All Conditional Access policies are configured to exclude directory synchronization accounts or do not scope them
Varför detta är viktigt
Tjänstekonton som Microsoft Entra Connect Sync Account är avgörande för katalogsynkronisering men bör aldrig omfattas av villkorsstyrda åtkomstprinciper som kräver användarinteraktion, såsom multifaktorautentisering. Om dessa konton blockeras av villkorsstyrda åtkomstregler kan synkroniseringen misslyckas, vilket leder till identitetsinkonsekvenser och potentiella driftstörningar i hela din klientorganisation.
Vad Aether365 kontrollerar
Denna kontroll verifierar att alla villkorsstyrda åtkomstprinciper antingen uttryckligen exkluderar tjänstekonton för katalogsynkronisering eller inte omfattar dem alls. Den visas i Aether365-instrumentpanelen under kategorin microsoft-365 som kontroll AE.1020.
Åtgärd
- Logga in på Microsoft Entra admin center och navigera till Protection > Conditional Access > Policies.
- Granska varje princip som gäller för användaråtgärder eller inloggningsrisk. För principer som tillämpar kontroller som att kräva MFA eller blockera åtkomst, lägg till Microsoft Entra Connect Sync Account i exkluderingslistan under avsnittet Users and groups.
- Om synkroniseringskontot är ett huvudnamn för tjänst (service principal) ska du säkerställa att det exkluderas genom att välja "Directory synchronization" eller dess specifika objekt-ID för tjänsthuvudnamnet.
- Spara principen och testa med ett valideringsverktyg eller en pilotgrupp för att bekräfta att synkroniseringsåtkomsten fortsätter att fungera.
Efterlevnad
Denna kontroll är inte explicit kopplad till ett specifikt ramverk för efterlevnad men stöder bästa praxis från CIS och allmänna Microsoft 365-säkerhetsriktlinjer.
Relaterade resurser
- Microsoft Learn: Exclude service accounts from Conditional Access policies
- Microsoft Learn: Conditional Access policies for Microsoft Entra Connect