Ensure Administrative accounts are cloud-only

Prečo je to dôležité

Administratívne účty, ktoré nie sú cloudové, môžu prinášať významné bezpečnostné riziká. Tieto účty sa môžu spoliehať na lokálne overovanie, čo zvyšuje útočnú plochu a robí ich zraniteľnými voči hybridným identitným hrozbám. Zabezpečenie, aby správcovia používali cloudové účty, pomáha izolovať kritické administratívne funkcie a znižuje riziko kompromitácie prihlasovacích údajov.

Čo kontroluje Aether365

Aether365 overuje, že všetky administratívne účty vo vašom Microsoft 365 nájomcovi sú nakonfigurované ako cloudové, to znamená, že nie sú synchronizované z lokálnych adresárov. Táto kontrola sa zobrazuje v nástrojovej doske Aether365 v rámci kontrol pre Microsoft 365.

Ako to opraviť

1. Prihláste sa do Microsoft Entra admin center s účtom, ktorý má rolu Global Administrator alebo Privileged Role Administrator.
2. Prejdite na Identity > Users > All users.
3. Pre každého používateľa s administratívnou rolou skontrolujte polia User principal name a Source v profile používateľa.
4. Ak je Source nastavené na Windows Server AD (synchronizované z lokálneho prostredia), identifikujte vhodného cloudového používateľa, ktorý nahradí jeho administratívnu rolu.
5. Vytvorte nového cloudového administratívneho používateľa výberom New user a vyplnením formulára. Uistite sa, že používateľ má cloudovú doménu (napríklad .onmicrosoft.com) a nie je synchronizovaný.
6. Priraďte požadované administratívne roly novému cloudovému používateľovi v časti Assigned roles.
7. Odstráňte administratívne roly zo synchronizovaného používateľského účtu. Voliteľne môžete zablokovať prihlásenie pre synchronizovaný účet.

Súlad

CIS M365 v1.1.1 (kontrola 1.1.1)

Súvisiace zdroje

Microsoft Learn: Správa používateľských rolí v Microsoft Entra ID