Seamless Single SignOn should be disabled for all domains in EntraID Connect servers.
Чому це важливо
Безшовний єдиний вхід (Seamless SSO) може наразити вашу організацію на ризик бічного переміщення та крадіжки облікових даних, якщо зловмисник скомпрометує комп'ютер, приєднаний до домену. Коли цю функцію ввімкнено для всіх доменів у Entra ID Connect, вона надає зловмисникам постійну точку входу для автентифікації, яка оминає традиційні перевірки паролів. Вимкнення Seamless SSO для доменів, які цього не потребують, зменшує поверхню атаки та обмежує несанкціонований доступ до хмарних ресурсів.
Що перевіряє Aether365
Ця перевірка запитує дані IdentityLogonEvents за допомогою KQL, щоб ідентифікувати домени, де активно використовується Seamless SSO. Вона збагачує результати даними про пристрої та позначає конфігурацію як знахідку середньої серйозності в інформаційній панелі Aether365 у розділі перевірок entra-id.
Як виправити
Конкретні кроки виправлення від джерела не надаються. Однак, щоб вимкнути Seamless SSO для певного домену:
- Увійдіть до Entra ID admin center як Hybrid Identity Administrator.
- Перейдіть до Entra ID > Azure AD Connect > Seamless Single Sign-On.
- Виберіть домен, для якого ввімкнено Seamless SSO.
- Натисніть Disable та підтвердьте дію, щоб повернутися до стандартної автентифікації.
Крім того, ви можете використовувати PowerShell із командлетом Disable-AADSSO з модуля Azure AD, щоб програмно вимкнути Seamless SSO для всіх доменів.
Відповідність нормам
- Рамкова програма: Інше (Ця перевірка за замовчуванням не прив'язана до жодної конкретної нормативної рамкової програми. Перегляньте внутрішній базовий рівень безпеки вашої організації щодо політик SSO.)