Valutazione della sicurezza: modificare la password per Microsoft Entra account SSO facile
Questo articolo descrive Microsoft Entra report di valutazione del comportamento di sicurezza della modifica della password dell'account Seamless Single Sign-On (SSO) di Microsoft Defender per identità.
Nota
Questa valutazione della sicurezza sarà disponibile solo se Microsoft Defender per identità sensore è installato nei server che eseguono Microsoft Entra servizi Connect e il metodo Di accesso come parte della configurazione di Microsoft Entra Connect è impostato su Single Sign-On e l'account computer SSO esiste. Altre informazioni su Microsoft Entra accesso facile qui.
Perché la vecchia password dell'account del computer SSO Microsoft Entra facile potrebbe essere un rischio?
Microsoft Entra accesso Single Sign-On facile accede automaticamente agli utenti quando usano i desktop aziendali connessi alla rete aziendale. L'accesso Single Sign-On facile consente agli utenti di accedere facilmente alle applicazioni basate sul cloud senza usare altri componenti locali. Quando si configura Microsoft Entra Single Sign-On facile, viene creato un account computer denominato AZUREADSSOACC in Active Directory. Per impostazione predefinita, la password per questo account computer SSO di Azure non viene aggiornata automaticamente ogni 30 giorni. Questa password funziona come segreto condiviso tra AD e Microsoft Entra, consentendo a Microsoft Entra di decrittografare i ticket Kerberos usati nel processo di accesso Single Sign-On facile tra Active Directory e Microsoft Entra ID. Se un utente malintenzionato ottiene il controllo di questo account, può generare ticket di servizio per l'account AZUREADSSOACC per conto di qualsiasi utente e rappresentare qualsiasi utente all'interno del tenant Microsoft Entra sincronizzato da Active Directory. Ciò potrebbe consentire a un utente malintenzionato di passare lateralmente da Active Directory a Microsoft Entra ID.
Ricerca per categorie usare questa valutazione della sicurezza per migliorare il comportamento di sicurezza aziendale ibrido?
Esaminare l'azione consigliata in https://security.microsoft.com/securescore?viewid=actionsPer modificare la password per Microsoft Entra account SSO facile.
Esaminare l'elenco delle entità esposte per individuare quali degli account del computer SSO Microsoft Entra hanno una password di oltre 90 giorni.
Eseguire l'azione appropriata su tali account seguendo i passaggi descritti in come eseguire il rollover dell'articolo Sulla password dell'account Entra SSO .
Nota
Mentre le valutazioni vengono aggiornate quasi in tempo reale, i punteggi e gli stati vengono aggiornati ogni 24 ore. Anche se l'elenco delle entità interessate viene aggiornato entro pochi minuti dall'implementazione delle raccomandazioni, lo stato potrebbe richiedere tempo fino a quando non viene contrassegnato come Completato.