Enforce credential configurations on apps and service principals
Proč na tom záleží
Microsoft Entra ID ve výchozím nastavení umožňuje konfiguraci slabých přihlašovacích údajů pro instanční objekty a aplikace. Útočníci mohou tyto slabé přihlašovací údaje zneužít k neoprávněnému přístupu k prostředkům a citlivým datům vaší organizace. Prosazování silných zásad pro přihlašovací údaje snižuje plochu útoku a pomáhá předcházet narušením založeným na přihlašovacích údajích.
Co Aether365 kontroluje
Aether365 ověřuje, zda má váš tenant výchozí zásadu správy aplikací, která vynucuje omezení přihlašovacích údajů pro aplikace a instanční objekty. Tato kontrola se zobrazuje na vašem řídicím panelu Aether365 v rámci kontrol služby microsoft-365.
Jak opravit
- Připojte se k Microsoft Graph PowerShellu s požadovanými oprávněními:
Connect-MgGraph -Scopes "Policy.ReadWrite.ApplicationConfiguration" - Importujte modul Microsoft.Graph.Identity.SignIns:
Import-Module Microsoft.Graph.Identity.SignIns - Vytvořte nebo aktualizujte výchozí zásadu správy aplikací pomocí rutiny
Update-MgPolicyDefaultAppManagementPolicys ukázkovými parametry uvedenými v této dokumentaci. - Nakonfigurujte omezení hesel včetně přidávání hesel, životnosti hesel, přidávání symetrických klíčů, životnosti symetrických klíčů a přidávání vlastních hesel podle ukázkové zásady.
- Nakonfigurujte omezení přihlašovacích údajů klíče s limitem životnosti asymetrických klíčů nejvýše 365 dní.
- Ověřte, že je zásada povolena a správně aplikována, spuštěním příkazu
Get-MgPolicyDefaultAppManagementPolicy.
Soulad s předpisy
- CIS Microsoft 365 Foundations Benchmark
- EIDSCA (Enterprise Identity Secure Control Assessment)
Související zdroje
- Microsoft Learn: Správa zásad aplikací v Microsoft Entra ID
- [Microsoft Graph PowerShell: Update-MgPolicyDefaultAppManagementPolicy](https://learn.microsoft.com/en-us/powershell/module/microsoft.graph.identity.signins/update-mgpolicyd efaultappmanagementpolicy)