Soft- and hard-matching of synchronized objects should be blocked.

Prečo je to dôležité

Ak zostane povolené mäkké aj tvrdé párovanie synchronizovaných objektov, útočníci môžu tieto mechanizmy zneužiť na prevzatie identít používateľov tak, že cloud-only účty spárujú s on-premises objektmi. To zvyšuje riziko eskalácie oprávnení a neoprávneného prístupu v hybridnom prostredí. Blokovanie týchto procesov párovania je nevyhnutné na zabránenie falšovaniu identít a udržanie prísnej kontroly nad synchronizovanými adresárovými objektmi.

Čo kontroluje Aether365

Aether365 overuje, či tenant blokuje mäkké aj tvrdé párovanie synchronizovaných objektov. Táto kontrola sa zobrazuje v dashboarde Aether365 v sekcii microsoft-365 checks.

Ako to opraviť

Na vynútenie tohto nastavenia použite PowerShell cmdlet Set-MgPolicyAuthorizationPolicy. Nasledujúci príkaz spustite v zvýšenom PowerShell session po pripojení k Microsoft Graph s rozsahom Policy.ReadWrite.Authorization:

Set-MgPolicyAuthorizationPolicy -BlockSoftAndHardMatching $true

Upozorňujeme, že toto nastavenie nie je konfigurovateľné cez Azure Portal. Pred spustením príkazu sa uistite, že máte potrebné povolenia.

Súlad s normami

• Rámec: Iný (CIS, EIDSCA, CISA)

Súvisiace zdroje

• Microsoft Learn: Set-MgPolicyAuthorizationPolicy

Microsoft references

• OnPremisesSynchronization
• [$($onPremisesSynchronization](https://graph.microsoft.com/v1.0/directory/onPremisesSynchronization/$($onPremisesSynchronization.id)
• How to connect install existing tenant
• Update mgdirectoryonpremisesynchronization