Privileged API permissions on service principals should not remain unused
Por Que Es Importante
Los permisos de API privilegiados no utilizados en las entidades de servicio crean un riesgo de seguridad innecesario. Si una entidad de servicio conserva permisos de alto impacto que nunca usa, un atacante que comprometa dicha entidad obtiene acceso a operaciones del plano de control confidenciales que puede explotar. Eliminar los permisos no utilizados reduce su superficie de ataque y sigue el principio de privilegio mínimo.
Que Verifica Aether365
Esta verificación identifica entidades de servicio con permisos de API no utilizados que Microsoft Defender for Cloud Apps (MDA) App Governance ha clasificado como permisos del plano de control o gestión, o como permisos de API altamente críticos. El resultado aparece en su panel de control de Aether365 bajo la categoría entra-id.
Como Solucionarlo
- Abra el portal de Microsoft Defender for Cloud Apps y navegue a la pagina Applications inventory.
- Encuentre la seccion OAuth apps y revise las entidades de servicio marcadas con permisos no utilizados.
- Use la funcion hunting of app activities para confirmar que no hay actividades legitimas que requieran estos permisos.
- Para cada permiso no utilizado, elimine la asignacion de permiso de la entidad de servicio en Microsoft Entra ID.
- Verifique que la entidad de servicio siga funcionando correctamente despues de la eliminacion.
Cumplimiento
- Otro: Se aplica a las mejores practicas de seguridad para la gestion de entidades de servicio en Microsoft Entra ID