Do not sync krbtgt_AzureAD to Entra ID
Чому це важливо
Обліковий запис krbtgt_AzureAD є вбудованим локальним обліковим записом, який використовує Microsoft Entra Connect під час початкової синхронізації. Якщо цей обліковий запис випадково синхронізується з Entra ID, це створює прихований суб'єкт безпеки, який може бути використаний для підвищення привілеїв або бічного переміщення. Адміністратори повинні переконатися, що цей обліковий запис виключено з синхронізації, щоб підтримувати чисте та безпечне середовище ідентифікації.
Що перевіряє Aether365
Aether365 перевіряє, чи існує синхронізований обліковий запис krbtgt_AzureAD у вашому клієнті Entra ID. Ця перевірка відображається на панелі приладів Aether365 у категорії служб microsoft-365 і позначається як проблема середньої серйозності.
Як виправити
- Увійдіть до Microsoft Entra admin center принаймні з роллю Hybrid Identity Administrator.
- Перейдіть у Identity > Hybrid management > Microsoft Entra Connect та перегляньте поточну конфігурацію синхронізації.
- На сервері Microsoft Entra Connect знайдіть локальний обліковий запис
krbtgt_AzureADі виключіть його з синхронізації за допомогою фільтрації підрозділів (OU), фільтрації доменів або фільтрації на основі атрибутів. - Запустіть повний цикл синхронізації та переконайтеся, що обліковий запис
krbtgt_AzureADбільше не відображається в Entra ID.
Відповідність
- Стандарт: Інше
- Посилання: Не надано
Пов’язані ресурси
- Microsoft Entra Connect Sync: Understand and customize synchronization
- Microsoft Entra Connect: Filter synchronization scope