Apps with high-risk permissions having an indirect path to Global Admin
Proč na tom záleží
Aplikace s vysoce rizikovými oprávněními Graph mohou vytvořit nepřímou cestu ke globálnímu správci, což útočníkovi umožní plné převzetí tenanta. Pokud má aplikace oprávnění tier-0, útočník, který získá její přihlašovací údaje nebo tajné klíče, může eskalovat oprávnění bez přímého přiřazení. Toto riziko je obzvláště nebezpečné, protože obchází standardní administrativní kontroly a může zůstat po dlouhou dobu neodhaleno.
Co Aether365 kontroluje
Tato kontrola identifikuje aplikace ve vašem tenantovi Microsoft 365, kterým byla přiřazena oprávnění Microsoft Graph tier-0 a které by mohly poskytnout nepřímou cestu ke globálnímu správci. Na řídicím panelu Aether365 v sekci kontrol microsoft-365 prohledává všechny registrované aplikace a označuje ty, které mají vysoce rizikové sady oprávnění umožňující eskalaci oprávnění.
Jak to opravit
Zkontrolujte oprávnění aplikací pomocí centra pro správu Microsoft Entra.
- Přihlaste se do centra pro správu Microsoft Entra.
- Přejděte na Identity, poté na Applications a vyberte All applications.
- Najděte označenou aplikaci a otevřete její podrobnosti.
- Přejděte na API permissions a prohlédněte si uvedená oprávnění Microsoft Graph.
- Odstraňte všechna vysoce riziková oprávnění, která nejsou pro fungování aplikace nezbytně nutná.
- Ověřte, že k aplikaci a jejím tajným klíčům nebo certifikátům mají přístup pouze oprávnění uživatelé a služby.
Shoda s předpisy
Tato kontrola není přímo mapována na konkrétní regulační rámec, ale podporuje osvědčené bezpečnostní postupy doporučené společností Microsoft a agenturou CISA pro omezení vysoce rizikových oprávnění aplikací.
Související zdroje
- Referenční příručka oprávnění Microsoft Graph
- Správa privilegovaných identit pro aplikace
- Zabezpečení přístupu k aplikacím v Microsoft Entra ID