Sprache:
In Entra ID ist die integrierte Rolle „Verzeichnissynchronisierungskonten“ den Entra-Dienstkonten zugewiesen, die „Microsoft Entra Connect“ (früher „Azure AD Connect“) oder „Microsoft Entra-Cloudsynchronisierung“ (früher „Azure AD Connect--Cloudsynchronisierung“) verwenden, um die Verzeichnissynchronisierung aus Active Directory (On-Premises) mit Entra ID (in der Cloud) zu ermöglichen.
Angreifer können diese Rolle einem Sicherheitsprinzipal (z. B. Benutzer, Serviceprinzipal oder Gruppe) zuweisen, den sie kontrollieren, um Rechteausweitung oder Persistenz zu erlangen. Diese Rolle kann insbesondere aus folgenden Gründen für Angreifer interessant sein:
Dieses Missbrauchspotenzial wurde im folgenden Blogbeitrag von Tenable Research beschrieben: Stealthy Persistence with „Directory Synchronization Accounts“ Role in Entra ID
Dieser Indicator of Exposure setzte mehrere Heuristiken zur Erkennung verdächtiger Sicherheitsprinzipale ein, denen diese riskante Rolle zugewiesen wurde, insbesondere wenn sie nicht mit typischen Entra-Dienstkonten für Microsoft Entra Connect oder Microsoft Entra-Cloudsynchronisierung übereinstimmen.
Beginnen Sie mit der Evaluierung der Legitimität des identifizierten verdächtigen Sicherheitsprinzipals:
Wenn Sie eine Sicherheitsverletzung vermuten:
Weder die Rolle „Verzeichnissynchronisierungskonten“ noch die Personen, denen sie zugewiesen ist, sind im Azure-Portal sichtbar. Um diese Einträge anzuzeigen, müssen Sie andere Methoden wie die Microsoft Graph PowerShell-Cmdlets oder die API direkt verwenden:
Connect-MgGraph -Scopes "RoleManagement.Read.All"
Get-MgDirectoryRoleMember -DirectoryRoleId (Get-MgDirectoryRole -Filter „RoleTemplateId eq 'd29b2b05-8046-44ba-8758-1e26182fcf32'“).Id | Format-List *
Alternativ können Sie die folgenden jetzt veralteten Azure AD-PowerShell-Cmdlets verwenden:
Connect-AzureAD
Get-AzureADDirectoryRole -Filter "RoleTemplateId eq 'd29b2b05-8046-44ba-8758-1e26182fcf32'" | Get-AzureADDirectoryRoleMember
Wenn der identifizierte Sicherheitsprinzipal keinen legitimen Grund für die Zuweisung dieser Rolle hat und Microsoft Entra Connect oder Microsoft Entra-Cloudsynchronisierung ihn nicht verwendet, sollten Sie diese Rollenzuweisung entfernen. Hierzu können Sie entweder das Azure AD-PowerShell-Cmdlet Remove-AzureADDirectoryRoleMember
oder das Microsoft Graph-PowerShell-Cmdlet Remove-MgDirectoryRoleMemberByRef
verwenden.
Name: Verdächtige Zuweisung der Rolle „Verzeichnissynchronisierungskonten”
Codename: SUSPICIOUS-DIRECTORY-SYNCHRONIZATION-ACCOUNTS-ROLE-ASSIGNMENT
Schweregrad: High
Typ: Microsoft Entra ID Indicator of Exposure