AD と同期されている特権 Entra アカウント (ハイブリッド)

「Microsoft Entra Connect」(旧「Azure AD Connect」) や「Microsoft Entra Cloud Sync」(旧「Azure AD Connect Cloud Sync」) などを使って ディレクトリ同期を設定している組織の場合、オンプレミスの Active Directory からクラウドの Entra ID へユーザーを同期させるために、Entra ID の特権ロールにハイブリッド AD アカウントを使いたくなるかもしれません。しかし、Active Directory を侵害した攻撃者にとっては、Entra ID に対する悪意のあるコントロールを拡大できる好機となります​。攻撃者は AD ユーザーになりすますいくつかのテクニックを駆使し、Entra ID にもこのなりすましを仕掛けます。

このため、Microsoft は「オンプレミスの攻撃から Microsoft 365 を保護する」の記事で、このプラクティスについて警告しています。この記事では、「Microsoft 365 では、オンプレミスのアカウントが管理者特権を持つべきではない」とし、「オンプレミスのアカウントが、Microsoft 365 に対する昇格された特権を持たないように」することを推奨しています。セキュリティを強化するために Microsoft Entra を構成するでも、「特権アカウントがクラウドネイティブ ID である」ことが推奨されています。

Microsoft は「オンプレミスの攻撃から Microsoft 365 を保護する」の記事で、「Entra と Microsoft 365 の特権ロールにはクラウド専用アカウントを使用する」ことを推奨しています。さらに「Microsoft Entra ロールのベストプラクティス」で次のように強調しています: 「9. Microsoft Entra ロールにクラウドネイティブアカウントを使用する。Microsoft Entra ロールの割り当てには、オンプレミスの同期されたアカウントを使用しないでください。オンプレミスアカウントが侵害された場合、Microsoft Entra リソースも危険にさらされる可能性があります。」

クラウド専用アカウントとは、Active Directory と同期されない Entra ID で作成されたアカウントで、ハイブリッドアカウントとは正反対のものです。特権 Entra ロールの割り当てではすべて、クラウド専用アカウントを使用しなければなりません。​

クラウド専用 Entra アカウントを持っている個人は、大抵 Active Directory アカウントも持っています。Active Directory と Entra のアカウントに異なるパスワードを使用し、AD が侵害されて AD のパスワードが漏洩した場合でも、Entra アカウントが完全に切り離されているようにしてください。この分離を活用するために、パスワードを分ける重要性について認識を高めてください。

また、セキュリティのベストプラクティスとして、特権ロール用に別のアカウントを用意し、特権クラウド専用アカウント (異なるパスワード) を通常の Entra アカウント (またはハイブリッドアカウント) から分離しておくことを推奨します。

クラウド専用アカウントを作成し、その所有者にその目的と使用方法を理解してもらうトレーニングを行った後、この露出インジケーター (IoE) が特定したハイブリッドアカウントのすべての特権ロールの割り当てを、新しいクラウド専用アカウントに置き換えます。

名前: AD と同期されている特権 Entra アカウント (ハイブリッド)

コード名: PRIVILEGED-ENTRA-ACCOUNT-SYNCHRONIZED-WITH-AD-HYBRID

深刻度: High

タイプ: Microsoft Entra ID Indicator of Exposure