Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel wird Microsoft Defender for Identity Microsoft Entra Bericht zur Änderung des Sicherheitsstatus eines Kontokennworts (Single Sign-On, SSO) beschrieben.
Hinweis
Diese Sicherheitsbewertung ist nur verfügbar, wenn Microsoft Defender for Identity Sensor auf Servern installiert ist, auf denen Microsoft Entra Connect-Dienste ausgeführt werden und die Anmeldemethode im Rahmen Microsoft Entra Connect-Konfiguration auf einmaliges Anmelden festgelegt ist und das SSO-Computerkonto vorhanden ist. Weitere Informationen zu Microsoft Entra nahtlosen Anmeldung finden Sie hier.
Warum kann das alte Kennwort des Microsoft Entra nahtlosen SSO-Computerkontos ein Risiko darstellen?
Microsoft Entra nahtloses einmaliges Anmelden meldet Benutzer automatisch an, wenn sie ihre Mit Ihrem Unternehmensnetzwerk verbundenen Unternehmensdesktops verwenden. Nahtloses einmaliges Anmelden bietet Ihren Benutzern einfachen Zugriff auf Ihre cloudbasierten Anwendungen, ohne dass andere lokale Komponenten verwendet werden müssen. Beim Einrichten Microsoft Entra nahtlosen einmaligen Anmeldens wird in Active Directory ein Computerkonto mit dem Namen AZUREADSSOACC erstellt. Standardmäßig wird das Kennwort für dieses Azure SSO-Computerkonto nicht automatisch alle 30 Tage aktualisiert. Dieses Kennwort fungiert als gemeinsames Geheimnis zwischen AD und Microsoft Entra, sodass Microsoft Entra Kerberos-Tickets entschlüsseln können, die im nahtlosen SSO-Prozess zwischen Active Directory und Microsoft Entra ID verwendet werden. Wenn ein Angreifer die Kontrolle über dieses Konto erhält, kann er Diensttickets für das AZUREADSSOACC-Konto im Namen eines beliebigen Benutzers generieren und die Identität eines Benutzers innerhalb des Microsoft Entra Mandanten annehmen, der aus Active Directory synchronisiert wurde. Dies könnte es einem Angreifer ermöglichen, seitlich von Active Directory in Microsoft Entra ID zu wechseln.
Gewusst wie diese Sicherheitsbewertung verwenden, um den Sicherheitsstatus meiner Hybridorganisation zu verbessern?
Überprüfen Sie die empfohlene Aktion unter https://security.microsoft.com/securescore?viewid=actions für Kennwort ändern für Microsoft Entra nahtloses SSO-Konto.
Überprüfen Sie die Liste der verfügbar gemachten Entitäten, um herauszufinden, welches Ihrer Microsoft Entra SSO-Computerkonten über ein Kennwort verfügt, das älter als 90 Tage ist.
Führen Sie entsprechende Maßnahmen für diese Konten aus, indem Sie die schritte ausführen, die im Artikel Rollover des Kennworts für das Entra-SSO-Konto beschrieben sind.
Hinweis
Während Bewertungen nahezu in Echtzeit aktualisiert werden, werden Bewertungen und Status alle 24 Stunden aktualisiert. Während die Liste der betroffenen Entitäten innerhalb weniger Minuten nach der Implementierung der Empfehlungen aktualisiert wird, kann die status noch einige Zeit dauern, bis sie als Abgeschlossen markiert ist.