הערה
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות להיכנס או לשנות מדריכי כתובות.
הגישה לדף זה מחייבת הרשאה. באפשרותך לנסות לשנות מדריכי כתובות.
מאמר זה מתאר Microsoft Defender עבור זהות של Microsoft Entra Seamless Single-sign-on (SSO) עם דוח הערכת אבטחה מאולצת מבוססת משאבים (RBCD).
הערה
הערכת אבטחה זו תהיה זמינה רק אם חיישן Microsoft Defender עבור זהות מותקן בשרתים שבהם פועלים שירותי Microsoft Entra Connect ושיטה כניסה כחלק מתצורות Microsoft Entra Connect מוגדר לכניסה יחידה וחשבון מחשב ה- SSO קיים. קבל מידע נוסף Microsoft Entra כניסה חלקה כאן.
מדוע ייתכן שהחשבון Microsoft Entra חלק של SSO עם RBCD מוגדר כסיכון?
Microsoft Entra SSO חלק נכנס באופן אוטומטי למשתמשים כאשר הם משתמשים בשולחנות העבודה הארגוניים שלהם המחוברים לרשת הארגונית שלך. SSO חלק מספק למשתמשים גישה נוחה ליישומים מבוססי הענן שלך מבלי להשתמש ברכיבים מקומיים אחרים. Seamless SSO יוצר חשבון מחשב בשם AZUREADSSOACC בכל Windows Server AD Forest במדריך הכתובות המקומי Windows Server AD. אם הקצאה מוגבלת המבוססת על משאבים מוגדרת בחשבון המחשב AZUREADSSOACC, חשבון עם ההקצאה יוכל להפיק כרטיסי שירות עבור חשבון AZUREADSSOACC בשם כל משתמש ולהחזות לכל משתמש בדייר Microsoft Entra המסונכרן מ- AD.
כיצד ניתן לבצע בהערכת אבטחה זו כדי לשפר את תציבת האבטחה ההיברידית הארגונית שלי?
סקור את הפעולה המומלצת https://security.microsoft.com/securescore?viewid=actionsב- עבור הסרת הקצאה מוגבלת המבוססת על משאבים עבור Microsoft Entra SSO חלק.
סקור את רשימת הישויות החשופות כדי לגלות אילו מחשבי SSO שלך Microsoft Entra RBCD הוחלו.
הערך אם תצורת RBCD עבור חשבון AZUREADSSOACC חיונית עבור הפעולות שלך. אם ההקצאה אינה נדרשת עבור פונקציונליות קריטית,
msDS-AllowedToActOnBehalfOfOtherIdentityבטוח יותר להסיר אותה על-ידי הבטחה שהתכונה בכל חשבון AZUREADSSOACC ריקה – זהו המצב הרגיל עבור חשבון זה:
הערה
בעוד שהערכות מתעדכנת כמעט בזמן אמת, הציונים והמצבים מתעדכנים כל 24 שעות. בעוד שרשימת הישויות המושפעות מתעדכנת תוך כמה דקות מההטמעה של ההמלצות, המצב עשוי להימשך זמן מה עד שהוא יסומן כ'הושלם '.