App registrations should no longer use secrets
Proč na tom záleží
Tajné kódy aplikací, jako jsou klientské tajné klíče nebo hesla, mohou být ohroženy, pokud jsou nesprávně uloženy nebo vystaveny v úložištích kódu. Útočníci, kteří tyto tajné kódy získají, se mohou vydávat za vaše aplikace a neoprávněně přistupovat k citlivým datům. Přechod na ověřování pomocí certifikátů nebo spravovaných identit toto riziko eliminuje tím, že odstraňuje dlouhodobé a statické přihlašovací údaje.
Co Aether365 kontroluje
Tato kontrola prohledává vašeho tenanty v Microsoft 365 na registrace aplikací, které stále používají klientské tajné klíče pro ověřování. Zobrazuje se na řídicím panelu Aether365 v sekci kontrol microsoft-365 a zvýrazňuje aplikace, které by měly být aktualizovány na bezpečnější metody ověřování.
Jak to opravit
- Přihlaste se do Azure Portal (portal.azure.com) a přejděte do Azure Active Directory > App registrations.
- Vyberte registraci aplikace, která používá tajné klíče.
- V části Manage (Spravovat) klikněte na Certificates and secrets (Certifikáty a tajné klíče).
- Odstraňte všechny stávající klientské tajné klíče a místo nich přidejte certifikát. Nahrajte soubor veřejného certifikátu (.cer) do registrace aplikace.
- Aktualizujte kód aplikace tak, aby se ověřoval pomocí certifikátu, nikoli tajného klíče.
- U aplikací běžících v Azure zvažte použití spravovaných identit, abyste se vyhnuli správě jakýchkoli přihlašovacích údajů.
Shoda s normami
- CIS Microsoft 365 Foundations Benchmark: Není přímo mapováno
- CISA Azure Security Baseline: Odkazuje na osvědčené postupy pro registraci aplikací
- EIDSCA: Žádné konkrétní mapování
Související zdroje
- Microsoft Learn: Osvědčené postupy pro tajné klíče registrací aplikací
- Microsoft Learn: Přehled spravovaných identit