了解synced admin accounts及如何降低風險。
當特權管理員帳戶與 Microsoft Entra ID 和 Active Directory 中的管理員或普通帳戶同步時,可能會產生潛在的安全漏洞。攻擊者若獲得其中一個同步帳戶的未經授權訪問,便能更容易地訪問其他帳戶,這可能使攻擊者能夠訪問關鍵系統並執行惡意活動。將管理員帳戶與個人
Microsoft 帳戶同步是一種特別有風險的配置。
最佳實踐:
-
請勿將高授權的 Microsoft Entra ID 或 Active Directory 管理員帳戶與管理員或非管理員帳戶同步。需要執行內部管理任務的 Microsoft Entra ID 管理員應使用單獨的非同步 Active Directory 帳戶。欲了解更多資訊,請參閱 Microsoft 的 保護內部 Active Directory 帳戶的指南。
-
為管理功能配置與使用者帳號不同的獨立帳號。
-
不允許用戶之間共享帳戶。
-
僅使用雲端原生帳戶進行Microsoft Entra ID角色。避免使用內部同步帳戶進行Microsoft Entra ID角色分配。
-
使用 Microsoft Entra ID Connect Sync 來控制從您內部部署目錄同步到 Microsoft Entra ID 的帳戶,以減少同步的管理員帳戶數量。欲了解更多資訊,請參閱 Microsoft 關於 配置 Connect Sync 的指南。