All Conditional Access policies are configured to exclude directory synchronization accounts or do not scope them
Prečo je to dôležité
Servisné účty, ako napríklad účet na synchronizáciu služby Microsoft Entra Connect, sú kľúčové pre synchronizáciu adresárov, ale nikdy by nemali podliehať politikám podmieneného prístupu, ktoré vyžadujú interakciu používateľa, napríklad viacfaktorové overenie. Ak sú tieto účty blokované pravidlami podmieneného prístupu, synchronizácia môže zlyhať, čo vedie k nezrovnalostiam v identitách a potenciálnym výpadkom vo vašom tenante.
Čo kontroluje Aether365
Táto kontrola overuje, či všetky politiky podmieneného prístupu explicitne vylučujú servisné účty na synchronizáciu adresárov alebo ich vôbec nezahŕňajú. Zobrazuje sa na paneli Aether365 v kategórii microsoft-365 ako kontrola AE.1020.
Ako opraviť
- Prihláste sa do centra spravovania služby Microsoft Entra admin center a prejdite na položku Protection > Conditional Access > Policies.
- Skontrolujte každú politiku, ktorá sa vzťahuje na akcie používateľa alebo riziko prihlásenia. Pri politikách, ktoré vynucujú kontroly, ako je vyžadovanie MFA alebo blokovanie prístupu, pridajte účet na synchronizáciu služby Microsoft Entra Connect do zoznamu Exclude v časti Users and groups.
- Ak je synchronizačný účet hlavný názov služby (service principal), uistite sa, že je vylúčený výberom položky "Directory synchronization" alebo jeho konkrétneho ID objektu hlavného názvu služby.
- Uložte politiku a otestujte pomocou overovacieho nástroja alebo pilotnej skupiny, aby ste potvrdili, že prístup na synchronizáciu zostáva funkčný.
Súlad s predpismi
Táto kontrola nie je výslovne priradená ku konkrétnemu rámcu dodržiavania predpisov, ale podporuje osvedčené postupy podľa CIS a všeobecné bezpečnostné usmernenia pre Microsoft 365.
Súvisiace zdroje
- Microsoft Learn: Vylúčenie servisných účtov z politík podmieneného prístupu
- Microsoft Learn: Politiky podmieneného prístupu pre Microsoft Entra Connect