Enforce credential configurations on apps and service principals
Miksi tämä on tärkeää
Microsoft Entra ID sallii palvelun päämiesten ja sovellusten oletusarvoisesti käyttävän heikkoja tunnistetietoja. Hyökkääjät voivat hyödyntää näitä heikkoja tunnistetietoja saadakseen luvattoman pääsyn organisaatiosi resursseihin ja arkaluonteisiin tietoihin. Vahvojen tunnistetietokäytäntöjen pakottaminen vähentää hyökkäyspinta-alaa ja auttaa estämään tunnistetietoihin perustuvia tietomurtoja.
Mitä Aether365 tarkistaa
Aether365 varmistaa, että vuokralaisellasi on oletussovellusten hallintakäytäntö, joka pakottaa tunnistetietorajoituksia sovelluksille ja palvelun päämiehille. Tämä tarkistus näkyy Aether365-kojelaudassa microsoft-365-palvelutarkistusten alla.
Korjausohjeet
- Yhdistä Microsoft Graph PowerShell -palveluun tarvittavilla käyttöoikeuksilla:
Connect-MgGraph -Scopes "Policy.ReadWrite.ApplicationConfiguration" - Tuo Microsoft.Graph.Identity.SignIns-moduuli:
Import-Module Microsoft.Graph.Identity.SignIns - Luo tai päivitä oletussovellusten hallintakäytäntö käyttämällä
Update-MgPolicyDefaultAppManagementPolicy-komennorivin komentoa ja tässä dokumentaatiossa annettuja esimerkkiparametreja. - Määritä salasanarajoitukset, mukaan lukien salasanan lisäys, salasanan käyttöikä, symmetrisen avaimen lisäys, symmetrisen avaimen käyttöikä ja mukautettu salasanan lisäys esimerkkikäytännön mukaisesti.
- Määritä avaintunnistetietojen rajoitukset epäsymmetrisen avaimen enimmäiskäyttöiäksi enintään 365 päivää.
- Varmista, että käytäntö on käytössä ja sitä sovelletaan oikein suorittamalla
Get-MgPolicyDefaultAppManagementPolicy.
Vaatimustenmukaisuus
- CIS Microsoft 365 Foundations Benchmark
- EIDSCA (Enterprise Identity Secure Control Assessment)
Liittyvät resurssit
- Microsoft Learn: Sovelluskäytäntöjen hallinta Microsoft Entra ID:ssä
- [Microsoft Graph PowerShell: Update-MgPolicyDefaultAppManagementPolicy](https://learn.microsoft.com/en-us/powershell/module/microsoft.graph.identity.signins/update-mgpolicyd efaultappmanagementpolicy)