Ansichten:

Erfahren Sie mehr über synchronisierte Administratorkonten und wie Sie das Risiko, das diese Konten darstellen, mindern können.

Wenn privilegierte Administratorkonten mit Administrator- oder regulären Konten über Microsoft Entra-ID und Active Directory synchronisiert werden, entsteht ein potenzielles Sicherheitsrisiko. Ein Angreifer, der unbefugten Zugriff auf ein synchronisiertes Konto erhält, kann leichter auf andere zugreifen, wodurch er Zugang zu kritischen Systemen erhält und bösartige Aktivitäten ausführen kann. Die Synchronisierung von Administratorkonten mit persönlichen Microsoft-Konten ist eine besonders gefährliche Konfiguration.
Beste Praktiken:
  • Synchronisieren Sie keine hoch autorisierten Microsoft Entra-ID- oder Active Directory-Administratorkonten mit Administrator- oder Nicht-Administratorkonten. Microsoft Entra-ID-Administratoren, die vor Ort administrative Aufgaben durchführen müssen, sollten separate, nicht synchronisierte Active Directory-Konten verwenden. Weitere Informationen finden Sie in Microsofts Leitfaden zur Sicherung von lokalen Active Directory-Konten.
  • Konfigurieren Sie separate Konten für administrative Funktionen, die sich von Benutzerkonten unterscheiden.
  • Erlauben Sie nicht das Teilen von Konten zwischen Benutzern.
  • Verwenden Sie nur cloud-native Konten für Microsoft Entra-ID-Rollen. Vermeiden Sie die Verwendung von lokal synchronisierten Konten für Microsoft Entra-ID-Rollenzuweisungen.
  • Verwenden Sie Microsoft Entra-ID Connect Sync, um lokale Konten zu steuern, die mit Microsoft Entra-ID synchronisiert sind, um die Anzahl der synchronisierten Administratorkonten zu reduzieren. Weitere Informationen finden Sie im Microsoft-Leitfaden zur Konfiguration von Connect Sync.