Sikkerhetsvurdering: Endre passord for Microsoft Entra sømløs SSO-konto
Denne artikkelen beskriver Microsoft Defender for identitet's Microsoft Entra Seamless Single sign-on (SSO) konto passord endring sikkerhet holdning vurdering rapport.
Obs!
Denne sikkerhetsvurderingen vil bare være tilgjengelig hvis Microsoft Defender for identitet sensor er installert på servere som kjører Microsoft Entra Connect-tjenester og Påloggingsmetode som en del av Microsoft Entra Connect-konfigurasjonen er satt til enkel pålogging, og SSO-datamaskinkontoen finnes. Mer informasjon om Microsoft Entra sømløs pålogging her.
Hvorfor kan det Microsoft Entra sømløst gammelt passord for SSO-datamaskinkontoen være en risiko?
Microsoft Entra sømløs SSO logger automatisk på brukere når de bruker bedrifts-skrivebordene som er koblet til bedriftens nettverk. Sømløs SSO gir brukerne enkel tilgang til skybaserte programmer uten å bruke andre lokale komponenter. Når du konfigurerer Microsoft Entra Seamless SSO, opprettes en datamaskinkonto kalt AZUREADSSOACC i Active Directory. Som standard oppdateres ikke passordet for denne Azure SSO-datamaskinkontoen automatisk hver 30. dag. Dette passordet fungerer som en delt hemmelighet mellom AD og Microsoft Entra, slik at Microsoft Entra kan dekryptere Kerberos-billetter som brukes i den sømløse SSO-prosessen mellom Active Directory og Microsoft Entra ID. Hvis en angriper får kontroll over denne kontoen, kan de generere tjenesteforespørsler for AZUREADSSOACC-kontoen på vegne av en bruker og representere en bruker i den Microsoft Entra tenanten som har blitt synkronisert fra Active Directory. Dette kan føre til at en angriper kan flytte sidelengs fra Active Directory til Microsoft Entra ID.
Hvordan bruke denne sikkerhetsvurderingen til å forbedre min hybride organisasjonssikkerhetsstilling?
Se gjennom den anbefalte handlingen https://security.microsoft.com/securescore?viewid=actions for Endre passord for Microsoft Entra sømløs SSO-konto.
Se gjennom listen over eksponerte enheter for å finne ut hvilke av dine Microsoft Entra SSO-datamaskinkontoer som har et passord som er mer enn 90 dager gammelt.
Gjør passende tiltak på disse kontoene ved å følge trinnene som er beskrevet i hvordan du ruller over entra SSO-kontopassordartikkelen .
Obs!
Mens vurderingene oppdateres i nær sanntid, oppdateres resultater og statuser hver 24. time. Selv om listen over berørte enheter oppdateres innen få minutter etter at du implementerer anbefalingene, kan statusen fortsatt ta tid før den er merket som Fullført.