この記事では、ID のMicrosoft Defenderに関するすべてのハイブリッド セキュリティ体制評価の一覧を示します。
注:
評価はほぼリアルタイムで更新されますが、スコアと状態は 24 時間ごとに更新されます。 影響を受けるエンティティの一覧は、推奨事項を実装してから数分以内に更新されますが、状態は 完了としてマークされるまで時間がかかる場合があります。
シームレス SSO アカウントのパスワードMicrosoft Entra変更する
説明
このレポートには、90 日前にパスワードが最後に設定されたすべてのMicrosoft Entraシームレス SSO コンピューター アカウントが一覧表示されます。
ユーザーへの影響
Microsoft Entraシームレス SSO は、企業ネットワークに接続されている会社のデスクトップを使用しているユーザーに自動的にサインインします。 シームレス SSO を使用すると、他のオンプレミス コンポーネントを使用することなく、ユーザーはクラウドベースのアプリケーションに簡単にアクセスできます。 シームレス SSO Microsoft Entra設定すると、AzureADSSOACC という名前のコンピューター アカウントが Active Directory に作成されます。 既定では、このAzure SSO コンピューター アカウントのパスワードは、30 日ごとに自動的に更新されることはありません。 このパスワードは、AD とMicrosoft Entra間の共有シークレットとして機能し、Active Directory と Microsoft Entra ID の間のシームレスな SSO プロセスで使用される Kerberos チケットの暗号化を解除Microsoft Entra可能にします。 攻撃者がこのアカウントの制御を取得した場合、任意のユーザーの代わりに AZUREADSSOACC アカウントのサービス チケットを生成し、同期元のMicrosoft Entra テナント内のすべてのユーザーを偽装できます
実装
シームレス SSO アカウントのパスワードの変更に関するhttps://security.microsoft.com/securescore?viewid=actionsMicrosoft Entra推奨されるアクションを確認します。
公開されているエンティティの一覧を確認して、90 日を超えるパスワードを持つMicrosoft Entra SSO コンピューター アカウントを確認します。
Microsoft Entra SSO アカウントのパスワードに関する記事で説明されている手順に従って、これらのアカウントに対して適切なアクションを実行します。
注:
このセキュリティ評価は、Microsoft Entra Connect 構成の一部として、Microsoft Entra Connect サービスとサインオン方法を実行しているサーバーに ID センサーのMicrosoft Defenderがインストールされ、SSO コンピューター アカウントが存在する場合にのみ使用できます。 シームレス サインオンMicrosoft Entra詳細については、こちらを参照してください。
MICROSOFT ENTRA Connect AD DS Connector アカウントのパスワードをローテーションする
説明
このレポートには、90 日前にパスワードが最後に設定された、organization内のすべての MSOL アカウントが一覧表示されます。
ユーザーへの影響
スマート攻撃者は、オンプレミス環境で Microsoft Entra Connect をターゲットにする可能性が高く、正当な理由があります。 Microsoft Entra Connect サーバーは、特に AD DS Connector アカウントに割り当てられたアクセス許可 (MSOL_ プレフィックスを持つオンプレミス AD で作成) に基づいて、主要なターゲットにすることができます。
MSOL アカウントのパスワードを 90 日ごとに変更して、攻撃者がコネクタ アカウントが通常保持する高い特権 (レプリケーションのアクセス許可、パスワードのリセットなど) の使用を許可できないようにすることが重要です。
実装
AD DS コネクタ アカウントのパスワードをローテーションするMicrosoft Entra https://security.microsoft.com/securescore?viewid=actions推奨されるアクションを確認します。
公開されているエンティティの一覧を確認して、90 日を超えるパスワードを持つ AD DS コネクタ アカウントを検出します。
AD DS Connector アカウント のパスワードを変更する方法に関する手順に従って、これらのアカウントに対して適切なアクションを実行します。
注:
このセキュリティ評価は、Microsoft Entra Connect サービスを実行しているサーバーに ID センサーのMicrosoft Defenderがインストールされている場合にのみ使用できます。
Microsoft Entra Connect AD DS Connector アカウントの不要なレプリケーションアクセス許可を削除する
説明
スマート攻撃者は、オンプレミス環境で Microsoft Entra Connect をターゲットにする可能性が高く、正当な理由があります。 Microsoft Entra Connect サーバーは、特に AD DS Connector アカウントに割り当てられたアクセス許可 (MSOL_ プレフィックスを持つオンプレミス AD で作成) に基づいて、主要なターゲットにすることができます。 Microsoft Entra Connect の既定の 'express' インストールでは、コネクタ サービス アカウントにレプリケーションアクセス許可が付与されます。特に、適切な同期を確保します。 パスワード ハッシュ同期が構成されていない場合は、潜在的な攻撃対象を最小限に抑えるために不要なアクセス許可を削除することが重要です。
注:
このセキュリティ評価は、Microsoft Entra Connect サービスを実行しているサーバーに ID センサーのMicrosoft Defenderがインストールされている場合にのみ使用できます。
パスワード ハッシュ同期 (PHS) のサインオン方法が設定されている場合、レプリケーションアクセス許可を持つ AD DS コネクタ アカウントは、これらのアクセス許可が必要であるため影響を受けることはありません。
複数の Microsoft Entra Connect サーバーがある環境の場合は、ID のMicrosoft Defenderがセットアップを完全に監視できるように、各サーバーにセンサーをインストールすることが重要です。 Microsoft Entra Connect 構成でパスワード ハッシュ同期が使用されていないことが検出された場合は、[公開されたエンティティ] ボックスの一覧のアカウントにレプリケーションアクセス許可が必要ないことを意味します。 公開されている各 MSOL アカウントが、他のアプリケーションによるレプリケーションのアクセス許可に必要ないことを確認します。
実装
Microsoft Entra Connect AD DS Connector アカウントの不要なレプリケーションアクセス許可を削除するhttps://security.microsoft.com/securescore?viewid=actionsで推奨されるアクションを確認します。
公開されているエンティティの一覧を確認して、不要なレプリケーションアクセス許可を持つ AD DS コネクタ アカウントを検出します。
これらのアカウントに対して適切なアクションを実行し、次のアクセス許可をオフにして、"レプリケーション ディレクトリの変更" アクセス許可と "レプリケーション ディレクトリの変更すべて" アクセス許可を削除します。
機密性の高い Microsoft Entra Connect アカウントに対する安全でないアクセス許可を削除する
説明
Microsoft Entra AD DS Connector アカウント (MSOL_ とも呼ばれます) や Microsoft Entra シームレス SSO コンピューター アカウント (AZUREADSSOACC) などの Connect アカウントには、レプリケーションやパスワード リセット権限などの強力な権限があります。 これらのアカウントに安全でないアクセス許可が付与されている場合、攻撃者はそれらを悪用して、不正なアクセスを取得したり、特権をエスカレートしたり、ハイブリッド ID インフラストラクチャを制御したりする可能性があります。 これにより、アカウントの引き継ぎ、未承認のディレクトリの変更、オンプレミス環境とクラウド環境の両方の広範な侵害につながる可能性があります。
注:
このセキュリティ評価は、Microsoft Entra Connect 構成の一部として、Microsoft Entra Connect サービスとサインオン方法を実行しているサーバーに ID センサーのMicrosoft Defenderがインストールされ、SSO コンピューター アカウントが存在する場合にのみ使用できます。 シームレス サインオンMicrosoft Entra詳細については、こちらを参照してください。
実装
機密性の高い Microsoft Entra Connect アカウントに対する安全でないアクセス許可を削除する方法については https://security.microsoft.com/securescore?viewid=actionsで推奨されるアクションを確認してください。
公開されているエンティティの一覧を確認して、安全でないアクセス許可を持つアカウントを特定します。 以下に例を示します。
[クリックして展開] を選択すると、付与されたアクセス許可の詳細が表示されます。 以下に例を示します。
公開されているアカウントごとに、特権のないアカウントが重要なハイブリッド資産を引き継ぐのを許可する問題のあるアクセス許可を削除します。
Microsoft Entra Connect AD DS Connector アカウントの Enterprise または Domain 管理 アカウントを置き換える
説明
スマート攻撃者は、多くの場合、AD DS コネクタ アカウントに関連付けられている管理者特権 (通常は MSOL_ プレフィックスを持つ Active Directory で作成) のために、オンプレミス環境で Microsoft Entra Connect をターゲットにします。 この目的でエンタープライズ 管理またはドメイン 管理 アカウントを使用すると、これらのアカウントがディレクトリを広範に制御するため、攻撃対象領域が大幅に増加します。
Entra Connect ビルド 1.4.###.##以降では、エンタープライズ 管理 アカウントとドメイン 管理 アカウントを AD DS コネクタ アカウントとして使用できなくなります。 このベスト プラクティスでは、コネクタ アカウントの過剰なプライベート化を防ぎ、アカウントが攻撃者の対象である場合にドメイン全体の侵害のリスクを軽減します。 組織では、ディレクトリ同期専用の低い特権アカウントを作成または割り当てる必要があります。最小限の特権の原則をより適切に遵守し、重要な管理者アカウントを保護する必要があります。
注:
このセキュリティ評価は、Microsoft Entra Connect サービスを実行しているサーバーに ID センサーのMicrosoft Defenderがインストールされている場合にのみ使用できます。
実装
Microsoft Entra Connect AD DS Connector アカウントの [エンタープライズまたはドメインの管理アカウントを置き換える] で https://security.microsoft.com/securescore?viewid=actions推奨されるアクションを確認します。
公開されているアカウントとそのグループ メンバーシップを確認します。 この一覧には、直接メンバーシップと再帰メンバーシップを通じて Domain/Enterprise Admins のメンバーが含まれています。
以下のいずれかの手順を実行します。
特権グループからユーザー アカウント ユーザー MSOL_削除し、Microsoft Entra Connect コネクタ アカウントとして機能するために必要なアクセス許可を保持します。
Microsoft Entra Connect AD DS Connector アカウント (MSOL_) を低い特権アカウントに変更します。