Aether365

Deutsch

English
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Deutsch

English
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

No Service Principal with Client Secret and permanent role assignment on Control Plane

Warum das wichtig ist

Dienstprinzipale mit Client-Geheimnissen und dauerhaften Zuweisungen von Rollen mit hohen Berechtigungen auf der Steuerungsebene stellen ein erhebliches Sicherheitsrisiko dar. Wenn ein Client-Geheimnis kompromittiert wird, kann ein Angreifer dauerhaft erweiterten Zugriff auf Ihre Azure-Umgebung aufrechterhalten. Die Verwendung von Zertifikaten mit kürzerer Lebensdauer oder verwalteten Identitäten verringert diese Angriffsfläche und entspricht dem Prinzip der geringsten Berechtigungen.

Was Aether365 prüft

Diese Prüfung durchsucht Ihren Microsoft 365-Mandanten nach Dienstprinzipalen, die sowohl ein Client-Geheimnis konfiguriert haben als auch dauerhaft einer Rolle mit hohen Berechtigungen auf der Azure-Steuerungsebene zugewiesen sind. Sie wird in Ihrem Aether365-Dashboard unter der Kategorie microsoft-365-Prüfungen angezeigt.

Behebung

  1. Identifizieren Sie den Dienstprinzipal aus dem Aether365-Hinweis und notieren Sie dessen App-Registrierung.
  2. Prüfen Sie, ob der Dienstprinzipal vollständig durch eine verwaltete Identität (für Azure-Ressourcen) zur Authentifizierung ersetzt werden kann.
  3. Falls ein Dienstprinzipal erforderlich ist, navigieren Sie zum Azure-Portal und gehen Sie zu Azure Active Directory > App registrations.
  4. Wählen Sie die App-Registrierung für den Dienstprinzipal aus, gehen Sie zu Zertifikate und Geheimnisse und entfernen Sie das Client-Geheimnis.
  5. Laden Sie ein Zertifikat (X.509) auf die Registerkarte Zertifikate hoch, anstatt ein Client-Geheimnis zu verwenden.
  6. Rotieren Sie das Zertifikat regelmäßig mithilfe eines Zeitplans oder einer Automatisierungspipeline.
  7. Erwägen Sie für die Zuweisung der Rolle mit hohen Berechtigungen die Verwendung von Just-in-Time-Zugriff (JIT) über Privileged Identity Management anstelle einer dauerhaften Zuweisung.

Compliance

  • Keine direkten Zitate, aber es entspricht den CIS- und CISA-Empfehlungen für Anmeldeinformationssicherheit und das Prinzip der geringsten Berechtigungen.

Verwandte Ressourcen

Microsoft references

War diese Seite hilfreich?

© 2026 Aether365. All rights reserved.