Ensure Administrative accounts are cloud-only
Varför detta är viktigt
Administrativa konton som inte är molnbaserade kan medföra betydande säkerhetsrisker. Dessa konton kan vara beroende av lokal autentisering, vilket ökar attackytan och gör dem sårbara för hybrididentitetshot. Genom att säkerställa att administratörer använder molnbaserade konton kan kritiska administrativa funktioner isoleras och risken för komprometterade autentiseringsuppgifter minskas.
Vad Aether365 kontrollerar
Aether365 verifierar att alla administrativa konton i din Microsoft 365-klientorganisation är konfigurerade som molnbaserade, vilket innebär att de inte synkroniseras från lokala kataloger. Denna kontroll visas i Aether365-instrumentpanelen under microsoft-365 checks.
Hur du åtgärdar
- Logga in på Microsoft Entra admin center med ett konto som har rollen Global Administrator eller Privileged Role Administrator.
- Navigera till Identity > Users > All users.
- För varje användare med en administrativ roll granskar du fälten User principal name och Source i användarprofilen.
- Om Source är Windows Server AD (synkroniserad från lokal miljö) identifierar du en lämplig molnbaserad användare som kan ersätta deras administrativa roll.
- Skapa en ny molnbaserad administrativ användare genom att välja New user och fylla i formuläret. Se till att användaren har en molndomän (som .onmicrosoft.com) och inte är synkroniserad.
- Tilldela de nödvändiga administrativa rollerna till den nya molnbaserade användaren under Assigned roles.
- Ta bort administrativa roller från det synkroniserade användarkontot. Du kan även blockera inloggning för det synkroniserade kontot.
Efterlevnad
CIS M365 v1.1.1 (Kontroll 1.1.1)
Relaterade resurser
Microsoft Learn: Hantera användarroller i Microsoft Entra ID