Hybrid users should not be assigned Entra ID role assignments
Чому це важливо
Призначення ролей Entra ID гібридним користувачам, чиї ідентичності синхронізуються з локальної Active Directory, підвищує ризик компрометації облікових даних. Якщо зловмисник отримає доступ до локального контролера домену, він може використати синхронізацію гібридних ідентичностей для ескалації привілеїв до хмарних ролей. Обмеження призначення ролей Entra ID лише спеціальними хмарними обліковками зменшує цю поверхню атаки.
Що перевіряє Aether365
Aether365 сканує вашого клієнта на наявність будь-яких призначень ролей Entra ID (як постійних, так і тимчасово доступних) для користувачів гібридної синхронізації. Ця перевірка відображається в панелі управління Aether365 у категорії entra-id.
Як виправити
- Визначте та створіть спеціальні хмарні обліковки в Microsoft Entra admin center для призначення привілейованих ролей. Дотримуйтесь задокументованих рекомендацій щодо захисту привілейованих облікових записів.
- Призначте необхідні ролі Entra ID цим новим хмарним обліковкам, використовуючи Azure AD Privileged Identity Management (PIM) для доступу "саме вчасно".
- Видаліть усі наявні призначення ролей з оригінальних гібридних обліковок, які були синхронізовані з локальної інфраструктури.
- Переконайтеся, що після змін жоден гібридний користувач не має постійного або тимчасово доступного призначення ролі Entra ID.
Відповідність вимогам
- Інше: Рекомендація базового рівня безпеки щодо розділення адміністративних і користувацьких ідентичностей
Пов'язані ресурси
- Захист облікових записів глобальних адміністраторів
- Забезпечення безпеки привілейованого доступу для гібридних і хмарних розгортань