Seamless Single SignOn should be disabled for all domains in EntraID Connect servers.
Warum das wichtig ist
Nahtloses Single Sign-On (SSO) kann Ihr Unternehmen lateralen Bewegungen und dem Diebstahl von Anmeldedaten aussetzen, wenn ein Angreifer einen in die Domäne eingebundenen Computer kompromittiert. Wenn SSO für alle Domänen in Entra ID Connect aktiviert ist, erhalten Angreifer eine persistente Authentifizierungsbasis, die herkömmliche Kennwortprüfungen umgeht. Das Deaktivieren von Nahtlosem SSO für Domänen, die es nicht benötigen, reduziert die Angriffsfläche und schränkt unbefugten Zugriff auf Cloud-Ressourcen ein.
Was Aether365 prüft
Diese Prüfung fragt IdentityLogonEvents-Daten mithilfe von KQL ab, um Domänen zu identifizieren, in denen Nahtloses SSO aktiv genutzt wird. Die Ergebnisse werden mit Geräteinformationen angereichert und im Aether365-Dashboard unter den entra-id-Prüfungen als mittelschwerer Befund gekennzeichnet.
So beheben Sie das Problem
Die Quelle gibt keine spezifischen Schritte zur Behebung an. So deaktivieren Sie Nahtloses SSO für eine bestimmte Domäne:
- Melden Sie sich als Hybrid Identity Administrator beim Entra ID admin center an.
- Navigieren Sie zu Entra ID > Azure AD Connect > Seamless Single Sign-On.
- Wählen Sie die Domäne aus, für die Nahtloses SSO aktiviert ist.
- Klicken Sie auf Disable und bestätigen Sie die Aktion, um zur Standardauthentifizierung zurückzukehren.
Alternativ können Sie PowerShell mit dem Cmdlet Disable-AADSSO aus dem Azure AD-Modul verwenden, um Nahtloses SSO domänenübergreifend programmatisch zu deaktivieren.
Compliance
- Framework: Sonstiges (Diese Prüfung ist standardmäßig keinem bestimmten Compliance-Framework zugeordnet. Überprüfen Sie die interne Sicherheitsrichtlinie Ihres Unternehmens auf SSO-Richtlinien.)