All Conditional Access policies are configured to exclude directory synchronization accounts or do not scope them
Чому це важливо
Облікові записи служб, як-от обліковий запис синхронізації Microsoft Entra Connect, є критичними для синхронізації каталогів, але ніколи не повинні підпадати під політики умовного доступу, які вимагають взаємодії з користувачем, наприклад багатофакторної автентифікації. Якщо ці облікові записи блокуються правилами умовного доступу, синхронізація може перерватися, що призведе до неузгодженості ідентифікаційних даних і потенційних збоїв у вашому клієнті.
Що перевіряє Aether365
Ця перевірка підтверджує, що всі політики умовного доступу або явно виключають облікові записи служб синхронізації каталогів, або не охоплюють їх взагалі. Вона відображається в панелі керування Aether365 у категорії microsoft-365 як перевірка AE.1020.
Як виправити
- Увійдіть до Microsoft Entra admin center і перейдіть до Protection > Conditional Access > Policies.
- Перегляньте кожну політику, яка застосовується до дій користувача або ризику під час входу. Для політик, що застосовують такі засоби контролю, як вимога MFA або блокування доступу, додайте обліковий запис синхронізації Microsoft Entra Connect до списку виключень у розділі Users and groups.
- Якщо обліковий запис синхронізації є службовим принципалом, переконайтеся, що він виключений, вибравши "Directory synchronization" або його конкретний ідентифікатор об'єкта службового принципала.
- Збережіть політику та протестуйте її за допомогою інструменту перевірки або пілотної групи, щоб підтвердити, що доступ до синхронізації залишається функціональним.
Відповідність нормативним вимогам
Ця перевірка не прив'язана явно до певної нормативної бази, але підтримує найкращі практики з CIS та загальні рекомендації з безпеки Microsoft 365.
Пов'язані ресурси
- Microsoft Learn: Exclude service accounts from Conditional Access policies
- Microsoft Learn: Conditional Access policies for Microsoft Entra Connect