与 AD（混合帐户）同步的特权 Entra 帐户

如果贵公司已设置目录同步，例如与“Microsoft Entra Connect”（之前称为“Azure AD Connect”）或“Microsoft Entra Cloud Sync”（之前称为“Azure AD Connect Cloud Sync”）同步，以将部分用户（以及其他用户）从本地 Active Directory 同步到云 Entra ID，您即可为 Entra ID 中的特权角色使用混合 AD 帐户。但是，这样做会为攻击者创造契机，使其能在入侵 Active Directory 后延伸对 Entra ID 的恶意控制​。他们会运用多项技术冒充任何 AD 用户，也会将这种冒充方式用于 Entra ID。

因此，Microsoft 在其文章“保护 Microsoft 365 免受本地攻击”中对这种做法提出了警告，认为“Microsoft 365 中不应存在具有管理特权的本地帐户”，并建议您确保“任何本地帐户均不具有对 Microsoft 365 的提升权限”。在“配置 Microsoft Entra 以提高安全性”一文中，也提到了“特权帐户应采用云原生身份”。

Microsoft 在其文章“保护 Microsoft 365 免受本地攻击”中建议“针对 Entra 和 Microsoft 365 特权角色使用纯云帐户”。此建议在“Microsoft Entra 角色最佳实践”中再次得到强调：“9. 使用云原生帐户来担任 Microsoft Entra 角色。避免使用本地同步的帐户进行 Microsoft Entra 角色分配。如果您的本地帐户遭到入侵，那么您的 Microsoft Entra 资源也可能被危及。”

纯云帐户指在 Entra ID 中创建，但未与 Active Directory 同步的帐户，这类帐户与混合帐户截然不同。在分配所有特权 Entra 角色时，您必须使用专用的纯云帐户。​

此外，拥有 Entra 纯云特权帐户的个人往往也有 Active Directory 帐户。为了防止 AD 密码在发生 AD 入侵时暴露，用户应为自己的 Active Directory 帐户和 Entra 帐户分别设置不同的密码，以便完全隔离 Entra 帐户。提高意识，了解设置独立密码让这种隔离方式发挥作用的重要性。

根据安全性最佳实践，我们还建议您为特权角色设置一个单独的帐户，以使特权纯云帐户（使用不同的密码）与常规 Entra 帐户（可以是混合帐户）相分离。

在您创建纯云帐户并培训其所有者了解帐户用途和使用方法后，请将通过此风险暴露指标识别出的混合帐户上分配的所有特权角色替换为新的纯云帐户。

名称: 与 AD（混合帐户）同步的特权 Entra 帐户

代码名称: PRIVILEGED-ENTRA-ACCOUNT-SYNCHRONIZED-WITH-AD-HYBRID

严重性: High

类型: Microsoft Entra ID Indicator of Exposure