次の方法で共有


セキュリティ評価: シームレス SSO アカウントのパスワードMicrosoft Entra変更する

この記事では、Microsoft Defender for IdentityのMicrosoft Entraシームレス シングル サインオン (SSO) アカウントのパスワード変更セキュリティ態勢評価レポートについて説明します。

注:

このセキュリティ評価は、Microsoft Defender for Identityセンサー Microsoft Entra Connect サービスを実行しているサーバーにインストールされ、Microsoft Entra Connect 構成の一部としてサインオン方法がシングル サインオンに設定され、SSO コンピューター アカウントが存在する場合にのみ使用できます。 シームレス サインオンMicrosoft Entra詳細については、こちらを参照してください

Microsoft Entraシームレス SSO コンピューター アカウントの古いパスワードがリスクになるのはなぜですか?

Microsoft Entraシームレス SSO は、企業ネットワークに接続されている会社のデスクトップを使用しているユーザーに自動的にサインインします。 シームレス SSO を使用すると、他のオンプレミス コンポーネントを使用することなく、ユーザーはクラウドベースのアプリケーションに簡単にアクセスできます。 シームレス SSO Microsoft Entra設定すると、AzureADSSOACC という名前のコンピューター アカウントが Active Directory に作成されます。 既定では、この Azure SSO コンピューター アカウントのパスワードは 30 日ごとに自動的に更新されるわけではありません。 このパスワードは、AD とMicrosoft Entra間の共有シークレットとして機能し、Microsoft Entraが Active Directory と Microsoft Entra ID 間のシームレスな SSO プロセスで使用される Kerberos チケットの暗号化を解除できるようにします。 攻撃者がこのアカウントの制御を取得した場合、ユーザーに代わって AZUREADSSOACC アカウントのサービス チケットを生成し、Active Directory から同期されたMicrosoft Entra テナント内のすべてのユーザーを偽装できます。 これにより、攻撃者は Active Directory からMicrosoft Entra IDに横方向に移動する可能性があります。

このセキュリティ評価を使用して、ハイブリッド組織のセキュリティ体制を改善操作方法。

  1. シームレス SSO アカウントのパスワードの変更に関するhttps://security.microsoft.com/securescore?viewid=actionsMicrosoft Entra推奨されるアクションを確認します。

  2. 公開されているエンティティの一覧を確認して、90 日を超えるパスワードを持つMicrosoft Entra SSO コンピューター アカウントを確認します。

  3. Entra SSO アカウントのパスワードをロールオーバーする方法に関する記事で説明されている手順に従って、これらのアカウントに対して適切なアクションを実行します。

注:

評価はほぼリアルタイムで更新されますが、スコアと状態は 24 時間ごとに更新されます。 影響を受けるエンティティの一覧は、推奨事項を実装してから数分以内に更新されますが、状態は 完了としてマークされるまで時間がかかる場合があります。

次の手順