Säkerhetsutvärdering: Ändra lösenord för Microsoft Entra sömlöst SSO-konto
Den här artikeln beskriver Microsoft Defender for Identity s Microsoft Entra sömlös enkel inloggning (SSO) konto lösenordsändring säkerhetsstatus utvärderingsrapport.
Obs!
Den här säkerhetsutvärderingen är endast tillgänglig om Microsoft Defender for Identity sensor är installerad på servrar som kör Microsoft Entra Connect-tjänster och inloggningsmetoden som en del av Microsoft Entra Connect-konfigurationen är inställd på enkel inloggning och att SSO-datorkontot finns. Läs mer om Microsoft Entra sömlös inloggning här.
Varför kan det Microsoft Entra sömlösa SSO-datorkontots gamla lösenord vara en risk?
Microsoft Entra sömlös enkel inloggning loggar automatiskt in användare när de använder sina företagsdatorer som är anslutna till företagets nätverk. Sömlös enkel inloggning ger användarna enkel åtkomst till dina molnbaserade program utan att använda några andra lokala komponenter. När du konfigurerar Microsoft Entra sömlös enkel inloggning skapas ett datorkonto med namnet AZUREADSSOACC i Active Directory. Som standard uppdateras inte lösenordet för det här Azure SSO-datorkontot automatiskt var 30:e dag. Det här lösenordet fungerar som en delad hemlighet mellan AD och Microsoft Entra, vilket gör det möjligt för Microsoft Entra att dekryptera Kerberos-biljetter som används i den sömlösa SSO-processen mellan Active Directory och Microsoft Entra ID. Om en angripare får kontroll över det här kontot kan de generera tjänstbiljetter för AZUREADSSOACC-kontot åt alla användare och personifiera alla användare i Microsoft Entra klientorganisation som har synkroniserats från Active Directory. Detta kan göra det möjligt för en angripare att flytta i förväg från Active Directory till Microsoft Entra ID.
Hur gör jag för att använda den här säkerhetsbedömningen för att förbättra min hybridorganisationssäkerhetsstatus?
Granska den rekommenderade åtgärden för https://security.microsoft.com/securescore?viewid=actionsÄndra lösenord för Microsoft Entra sömlöst SSO-konto.
Granska listan över exponerade entiteter för att se vilka av dina Microsoft Entra SSO-datorkonton som har ett lösenord som är äldre än 90 dagar.
Vidta lämpliga åtgärder för dessa konton genom att följa stegen som beskrivs i artikeln om hur du återställer lösenord för Etttra SSO-konto .
Obs!
Utvärderingar uppdateras nästan i realtid, men poäng och status uppdateras var 24:e timme. Även om listan över påverkade entiteter uppdateras inom några minuter efter att du implementerat rekommendationerna kan statusen fortfarande ta tid tills den har markerats som Slutförd.