與 AD (混合帳戶) 同步的特權 Entra 帳戶

如果貴公司已設定目錄同步選項，例如與「Microsoft Entra Connect」(前稱「Azure AD Connect」) 或「Microsoft Entra Cloud Sync」(前稱「Azure AD Connect Cloud Sync」) 同步目錄，以將使用者 (及其他內容 ) 從內部部署 Active Directory 同步至雲端 Entra ID，建議您為 Entra ID 中的特權角色使用混合 AD 帳戶。然而，這樣做會讓攻擊者有機會在入侵 Active Directory 後擴展對 Entra ID 的惡意控制​。他們會運用多項技術假冒任何 AD 使用者，也會將這種假冒方式套用至 Entra ID。

為此，Microsoft 在「保護 Microsoft 365 不受內部部署攻擊」文章中對此做法提出警告，認為「Microsoft 365 中不應存在任何具有管理權限的內部部署帳戶」，同時 Microsoft 還建議您確保「任何內部部署帳戶均未擁有 Microsoft 365 進階權限」。

Microsoft 在「保護 Microsoft 365 不受內部部署攻擊」文章中建議「針對 Entra 和 Microsoft 365 特權角色使用僅限雲端帳戶」。僅限雲端帳戶是指在 Entra ID 中建立，但未與 Active Directory 同步的帳戶，這類帳戶與混合帳戶截然不同。您必須在分配所有特權 Entra 角色時使用專用的僅限雲端帳戶。​

此外，擁有僅限雲端的 Entra 特權帳戶的個人通常亦有 Active Directory 帳戶。為了防止在發生 AD 入侵時暴露其 AD 密碼，他們應針對自己的 Active Directory 和 Entra 帳戶使用不同的密碼，以便與其 Entra 帳戶完全分開。提高對獨立密碼重要性的意識，以讓這種區分方式發揮效用。

安全性最佳做法還建議為特權角色建立一個單獨的帳戶，以便僅限雲端的特權帳戶 (使用不同密碼) 與其常規的 Entra 帳戶 (可以是混合帳戶) 分開。

在建立僅限雲端帳戶，並對其所有者進行培訓以了解帳戶用途和使用方法後，將此曝險指標發現的混合帳戶上的所有特權角色指派替換為新的僅限雲端帳戶。

名稱: 與 AD (混合帳戶) 同步的特權 Entra 帳戶

代碼名稱: PRIVILEGED-AAD-ACCOUNT-SYNC-WITH-AD-HYBRID

嚴重性: High