了解同步的管理帳戶及如何降低這些帳戶所帶來的風險。
當特權管理員帳戶與 Microsoft Entra ID 和 Active Directory 中的管理員或普通帳戶同步時,會產生潛在的安全漏洞。獲得未經授權訪問某個同步帳戶的攻擊者可以更輕鬆地訪問其他帳戶,使攻擊者能夠訪問關鍵系統並執行惡意活動。將管理員帳戶與個人
Microsoft 帳戶同步是一種特別有風險的配置。
最佳實踐:
-
請勿將高度授權的 Microsoft Entra ID 或 Active Directory 管理員帳戶與管理員或非管理員帳戶同步。必須執行本地管理任務的 Microsoft Entra ID 管理員應使用單獨的非同步 Active Directory 帳戶。如需詳細資訊,請參閱微軟的 本地 Active Directory 帳戶安全指導。
-
為管理功能配置與使用者帳號不同的獨立帳號。
-
不允許用戶之間共享帳戶。
-
僅使用雲端原生帳戶來擔任 Microsoft Entra ID 角色。避免使用本地同步帳戶來進行 Microsoft Entra ID 角色指派。
-
使用Microsoft Entra ID Connect Sync來控制與Microsoft Entra ID同步的本地帳戶,以減少同步的管理員帳戶數量。詳細資訊請參閱微軟的配置 Connect Sync指南。