[synced admin accounts]について学び、リスクを軽減する方法を学びましょう。
Microsoft Entra ID およびActive Directory全体で、特権管理者アカウントを管理者または通常のアカウントと同期すると、セキュリティの抜け穴が生じる可能性があります。同期されたアカウントの一方に不正アクセスした攻撃者は、もう一方のアカウントに簡単にアクセスできるようになります。これにより、攻撃者は重要なシステムにアクセスして、悪意のあるアクティビティを実行できるようになります。管理者アカウントを個人のMicrosoftアカウントと同期する設定は特に危険です。
ベストプラクティス:
-
高権限のMicrosoft Entra IDまたはActive Directory管理者アカウントを管理者または非管理者アカウントと同期しないでください。オンプレミスの管理タスクを実行する必要があるMicrosoft Entra ID管理者は、同期されていない別のActive Directoryアカウントを使用する必要があります。詳細については、MicrosoftのオンプレミスActive Directoryアカウントのセキュリティに関するガイダンスを参照してください。
-
ユーザアカウントとは別の管理機能用に別のアカウントを設定します。
-
ユーザ間でのアカウントの共有を許可しないでください。
-
Microsoft Entra ID ロールにはクラウドネイティブアカウントのみを使用してください。 Microsoft Entra ID の役割の割り当てには、オンプレミスの同期アカウントを使用しないでください。
-
Microsoft Entra ID Connect Sync を使用して、オンプレミス ディレクトリから Microsoft Entra ID に同期されるアカウントを制御し、同期される管理者アカウントの数を減らします。詳細については、Connect Sync の構成に関する Microsoft のガイドを参照してください。