dacă contul de sincronizare este un service principal, asigurați-vă că este exclus selectând "Directory synchronization" sau ID-ul specific al obiectului service principal aferent.
- Salvați politica și testați cu un instrument de validare sau cu un grup pilot pentru a confirma că accesul la sincronizare rămâne funcțional.
Conformitate
Această verificare nu este mapată în mod explicit la un cadru specific de conformitate, dar sprijină cele mai bune practici din CIS și orientările generale de securitate Microsoft 365.
Resurse conexe
- Microsoft Learn: Exclude service accounts from Conditional Access policies
- Microsoft Learn: Conditional Access policies for Microsoft Entra Connect