No Service Principal with Client Secret and permanent role assignment on Control Plane
Hvorfor dette er vigtigt
Tjenesteprincipper med klienthemmeligheder og permanente højprivilegerede rolletildelinger på kontrolplanet udgør en betydelig sikkerhedsrisiko. Hvis en klienthemmelighed kompromitteres, kan en angriber opretholde vedvarende forhøjet adgang til dit Azure-miljø. Brug af certifikater med kortere levetid eller administrerede identiteter reducerer dette angrebsoverflade og er i overensstemmelse med princippet om mindste rettigheder.
Hvad Aether365 kontrollerer
Denne kontrol scanner efter tjenesteprincipper i din Microsoft 365-lejer, der både har en klienthemmelighed konfigureret og en permanent tildeling til en højprivilegeret rolle på Azure-kontrolplanet. Den vises i dit Aether365-dashboard under kategorien microsoft-365 checks.
Sådan retter du
- Identificer tjenesteprincippet fra Aether365-advarslen og noter dets appregistrering.
- Vurder, om tjenesteprincippet helt kan erstattes af en administreret identitet (til Azure-ressourcer) til godkendelse.
- Hvis et tjenesteprincip er påkrævet, skal du navigere til Azure Portal og gå til Azure Active Directory > App registrations.
- Vælg appregistreringen for tjenesteprincippet, gå til Certificates and secrets, og fjern klienthemmeligheden.
- Upload et certifikat (X.509) til fanebladet Certificates i stedet for at bruge en klienthemmelighed.
- Roter certifikatet regelmæssigt via en tidsplan eller automatiseringspipeline.
- For den højprivilegerede rolletildeling bør du overveje at bruge just-in-time (JIT)-adgang via Privileged Identity Management i stedet for en permanent tildeling.
Compliance
- Ingen direkte citeret, men er i overensstemmelse med CIS- og CISA-anbefalinger for legitimationssikkerhed og mindste rettigheder.
Relaterede ressourcer
- Managed identities for Azure resources
- Use certificates for Azure AD application authentication
- What is Privileged Identity Management?