All Conditional Access policies are configured to exclude directory synchronization accounts or do not scope them

Bunun Önemi Nedir?

Microsoft Entra Connect Sync Account gibi servis hesapları, dizin eşitlemesi için kritik öneme sahiptir ancak çok faktörlü kimlik doğrulama gibi kullanıcı etkileşimi gerektiren koşullu erişim politikalarına asla tabi tutulmamalıdır. Bu hesaplar koşullu erişim kuralları tarafından engellenirse eşitleme başarısız olabilir; bu da kiracınız genelinde kimlik tutarsızlıklarına ve potansiyel kesintilere yol açar.

Aether365 Ne Denetler?

Bu denetim, tüm koşullu erişim politikalarının ya dizin eşitlemesi servis hesaplarını açıkça hariç bıraktığını ya da bu hesapları hiç kapsamadığını doğrular. Aether365 panosunda microsoft-365 kategorisi altında AE.1020 denetimi olarak görünür.

Nasıl Düzeltilir?

1. Microsoft Entra yönetici merkezinde oturum açın ve Protection > Conditional Access > Policies bölümüne gidin.
2. Kullanıcı eylemlerine veya oturum açma riskine uygulanan her politikayı gözden geçirin. MFA gerektirme veya erişimi engelleme gibi kontroller uygulayan politikalar için, Microsoft Entra Connect Sync Account hesabını Users and groups bölümü altındaki Exclude listesine ekleyin.
3. Senkronizasyon hesabı bir service principal ise, "Directory synchronization" veya ilgili service principal nesne kimliğini seçerek hariç bırakıldığından emin olun.
4. Politikayı kaydedin ve eşitleme erişiminin işlevsel kaldığını onaylamak için bir doğrulama aracı veya pilot grupla test edin.

Uyumluluk

Bu denetim, belirli bir uyumluluk çerçevesine açıkça eşlenmemiştir ancak CIS ve genel Microsoft 365 güvenlik yönergelerindeki en iyi uygulamaları destekler.

İlgili Kaynaklar

• Microsoft Learn: Servis hesaplarını Koşullu Erişim politikalarından hariç tutma
• Microsoft Learn: Microsoft Entra Connect için Koşullu Erişim politikaları

Microsoft references

• Howto conditional access policy admin mfa