AD (ハイブリッド) と同期された特権 Entra アカウント

「Microsoft Entra Connect」(旧「Azure AD Connect」) や「Microsoft Entra Cloud Sync」(旧「Azure AD Connect Cloud Sync」) などを使って ディレクトリ同期を設定している組織の場合、オンプレミスの Active Directory からクラウドの Entra ID へユーザーを同期させるために、Entra ID の特権ロールにハイブリッド AD アカウントを使いたくなるかもしれません。しかし、Active Directory を侵害した攻撃者にとっては、Entra ID に対する悪意のあるコントロールを拡大できる好機となります​。攻撃者は AD ユーザーになりすますいくつかのテクニックを駆使し、Entra ID にもこのなりすましを仕掛けます。

このため、Microsoft は「オンプレミスの攻撃から Microsoft 365 を保護する」の記事で、「Microsoft 365 には、管理者権限を持つオンプレミスアカウントは存在すべきではない」とし、「オンプレミスアカウントが Microsoft 365 への昇格権限を持っていない」ことを確認するよう推奨しています。

Microsoft は「オンプレミスの攻撃から Microsoft 365 を保護する」の記事で、「Entra と Microsoft 365 の特権ロールにはクラウド専用アカウントを使用する」ことを推奨しています。クラウド専用アカウントとは、Active Directory と同期されない Entra ID で作成されたアカウントで、ハイブリッドアカウントとは正反対のものです。特権 Entra ロールの割り当てではすべて、クラウド専用アカウントを使用しなければなりません。​

クラウド専用 Entra アカウントを持っている個人は、大抵 Active Directory アカウントも持っています。Active Directory と Entra のアカウントに異なるパスワードを使用し、AD が侵害されて AD のパスワードが漏洩した場合でも、Entra アカウントが完全に切り離されているようにしてください。この分離を活用するために、パスワードを分ける重要性について認識を高めてください。

また、セキュリティのベストプラクティスとして、特権ロール用に別のアカウントを用意し、特権クラウド専用アカウント (異なるパスワード) を通常の Entra アカウント (またはハイブリッドアカウント) から分離しておくことを推奨します。

クラウド専用アカウントを作成し、その所有者にその目的と使用方法を理解してもらうトレーニングを行った後、この露出インジケーター (IoE) が特定したハイブリッドアカウントのすべての特権ロールの割り当てを、新しいクラウド専用アカウントに置き換えます。

名前: AD (ハイブリッド) と同期された特権 Entra アカウント

コード名: PRIVILEGED-AAD-ACCOUNT-SYNC-WITH-AD-HYBRID

深刻度: High