All Conditional Access policies are configured to exclude directory synchronization accounts or do not scope them

Zakaj je to Pomembno

Računi storitev, kot je Microsoft Entra Connect Sync Account, so ključni za sinhronizacijo imenika, vendar nikoli ne smejo biti predmet pravilnikov pogojnega dostopa, ki zahtevajo uporabniško interakcijo, kot je večfaktorska avtentikacija. Če so ti računi blokirani s pravili pogojnega dostopa, lahko sinhronizacija odpove, kar povzroči nedoslednosti identitet in morebitne izpade v vašem najemniku.

Kaj preverja Aether365

To preverjanje zagotavlja, da vsi pravilniki pogojnega dostopa bodisi izrecno izključujejo račune storitev za sinhronizacijo imenika ali pa jih sploh ne vključujejo. Pojavi se v nadzorni plošči Aether365 pod kategorijo microsoft-365 kot preverjanje AE.1020.

Kako odpraviti

1. Prijavite se v Microsoft Entra admin center in pojdite na Protection > Conditional Access > Policies.
2. Preglejte vsak pravilnik, ki velja za uporabniška dejanja ali tveganje prijave. Za pravilnike, ki uveljavljajo kontrole, kot je zahteva po MFA ali blokiranje dostopa, dodajte Microsoft Entra Connect Sync Account v seznam Exclude v razdelku Users and groups.
3. Če je račun za sinhronizacijo servisni principal, zagotovite, da je izključen tako, da izberete "Directory synchronization" ali njegov specifični ID objekta servisnega principal.
4. Shranite pravilnik in ga preizkusite z orodjem za validacijo ali pilotno skupino, da potrdite, da dostop do sinhronizacije ostane funkcionalen.

Skladnost

To preverjanje ni izrecno povezano s posebnim okvirom skladnosti, vendar podpira najboljše prakse CIS in splošne Microsoft 365 varnostne smernice.

Povezani viri

• Microsoft Learn: Izključitev računov storitev iz pravilnikov pogojnega dostopa
• Microsoft Learn: Pravilniki pogojnega dostopa za Microsoft Entra Connect

Microsoft references

• Howto conditional access policy admin mfa