Aether365

Українська

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska

Українська

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska

Appearance

No hybrid user with permanent role assignment on Control Plane

Чому це важливо

Якщо гібридний користувач (користувач, синхронізований з локальної Active Directory) має постійну високопривілейовану роль на площині керування Microsoft 365, зловмисник, який скомпрометував ваше локальне середовище, може перейти до хмарних ресурсів без додаткової автентифікації. Це обходить ваші хмарні засоби безпеки та створює прямий шлях для бічного переміщення. Адміністратори повинні в першу чергу усунути такі гібридні призначення ролей, щоб забезпечити суворе розділення між локальними та хмарними ідентичностями.

Що перевіряє Aether365

Ця перевірка сканує всі призначення ролей Azure Active Directory на площині керування, щоб виявити будь-якого гібридного користувача (синхронізованого з локального середовища) з постійною високопривілейованою роллю, наприклад, Global Administrator або Privileged Role Administrator. Aether365 позначає їх як порушення на панелі безпеки Microsoft 365 у групі перевірок microsoft-365.

Як виправити

  1. Визначте відповідних гібридних користувачів. Знайдіть користувачів, у яких атрибут OnPremisesSyncEnabled має значення True у Microsoft Entra admin center або за допомогою PowerShell.
  2. Визначте, чи дійсно потрібне призначення ролі. Якщо користувачеві потрібен тимчасовий доступ, використовуйте Azure AD Privileged Identity Management (PIM), щоб надати обмежені в часі відповідні призначення замість постійних.
  3. Якщо роль не є критичною, видаліть постійне призначення. У Azure Portal перейдіть до Azure Active Directory > Roles and administrators, виберіть роль, потім видаліть користувача.
  4. Для будь-яких інших постійних призначень ролей для гібридних користувачів створіть хмарний обліковий запис (не синхронізований з локального середовища) і призначте роль саме цій хмарній ідентичності.
  5. Після внесення змін запустіть перевірку Aether365 повторно, щоб підтвердити відсутність порушень.

Відповідність стандартам

  • Фреймворк: Інші
  • Серйозність: Середня (рейтинг Aether365)
  • Пов'язані стандарти: Ця перевірка відповідає принципу нульової довіри CISA щодо усунення неявної довіри між локальним та хмарним середовищами. Вона також підтримує базові конфігурації EIDSCA для ізоляції ідентичностей.

Пов'язані ресурси

Microsoft references

Ця сторінка була корисною?

© 2026 Aether365. All rights reserved.