Valutazione della sicurezza: rimuovere la delega vincolata basata su risorse per Microsoft Entra account SSO facile
Questo articolo descrive l'account di Microsoft Entra Single Sign-On (SSO) di Microsoft Defender per identità con il report di valutazione del comportamento di sicurezza applicato alla delega vincolata basata su risorse (RBCD).
Nota
Questa valutazione della sicurezza sarà disponibile solo se Microsoft Defender per identità sensore è installato nei server che eseguono Microsoft Entra servizi Connect e il metodo Di accesso come parte della configurazione di Microsoft Entra Connect è impostato su Single Sign-On e l'account computer SSO esiste. Altre informazioni su Microsoft Entra accesso facile qui.
Perché il Microsoft Entra account computer SSO facile con RBCD configurato potrebbe essere un rischio?
Microsoft Entra accesso Single Sign-On facile accede automaticamente agli utenti quando usano i desktop aziendali connessi alla rete aziendale. L'accesso Single Sign-On facile consente agli utenti di accedere facilmente alle applicazioni basate sul cloud senza usare altri componenti locali. L'accesso Single Sign-On facile crea un account computer denominato AZUREADSSOACC in ogni foresta Windows Server AD nella directory Windows Server AD locale. Se la delega vincolata basata su risorse è configurata nell'account computer AZUREADSSOACC, un account con la delega potrebbe generare ticket di servizio per l'account AZUREADSSOACC per conto di qualsiasi utente e rappresentare qualsiasi utente nel tenant Microsoft Entra sincronizzato da ACTIVE Directory.
Ricerca per categorie usare questa valutazione della sicurezza per migliorare il comportamento di sicurezza aziendale ibrido?
Esaminare l'azione consigliata in https://security.microsoft.com/securescore?viewid=actionsper Rimuovere la delega vincolata basata su risorse per Microsoft Entra account SSO facile.
Esaminare l'elenco delle entità esposte per individuare quali degli account del computer SSO Microsoft Entra hanno applicato RBCD.
Valutare se la configurazione RBCD per l'account AZUREADSSOACC è essenziale per le operazioni. Se la delega non è necessaria per le funzionalità critiche, è più sicuro rimuoverla assicurando che l'attributo
msDS-AllowedToActOnBehalfOfOtherIdentityin qualsiasi account AZUREADSSOACC sia vuoto: questo è lo stato normale per questo account:
Nota
Mentre le valutazioni vengono aggiornate quasi in tempo reale, i punteggi e gli stati vengono aggiornati ogni 24 ore. Anche se l'elenco delle entità interessate viene aggiornato entro pochi minuti dall'implementazione delle raccomandazioni, lo stato potrebbe richiedere tempo fino a quando non viene contrassegnato come Completato.