Apps with high-risk permissions having an indirect path to Global Admin
Miksi tämä on tärkeää
Sovellukset, joilla on korkean riskin Graph-oikeudet, voivat luoda epäsuoran reitin Global Admin -rooliin, mikä mahdollistaa koko vuokraajan haltuunoton uhkatoimijan toimesta. Jos sovelluksella on tier-0-oikeudet, hyökkääjä, joka saa haltuunsa sen tunnistetiedot tai salaisuudet, voi nostaa käyttöoikeuksiaan ilman suoraa määritystä. Tämä riski on erityisen vaarallinen, koska se ohittaa tavanomaiset hallintakontrollit ja voi jäädä havaitsematta pitkäksi aikaa.
Mitä Aether365 tarkistaa
Tämä tarkistus tunnistaa Microsoft 365 -vuokraajasi sovellukset, joille on määritetty tier-0 Microsoft Graph -oikeudet ja jotka voivat tarjota epäsuoran reitin Global Admin -rooliin. Aether365-hallintapaneelin microsoft-365-checks-osiossa se skannaa kaikki rekisteröidyt sovellukset ja merkitsee ne, joilla on korkean riskin käyttöoikeusjoukot, jotka saattavat mahdollistaa käyttöoikeuksien nostamisen.
Korjaustoimenpiteet
Tarkista sovellusten käyttöoikeudet Microsoft Entra admin center -palvelun avulla.
- Kirjaudu Microsoft Entra admin centeriin.
- Siirry kohtaan Identity, sitten Applications ja valitse All applications.
- Etsi merkitty sovellus ja avaa sen tiedot.
- Siirry kohtaan API permissions ja tarkastele lueteltuja Microsoft Graph -käyttöoikeuksia.
- Poista kaikki korkean riskin käyttöoikeudet, jotka eivät ole ehdottoman välttämättömiä sovelluksen toiminnalle.
- Varmista, että vain valtuutetuilla käyttäjillä ja palveluilla on pääsy sovellukseen ja sen salaisuuksiin tai varmenteisiin.
Vaatimustenmukaisuus
Tämä tarkistus ei suoraan vastaa tiettyä vaatimustenmukaisuuskehystä, mutta se tukee Microsoftin ja CISA:n suosittelemia tietoturvakäytäntöjä, jotka koskevat korkean riskin sovelluskäyttöoikeuksien rajoittamista.
Liittyvät resurssit
- Microsoft Graph -käyttöoikeuksien viite
- Privileged Identity Management for applications
- Secure application access in Microsoft Entra ID