App registrations with privileged API permissions should have no owners

Γιατί Είναι Σημαντικό

Οι εγγραφές εφαρμογών με πολύ προνομιακά δικαιώματα API μπορεί να αποτελέσουν κρίσιμο κίνδυνο ασφάλειας εάν η ιδιοκτησία δεν ελέγχεται σωστά. Όταν υπάρχουν πολλοί κάτοχοι για τέτοιες εγγραφές, αυξάνεται η επιφάνεια επίθεσης και δημιουργούνται πιθανά μονοπάτια πλευρικής μετακίνησης για τους επιτιθέμενους. Οι διαχειριστές θα πρέπει να διασφαλίζουν ότι οι προνομιακές εγγραφές εφαρμογών δεν έχουν κατόχους και αντ' αυτού να χρησιμοποιούν αναθέσεις ρόλων σε επίπεδο αντικειμένου για να εκχωρούν τη διαχείριση.

Τι Ελέγχει το Aether365

Το Aether365 επαληθεύει ότι οι εγγραφές εφαρμογών με δικαιώματα Control/Management Plane ή πολύ κρίσιμα δικαιώματα API δεν έχουν κάτοχο. Αυτός ο έλεγχος εμφανίζεται στον πίνακα ελέγχου του Aether365 υπό την κατηγορία entra-id.

Πώς να το Διορθώσετε

1. Συνδεθείτε στο Microsoft Entra admin center ως Global Administrator ή Application Administrator.
2. Μεταβείτε στο Identity, στη συνέχεια Applications και επιλέξτε App registrations.
3. Βρείτε και επιλέξτε την εγγραφή εφαρμογής με προνομιακά δικαιώματα API.
4. Στην ενότητα Manage, επιλέξτε Owners.
5. Αφαιρέστε όλους τους τρέχοντες κατόχους από τη λίστα.
6. Αντί να εκχωρείτε ιδιοκτησία, χρησιμοποιήστε αναθέσεις ρόλων σε επίπεδο αντικειμένου για να αναθέσετε τη διαχείριση της εγγραφής εφαρμογής σε διαχειριστές με χαμηλότερες κατηγορίες προνομίων. Αυτό αποτρέπει παραβιάσεις επιπέδων (tier breaches) και μειώνει τους κινδύνους πλευρικής μετακίνησης.

Συμμόρφωση

• Πλαίσιο: Άλλο
• CIS: Δεν εφαρμόζεται
• EIDSCA: Δεν εφαρμόζεται
• CISA: Δεν εφαρμόζεται

Σχετικοί Πόροι

• Assign roles with app registration scope

Microsoft references

• Advanced hunting identityinfo table
• App governance get started
• Overview assign app owners
• Manage roles portal