App registrations with highly privileged directory roles should not have owners
Proč na tom záleží
Pokud má registrace aplikace přiřazené vlastníky, mohou tito vlastníci aplikaci upravovat a potenciálně převzít oprávnění instančního objektu. Pokud má instanční objekt vysoce privilegované role adresáře, vytváří to cestu laterálního pohybu, kde mohou vlastníci s nižšími oprávněními eskalovat svá oprávnění. Odstranění nepotřebných vlastníků snižuje plochu útoku a prosazuje přístup nejnižších oprávnění.
Co Aether365 kontroluje
Aether365 prohledává vašeho tenant Microsoft Entra ID a identifikuje instanční objekty s rolemi řízení nebo správy (Control/Management Plane) nebo jinými privilegovanými rolemi adresáře, které mají přiřazené vlastníky na odpovídajícím objektu aplikace. Tato kontrola se zobrazí na řídicím panelu Aether365 v sekci kontrola entra-id.
Jak to opravit
- Přihlaste se na Azure Portal (https://portal.azure.com) a přejděte na Microsoft Entra ID, poté vyberte App registrations.
- Najděte registraci aplikace, kde má instanční objekt privilegované role adresáře. Zkontrolujte kartu Owners.
- Odstraňte nepotřebné vlastníky kliknutím na jméno vlastníka a výběrem Remove.
- Pokud potřebujete delegovat správu, přiřaďte role v rozsahu registrace aplikace namísto přidávání vlastníků. Přejděte na Microsoft Entra ID > Roles and administrators, vyberte příslušnou roli a přiřaďte ji registraci aplikace pomocí možnosti přiřazení s rozsahem.
- Ověřte, že všichni zbývající správci mají nejnižší nezbytnou klasifikaci oprávnění podle vašich zásad pro prolomení úrovní.
Compliance
- Rámec: Jiné (vlastní bezpečnostní doporučení Aether365)