Apps with high-risk permissions having a direct path to Global Admin
Hvorfor Dette Er Vigtigt
Programmer med tier-0 Microsoft Graph-tilladelser kan give direkte administrativ adgang til din lejer, herunder fulde Global Admin-rettigheder. Hvis en ondsindet aktør får kontrol over et sådant program eller udnytter dets tilladelser, kan de overtage hele lejeren, få adgang til følsomme data og kompromittere alle brugerkonti. IT-administratorer skal regelmæssigt revidere højrisiko-programtilladelser for at forhindre laterale bevægelser og rettighedseskalationsangreb.
Hvad Aether365 Kontrollerer
Denne Aether365-kontrol, opført under microsoft-365 kontroller i dit dashboard, identificerer ethvert program registreret i din lejer, der har højrisiko Microsoft Graph-tilladelser med en direkte vej til Global Admin. Den markerer apps, hvor sådanne tilladelser kunne muliggøre en fuld lejerovertagelse, hvis programmet kompromitteres.
Sådan Retter Du Det
Sådan gennemgår og afhjælper du højrisiko-programtilladelser:
- Log ind på Microsoft Entra admin center.
- Udvid Identity > Applications og vælg All applications.
- Find det markerede program og klik på dets navn for at åbne oversigtssiden.
- Under Manage vælger du API permissions.
- Gennemgå alle Microsoft Graph-tilladelser for tier-0 eller højrisiko-områder som
User.Read.All,Directory.ReadWrite.AllellerAppRoleAssignment.ReadWrite.All. - Fjern unødvendige højrisiko-tilladelser ved at klikke på de tre prikker (flere indstillinger) ved siden af tilladelsen og vælge Remove.
- Bekræft, at kun autoriserede brugere og tjenesteprincipaler har adgang til programmet, dets hemmeligheder og certifikater. Roter straks kompromitterede legitimationsoplysninger.
Overholdelse
Denne sikkerhedskontrol kortlægges til følgende rammer og standarder:
- Ikke direkte kortlagt til en specifik ramme; det er en intern Aether365-bedste praksis-kontrol.
Relaterede Ressourcer
- Microsoft Learn: Beskyt mod rettighedseskalation med programtilladelser
- Microsoft Entra admin center programregistreringsguide