Seamless Single Sign-On deaktivieren
In diesem Video zeigt euch Thomas, wie ihr Seamless Single Sign-On in Entra Connect deaktiviert und warum das Primary Refresh Token (PRT) die moderne und sicherere Alternative ist.
Benötigst du Unterstützung?
Melde dich bei uns!
Disable-SSON.ps1
# PRT-Status auf einem Client prüfen (Eingabeaufforderung, nicht PowerShell)
dsregcmd /status
# --- Prüfen ob Seamless SSO noch genutzt wird ---
# Voraussetzung: GPO "Audit Kerberos Service Ticket Operations" (Success) auf der Domain Controllers OU
# Custom View im Event Viewer (XML-Query):
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[(EventID=4769)]]
and
*[EventData[Data[@Name='ServiceName']='AZUREADSSOACC$']]
</Select>
</Query>
</QueryList>
# Alternativ per PowerShell auf dem DC:
Get-WinEvent -FilterXml @"
<QueryList>
<Query Id="0" Path="Security">
<Select Path="Security">
*[System[(EventID=4769)]]
and
*[EventData[Data[@Name='ServiceName']='AZUREADSSOACC$']]
</Select>
</Query>
</QueryList>
"@
# --- Seamless SSO deaktivieren ---
# Alle folgenden Befehle auf dem Entra Connect Server ausführen.
# In das Entra Connect Verzeichnis wechseln und Modul importieren
cd "$env:ProgramFiles\Microsoft Azure Active Directory Connect"
Import-Module .\AzureADSSO.psd1
# Authentifizierung (Hybrid Identity Administrator)
New-AzureADSSOAuthenticationContext
# Prüfen, für welche Forests Seamless SSO aktiviert ist
Get-AzureADSSOStatus | ConvertFrom-Json
# Seamless SSO im Forest deaktivieren (Domain Admin Credentials im SAM-Format: DOMAIN\Username)
$creds = Get-Credential
Disable-AzureADSSOForest -OnPremCredentials $creds
# --- Verifizierung ---
# Im AD prüfen, ob AZUREADSSOACC-Konto gelöscht wurde
# → Active Directory Users and Computers → Find → Computers → "AZUREADSSOACC"
# Im Entra Admin Center prüfen:
# → Identity → Hybrid Management → Entra Connect → Connect Sync → Seamless SSO = Disabled