Seamless Single SignOn should be disabled for all domains in EntraID Connect servers.
Miks See On Oluline
Sujuv ühekordne sisselogimine (SSO) võib teie organisatsiooni ohustada külgsuunalise liikumise ja mandaatide vargusega, kui ründaja kompromiteerib domeeniga liitunud arvuti. Kui see on lubatud kõigi domeenide jaoks Entra ID Connect'is, annab see ründajatele püsiva autentimise tugipunkti, mis möödub traditsioonilistest paroolikontrollidest. Sujuva SSO keelamine domeenidele, mis seda ei vaja, vähendab rünnataeva pinda ja piirab volitamata juurdepääsu pilveressurssidele.
Mida Aether365 Kontrollib
See kontroll pärib andmed IdentityLogonEvents rakendusest KQL abil, et tuvastada domeenid, kus Sujuv SSO on aktiivselt kasutusel. See rikastab tulemusi seadme ülevaadetega ja märgistab konfiguratsiooni keskmise raskusastme leiuna Aether365 töölaual entra-id kontrollide all.
Kuidas Parandada
Allikas ei paku konkreetseid parandusmeetmeid. Sujuva SSO keelamiseks kindlaks domeeniks:
- Logige sisse Entra ID halduskeskusesse hübriididentiteedi administraatorina.
- Minge Entra ID > Azure AD Connect > Sujuv ühekordne sisselogimine.
- Valige domeen, kus Sujuv SSO on lubatud.
- Klõpsake nuppu Keela ja kinnitage toiming, et naasta standardse autentimise juurde.
Või kasutage PowerShellit käsuga Disable-AADSSO Azure AD moodulist, et sujuv SSO programmiliselt keelata kõigis domeenides.
Vastavus
- Raamistik: Muu (see kontroll ei ole vaikimisi seotud kindla vastavusraamistikuga. Vaadake üle oma organisatsiooni sisemine turvalisuse lähtetase SSO poliitikate jaoks.)