Apps with high-risk permissions having an indirect path to Global Admin
Miks see oluline on
Rakendused, millel on kõrge riskitasemega Graph-õigused, võivad luua kaudse tee ülemaailmse administraatori õigusteni, võimaldades ohustajal üle võtta kogu rentniku. Kui rakendusel on taseme 0 õigused, saab ründaja, kes kompromiteerib selle mandaadid või saladused, tõsta oma õigusi ilma otsese määramiseta. See risk on eriti ohtlik, kuna see möödub standardsetest halduskontrollidest ja võib jääda pikaks ajaks avastamata.
Mida Aether365 kontrollib
See kontroll tuvastab teie Microsoft 365 rentnikus registreeritud rakendused, millele on määratud taseme 0 Microsoft Graph õigused ja mis võivad pakkuda kaudset teed ülemaailmse administraatori õigusteni. Aether365 armatuurlaual jaotises microsoft-365 checks skannib see kõik registreeritud rakendused ja märgistab need, millel on kõrge riskitasemega õiguste komplektid, mis võimaldavad õiguste tõstmist.
Kuidas parandada
Vaadake rakenduse õigused üle Microsoft Entra admin center kaudu.
- Logige sisse Microsoft Entra admin center.
- Avage Identity, seejärel Applications ja valige All applications.
- Leidke märgistatud rakendus ja avage selle üksikasjad.
- Avage API permissions ja vaadake loetletud Microsoft Graph õigusi.
- Eemaldage kõik kõrge riskitasemega õigused, mis pole rakenduse funktsiooni jaoks hädavajalikud.
- Veenduge, et ainult volitatud kasutajatel ja teenustel on juurdepääs rakendusele ning selle saladustele või sertifikaatidele.
Vastavus
See kontroll ei ole otseselt seotud ühegi konkreetse vastavusraamistikuga, kuid toetab Microsofti ja CISA soovitatud turbeparimaid tavasid kõrge riskitasemega rakenduste õiguste piiramiseks.
Seotud ressursid
- Microsoft Graph permissions reference
- Privileged identity management for applications
- Secure application access in Microsoft Entra ID