Hybrid users should not be assigned Entra ID role assignments

Zakaj je to pomembno

Dodeljevanje vlog Entra ID hibridnim uporabnikom, katerih identitete so sinhronizirane iz krajevnih imenikov Active Directory, povečuje tveganje ogrožanja poverilnic. Če napadalec pridobi dostop do krajevnega krmilnika domene, lahko s hibridno sinhronizacijo identitet poviša svoje privilegije v oblačne vloge. Omejevanje dodeljevanja vlog Entra ID izključno na namenske oblačne račune zmanjša to napadalno površino.

Kaj preverja Aether365

Aether365 pregleda vaš najemnik za vse dodelitve vlog Entra ID, tako upravičene kot stalne, ki so dodeljene uporabnikom hibridne sinhronizacije. To preverjanje se prikaže v nadzorni plošči Aether365 pod kategorijo entra-id.

Kako odpraviti težavo

1. Ustvarite namenske izključno oblačne uporabniške račune v Microsoft Entra admin center za nosilce privilegiranih vlog. Upoštevajte dokumentirane smernice za zaščito privilegiranih računov.
2. Dodelite zahtevane vloge Entra ID tem novim izključno oblačnim računom z uporabo Azure AD Privileged Identity Management (PIM) za dostop po potrebi.
3. Odstranite vse obstoječe dodelitve vlog iz prvotnih hibridnih uporabniških računov, ki so bili sinhronizirani iz krajevnega okolja.
4. Preverite, da noben hibridni uporabnik po spremembi ne ohrani stalne ali upravičene dodelitve vlog Entra ID.

Skladnost s predpisi

• Drugo: Priporočilo varnostne osnove za ločevanje skrbniških identitet od uporabniških identitet

Povezani viri

• Zaščitite svoje račune globalnih skrbnikov
• Zavarovanje privilegiranega dostopa za hibridne in oblačne namestitve

Microsoft references

• Advanced hunting identityinfo table
• App governance get started
• Protect m365 from on premises attacks
• Protect your global administrator accounts