App registrations with privileged API permissions should have no owners
Pourquoi c'est important
Les inscriptions d'applications bénéficiant d'autorisations API hautement privilégiées peuvent représenter un risque de sécurité critique si la propriété n'est pas correctement contrôlée. Lorsque plusieurs propriétaires existent pour de telles inscriptions, cela augmente la surface d'attaque et crée des voies de déplacement latéral potentielles pour les attaquants. Les administrateurs doivent veiller à ce que les inscriptions d'applications privilégiées n'aient aucun propriétaire et utiliser à la place des attributions de rôles au niveau de l'objet pour déléguer la gestion.
Ce que vérifie Aether365
Aether365 vérifie que les inscriptions d'applications disposant d'autorisations API de plan de contrôle/gestion ou hautement critiques n'ont aucun propriétaire attribué. Cette vérification apparaît dans le tableau de bord Aether365 sous la catégorie entra-id.
Comment corriger
- Connectez-vous au Microsoft Entra admin center en tant qu'Administrateur général ou Administrateur d'application.
- Accédez à Identity, puis Applications, et sélectionnez App registrations.
- Recherchez et sélectionnez l'inscription d'application disposant d'autorisations API privilégiées.
- Sous la section Manage, sélectionnez Owners.
- Supprimez tous les propriétaires actuels de la liste.
- Au lieu d'attribuer la propriété, utilisez des attributions de rôles au niveau de l'objet pour déléguer la gestion de l'inscription d'application à des administrateurs ayant des classifications de privilèges inférieures. Cela évite les violations de niveau et réduit les risques de déplacement latéral.
Conformité
- Framework : Autre
- CIS : Non applicable
- EIDSCA : Non applicable
- CISA : Non applicable