Soft- and hard-matching of synchronized objects should be blocked.

Varför detta är viktigt

Om mjuk matchning (soft matching) och hård matchning (hard matching) av synkroniserade objekt fortfarande är aktiverade kan angripare utnyttja dessa mekanismer för att ta över användaridentiteter genom att matcha molnbaserade konton mot lokala objekt. Detta ökar risken för privilegieeskalering och obehörig åtkomst i din hybridmiljö. Att blockera dessa matchningsprocesser är avgörande för att förhindra identitetsförfalskning och upprätthålla strikt kontroll över synkroniserade katalogobjekt.

Vad Aether365 kontrollerar

Aether365 verifierar om klienten blockerar både mjuk matchning och hård matchning av synkroniserade objekt. Denna kontroll visas i Aether365-instrumentpanelen under avsnittet microsoft-365 checks.

Så här åtgärdar du

För att tillämpa denna inställning använder du PowerShell-cmdleten Set-MgPolicyAuthorizationPolicy. Kör följande kommando i en förhöjd PowerShell-session efter att du har anslutit till Microsoft Graph med scopet Policy.ReadWrite.Authorization:

Set-MgPolicyAuthorizationPolicy -BlockSoftAndHardMatching $true

Observera att denna inställning inte kan konfigureras via Azure Portal. Se till att du har nödvändiga behörigheter innan du kör kommandot.

Regelefterlevnad

• Ramverk: Annat (CIS, EIDSCA, CISA)

Relaterade resurser

• Microsoft Learn: Set-MgPolicyAuthorizationPolicy

Microsoft references

• OnPremisesSynchronization
• [$($onPremisesSynchronization](https://graph.microsoft.com/v1.0/directory/onPremisesSynchronization/$($onPremisesSynchronization.id)
• How to connect install existing tenant
• Update mgdirectoryonpremisesynchronization