Do not sync krbtgt_AzureAD to Entra ID
Zakaj je to pomembno
Račun krbtgt_AzureAD je vgrajeni lokalni račun, ki ga Microsoft Entra Connect uporablja med začetno sinhronizacijo. Če je ta račun pomotoma sinhroniziran z Entra ID, se ustvari skriti varnostni glavnik, ki bi ga lahko zlorabili za dvigovanje privilegijev ali bočno premikanje. Skrbniki morajo zagotoviti, da je ta račun izključen iz sinhronizacije, da ohranijo čisto in varno okolje identitet.
Kaj preverja Aether365
Aether365 preverja, ali v vašem najemniku Entra ID obstaja sinhronizirani račun krbtgt_AzureAD. To preverjanje se prikaže na nadzorni plošči Aether365 v kategoriji storitev microsoft-365 in je označeno kot težava srednje resnosti.
Kako odpraviti težavo
- Prijavite se v Microsoft Entra admin center z vlogo vsaj hibridnega skrbnika identitet.
- Odprite Identity > Hybrid management > Microsoft Entra Connect in preglejte trenutno konfiguracijo sinhronizacije.
- Na strežniku Microsoft Entra Connect poiščite lokalni račun
krbtgt_AzureADin ga izključite iz sinhronizacije s filtriranjem enot OU, domen ali atributov. - Zaženite celoten cikel sinhronizacije in preverite, da račun
krbtgt_AzureADni več prisoten v Entra ID.
Skladnost s predpisi
- Okvir: Drugo
- Reference: Ni podanih
Povezani viri
- Microsoft Entra Connect Sync: Razumevanje in prilagajanje sinhronizacije
- Microsoft Entra Connect: Filtriranje obsega sinhronizacije