Del via


Sikkerhetsvurdering: Fjern ressursbasert avgrenset delegering for Microsoft Entra sømløs SSO-konto

Denne artikkelen beskriver Microsoft Defender for identitet's Microsoft Entra Seamless Single sign-on (SSO) konto med Resource Based Constrained Delegation (RBCD) anvendt sikkerhetsstillingsvurderingsrapport.

Obs!

Denne sikkerhetsvurderingen vil bare være tilgjengelig hvis Microsoft Defender for identitet sensor er installert på servere som kjører Microsoft Entra Connect-tjenester og Påloggingsmetode som en del av Microsoft Entra Connect-konfigurasjonen er satt til enkel pålogging, og SSO-datamaskinkontoen finnes. Mer informasjon om Microsoft Entra sømløs pålogging her.

Hvorfor kan Microsoft Entra sømløs SSO-datamaskinkonto med RBCD konfigurert være en risiko?

Microsoft Entra sømløs SSO logger automatisk på brukere når de bruker bedrifts-skrivebordene som er koblet til bedriftens nettverk. Sømløs SSO gir brukere enkel tilgang til skybaserte programmer uten å bruke andre lokale komponenter. Sømløs SSO oppretter en datamaskinkonto kalt AZUREADSSOACC i hver Windows Server AD Forest i den lokale Windows Server AD-katalogen. Hvis ressursbasert avgrenset delegering er konfigurert på AZUREADSSOACC-datamaskinkontoen, kan en konto med delegering generere tjenestebilletter for AZUREADSSOACC-kontoen på vegne av en bruker og representere alle brukere i den Microsoft Entra leieren som er synkronisert fra AD.

Hvordan bruke denne sikkerhetsvurderingen til å forbedre min hybride organisasjonssikkerhetsstilling?

  1. Se gjennom den anbefalte handlingen https://security.microsoft.com/securescore?viewid=actionsfor Fjern ressursbasert avgrenset delegering for Microsoft Entra sømløs SSO-konto.

  2. Se gjennom listen over eksponerte enheter for å finne ut hvilke av dine Microsoft Entra SSO-datamaskinkontoer som har RBCD brukt.

  3. Evaluer om RBCD-konfigurasjonen for AZUREADSSOACC-kontoen er avgjørende for operasjonene dine. Hvis delegering ikke er nødvendig for kritiske funksjoner, er det tryggere å fjerne den ved å sikre at msDS-AllowedToActOnBehalfOfOtherIdentity attributtet på en AzurEADSSOACC-konto er tom – dette er den normale tilstanden for denne kontoen:

Skjermbilde av siden med brukerdetaljer.

Obs!

Mens vurderingene oppdateres i nær sanntid, oppdateres resultater og statuser hver 24. time. Selv om listen over berørte enheter oppdateres innen få minutter etter at du implementerer anbefalingene, kan statusen fortsatt ta tid før den er merket som Fullført.

Neste trinn