Оценка безопасности: изменение пароля для Microsoft Entra простой учетной записи единого входа
В этой статье описывается отчет об оценке безопасности Microsoft Defender для удостоверений Microsoft Entra простого единого входа (SSO).
Примечание.
Эта оценка безопасности будет доступна только в том случае, если Microsoft Defender для удостоверений датчик установлен на серверах, на которых запущены службы Microsoft Entra Connect и метод входа в рамках конфигурации Microsoft Entra Connect установлен единый вход, а учетная запись компьютера единого входа существует. Дополнительные сведения о Microsoft Entra простом входе см. здесь.
Почему старый пароль учетной записи компьютера Microsoft Entra простого единого входа может быть риском?
Microsoft Entra простой единый вход автоматически входит в систему пользователей при использовании корпоративных рабочих столов, подключенных к корпоративной сети. Простой единый вход обеспечивает пользователям простой доступ к облачным приложениям без использования других локальных компонентов. При настройке Microsoft Entra простого единого входа в Active Directory создается учетная запись компьютера с именем AZUREADSSOACC. По умолчанию пароль для этой учетной записи компьютера единого входа Azure не обновляется автоматически каждые 30 дней. Этот пароль работает как общий секрет между AD и Microsoft Entra, позволяя Microsoft Entra расшифровывать билеты Kerberos, используемые в простом процессе единого входа между Active Directory и Microsoft Entra ID. Если злоумышленник получает контроль над этой учетной записью, он может создать билеты службы для учетной записи AZUREADSSOACC от имени любого пользователя и олицетворить любого пользователя в клиенте Microsoft Entra, синхронизированном из Active Directory. Это может позволить злоумышленнику перейти из Active Directory в Microsoft Entra ID.
Разделы справки использовать эту оценку безопасности для улучшения состояния безопасности гибридной организации?
Ознакомьтесь с рекомендуемыми действиями в разделе https://security.microsoft.com/securescore?viewid=actionsИзменение пароля для Microsoft Entra простой учетной записи единого входа.
Просмотрите список открытых сущностей, чтобы узнать, у каких учетных записей компьютеров с единым входом Microsoft Entra есть пароль более 90 дней.
Выполните соответствующие действия с этими учетными записями, выполнив действия, описанные в статье о переборе пароля учетной записи единого входа Entra .
Примечание.
Хотя оценки обновляются практически в реальном времени, оценки и состояния обновляются каждые 24 часа. Хотя список затронутых сущностей обновляется в течение нескольких минут после реализации рекомендаций, состояние по-прежнему может занять некоторое время, пока он не помечается как Завершено.