Do not sync krbtgt_AzureAD to Entra ID
De ce este important
Contul krbtgt_AzureAD este un cont local integrat utilizat de Microsoft Entra Connect în timpul sincronizării inițiale. Dacă acest cont este sincronizat accidental în Entra ID, se creează un principal de securitate ascuns care poate fi folosit în mod abuziv pentru escaladarea privilegiilor sau mișcare laterală. Administratorii trebuie să se asigure că acest cont este exclus din sincronizare pentru a menține un mediu de identitate curat și sigur.
Ce verifică Aether365
Aether365 verifică dacă există un cont krbtgt_AzureAD sincronizat în entitatea Entra ID. Această verificare apare în tabloul de bord Aether365 la categoria de servicii microsoft-365 și este semnalată ca o problemă de severitate Medie.
Cum se remediază
- Conectați-vă la Microsoft Entra admin center cu cel puțin un rol de Hybrid Identity Administrator.
- Accesați Identity > Hybrid management > Microsoft Entra Connect și examinați configurația actuală de sincronizare.
- Pe serverul Microsoft Entra Connect, localizați contul local
krbtgt_AzureADși excludeți-l din sincronizare utilizând filtrarea pe unități organizaționale, filtrarea pe domenii sau filtrarea pe bază de atribute. - Rulați un ciclu complet de sincronizare și verificați dacă contul
krbtgt_AzureADnu mai apare în Entra ID.
Conformitate
- Cadru: Altele
- Referințe: Nu sunt furnizate
Resurse conexe
- Microsoft Entra Connect Sync: Understand and customize synchronization
- Microsoft Entra Connect: Filter synchronization scope