Aether365

Română

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Slovenčina
Slovenščina
Svenska
Українська

Română

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Slovenčina
Slovenščina
Svenska
Українська

Appearance

No hybrid user with permanent role assignment on Control Plane

De ce este important

Dacă un utilizator hibrid (un utilizator sincronizat din Active Directory local) deține un rol permanent cu privilegii înalte pe planul de control Microsoft 365, un atacator care vă compromite mediul local poate pivota către resursele cloud fără autentificare suplimentară. Acest lucru ocolește controalele dvs. de securitate cloud și creează o cale directă de deplasare laterală. Administratorii ar trebui să prioritizeze eliminarea acestor atribuiri de rol hibride pentru a aplica o separare strictă între identitățile locale și cele cloud.

Ce verifică Aether365

Această verificare scanează toate atribuirile de rol Azure Active Directory pe planul de control pentru a identifica orice utilizator hibrid (sincronizat din mediul local) cu un rol permanent înalt privilegiat, cum ar fi Global Administrator sau Privileged Role Administrator. Aether365 le semnalează ca încălcări în tabloul de bord de securitate Microsoft 365, în cadrul grupului de verificare microsoft-365.

Cum să remediați

  1. Identificați utilizatorul(ii) hibrid afectat(i). Căutați utilizatori la care atributul OnPremisesSyncEnabled este True în centrul de administrare Azure AD sau prin PowerShell.
  2. Stabiliți dacă atribuirea rolului este cu adevărat necesară. Dacă utilizatorul are nevoie de acces temporar, utilizați Azure AD Privileged Identity Management (PIM) pentru a acorda atribuiri eligibile limitate în timp, în loc de cele permanente.
  3. Dacă rolul nu este esențial, eliminați atribuirea permanentă. În portalul Azure, accesați Azure Active Directory > Roles and administrators, selectați rolul, apoi eliminați utilizatorul.
  4. Pentru orice atribuiri permanente rămase pentru utilizatorii hibrizi, creați un cont exclusiv cloud (nesincronizat din mediul local) și atribuiți rolul acelei identități cloud.
  5. După efectuarea modificărilor, rulați din nou verificarea Aether365 pentru a confirma că nu mai există încălcări.

Conformitate

  • Cadru: Other
  • Severitate: Medie (evaluare Aether365)
  • Standard conexe: Această verificare se aliniază principiului CISA Zero Trust de eliminare a încrederii implicite între mediile locale și cloud. De asemenea, sprijină configurațiile de bază EIDSCA pentru izolarea identității.

Resurse conexe

Microsoft references

Ți-a fost utilă această pagină?

© 2026 Aether365. All rights reserved.