Soft- and hard-matching of synchronized objects should be blocked.

De ce este important

Dacă potrivirea soft și potrivirea hard a obiectelor sincronizate rămân activate, atacatorii pot exploata aceste mecanisme pentru a prelua identitățile utilizatorilor, potrivind conturile cloud-only cu obiecte on-premises. Acest lucru crește riscul de escaladare a privilegiilor și de acces neautorizat în mediul dvs. hibrid. Blocarea acestor procese de potrivire este esențială pentru a preveni uzurparea identității și pentru a menține un control strict asupra obiectelor de director sincronizate.

Ce verifică Aether365

Aether365 verifică dacă tenantul blochează atât potrivirea soft, cât și potrivirea hard a obiectelor sincronizate. Această verificare apare în tabloul de bord Aether365, în secțiunea microsoft-365 checks.

Cum se remediază

Pentru a aplica această setare, utilizați cmdlet-ul Set-MgPolicyAuthorizationPolicy din PowerShell. Rulați următoarea comandă într-o sesiune PowerShell cu privilegii ridicate, după ce v-ați conectat la Microsoft Graph cu domeniul Policy.ReadWrite.Authorization:

Set-MgPolicyAuthorizationPolicy -BlockSoftAndHardMatching $true

Rețineți că această setare nu poate fi configurată prin Azure Portal. Asigurați-vă că aveți permisiunile necesare înainte de a executa comanda.

Conformitate

• Cadru: Altele (CIS, EIDSCA, CISA)

Resurse conexe

• Microsoft Learn: Set-MgPolicyAuthorizationPolicy

Microsoft references

• OnPremisesSynchronization
• [$($onPremisesSynchronization](https://graph.microsoft.com/v1.0/directory/onPremisesSynchronization/$($onPremisesSynchronization.id)
• How to connect install existing tenant
• Update mgdirectoryonpremisesynchronization