[同期された管理者アカウント] と、このリスクを軽減する方法について説明します。
Microsoft Entra ID およびActive Directory全体で、特権管理者アカウントを管理者または通常のアカウントと同期すると、セキュリティの抜け穴が生じる可能性があります。同期されたアカウントの一方に不正アクセスした攻撃者は、もう一方のアカウントに簡単にアクセスできるようになります。これにより、攻撃者は重要なシステムにアクセスして、悪意のあるアクティビティを実行できるようになります。管理者アカウントを個人のMicrosoftアカウントと同期する設定は特に危険です。
ベストプラクティス:
-
権限の高い Microsoft Entra ID またはActive Directoryの管理者アカウントを、管理者または管理者以外のアカウントと同期しないでください。オンプレミスの管理タスクを実行する必要がある Microsoft Entra ID 管理者は、同期されていない別のActive Directoryアカウントを使用する必要があります。
-
ユーザアカウントとは別の管理機能用に別のアカウントを設定します。
-
ユーザ間でのアカウントの共有を許可しないでください。
-
Microsoft Entra ID ロールにはクラウドネイティブアカウントのみを使用してください。 Microsoft Entra ID の役割の割り当てには、オンプレミスの同期アカウントを使用しないでください。
-
Microsoft Entra ID Connectフィルタを使用してオンプレミスディレクトリから Microsoft Entra ID に同期されるアカウントを制御し、同期される管理者アカウントの数を減らします。