AD (ハイブリッド) と同期された特権 Entra アカウント

"<:rm>[Microsoft Entra Connect] (旧 [Azure AD Connect]) や [Microsoft Entra Cloud Sync] (旧 [Azure AD Connect Cloud Sync]) などを使って ディレクトリ同期 を設定している組織の場合、オンプレミスの Active Directory からクラウドの Entra ID へユーザーを同期させるために、Entra ID の特権ロールにハイブリッド AD アカウントを使いたくなるかもしれません。しかし、Active Directory を侵害した攻撃者にとっては、Entra ID に対する悪意のあるコントロールを拡大できる好機となります​。攻撃者は AD ユーザーになりすますいくつかのテクニックを駆使し、Entra ID にもこのなりすましを仕掛けます。

このため、Microsoft は「オンプレミスの攻撃から Microsoft 365 を保護する」の記事で、「Microsoft 365 には、管理者権限を持つオンプレミスアカウントは存在すべきではない」とし、「オンプレミスアカウントが Microsoft 365 への昇格権限を持っていない」ことを確認するよう推奨しています。 "<:rm>

Microsoft は「オンプレミスの攻撃から Microsoft 365 を保護する」の記事で、「Entra と Microsoft 365 の特権ロールにはクラウド専用アカウントを使用する」ことを推奨しています。クラウド専用アカウントとは、Active Directory と同期されない Entra ID で作成されたアカウントで、ハイブリッドアカウントとは正反対のものです。特権 Entra ロールの割り当てではすべて、クラウド専用アカウントを使用しなければなりません。​

クラウド専用 Entra アカウントを持っている個人は、大抵 Active Directory アカウントも持っています。Active Directory と Entra のアカウントに異なるパスワードを使用し、AD が侵害されて AD のパスワードが漏洩した場合でも、Entra アカウントが完全に切り離されているようにしてください。この分離を活用するために、パスワードを分ける重要性について認識を高めてください。

また、セキュリティのベストプラクティスとして、特権ロール用に別のアカウントを用意し、特権クラウド専用アカウント (異なるパスワード) を通常の Entra アカウント (またはハイブリッドアカウント) から分離しておくことを推奨します。

クラウド専用アカウントを作成し、その所有者にその目的と使用方法を理解してもらうトレーニングを行った後、この露出インジケーター (IoE) が特定したハイブリッドアカウントのすべての特権ロールの割り当てを、新しいクラウド専用アカウントに置き換えます。

名前: AD (ハイブリッド) と同期された特権 Entra アカウント

コード名: PRIVILEGED-AAD-ACCOUNT-SYNC-WITH-AD-HYBRID

深刻度: High