Sikkerhedsvurdering: Fjern ressourcebaseret begrænset delegering for Microsoft Entra problemfri SSO-konto
I denne artikel beskrives Microsoft Defender for Identity's Microsoft Entra SSO-konto (Seamless Single Sign-on) med RBCD-rapport (Resource Based Constrained Delegering) anvendt rapport over sikkerhedsholdning.
Bemærk!
Denne sikkerhedsvurdering er kun tilgængelig, hvis Microsoft Defender for Identity sensor er installeret på servere, der kører Microsoft Entra Connect-tjenester og metoden Sign on som en del af Microsoft Entra Connect-konfigurationen er angivet til enkeltlogon, og SSO-computerkontoen findes. Få mere at vide om Microsoft Entra problemfri logon her.
Hvorfor kan det Microsoft Entra problemfri SSO-computerkonto med RBCD konfigureret være en risiko?
Microsoft Entra problemfri SSO logger automatisk på brugerne, når de bruger deres stationære virksomhedscomputere, der er forbundet til virksomhedens netværk. Problemfri SSO giver brugerne nem adgang til dine cloudbaserede programmer uden at bruge andre komponenter i det lokale miljø. Problemfri SSO opretter en computerkonto med navnet AZUREADSSOACC i hvert Windows Server AD-området i din lokale Windows Server AD-mappe. Hvis ressourcebaseret begrænset delegering er konfigureret på AZUREADSSOACC-computerkontoen, vil en konto med delegering kunne generere tjenesteanmodninger for AZUREADSSOACC-kontoen på vegne af en hvilken som helst bruger og repræsentere en hvilken som helst bruger i den Microsoft Entra lejer, der synkroniseres fra AD.
Hvordan gør jeg bruge denne sikkerhedsvurdering til at forbedre min hybride organisations sikkerhedsholdning?
Gennemse den anbefalede handling på https://security.microsoft.com/securescore?viewid=actionsfor Fjern ressourcebaseret begrænset delegering for Microsoft Entra problemfri SSO-konto.
Gennemse listen over viste enheder for at finde ud af, hvilke af dine Microsoft Entra SSO-computerkonti der er anvendt RBCD.
Evaluer, om RBCD-konfigurationen for AZUREADSSOACC-kontoen er afgørende for dine handlinger. Hvis delegering ikke kræves til kritiske funktioner, er det mere sikkert at fjerne den ved at sikre, at attributten
msDS-AllowedToActOnBehalfOfOtherIdentity
på en AZUREADSSOACC-konto er tom – dette er den normale tilstand for denne konto:
Bemærk!
Selvom vurderinger opdateres i næsten realtid, opdateres scorer og statusser hver 24. time. Selvom listen over påvirkede enheder opdateres inden for få minutter efter, at du har implementeret anbefalingerne, kan status stadig tage tid, indtil den er markeret som Fuldført.