Privileged API permissions on service principals should not remain unused

Pourquoi c'est important

Les autorisations API privilégiées inutilisées sur les principaux de service créent un risque de sécurité inutile. Si un principal de service conserve des autorisations à fort impact qu'il n'utilise jamais, un attaquant qui compromet ce principal accède à des opérations sensibles du plan de contrôle qu'il peut exploiter. La suppression des autorisations inutilisées réduit votre surface d'attaque et respecte le principe du moindre privilège.

Ce que vérifie Aether365

Cette vérification identifie les principaux de service avec des autorisations API inutilisées que Microsoft Defender for Cloud Apps (MDA) App Governance a classifiées comme des autorisations du plan de contrôle ou de gestion, ou comme des autorisations API hautement critiques. Le résultat apparaît dans votre tableau de bord Aether365 sous la catégorie entra-id.

Comment corriger

1. Ouvrez le portail Microsoft Defender for Cloud Apps et accédez à la page Applications inventory.
2. Trouvez la section OAuth apps et examinez les principaux de service signalés avec des autorisations inutilisées.
3. Utilisez la fonctionnalité de chasse d'activités d'application pour confirmer qu'aucune activité légitime ne nécessite ces autorisations.
4. Pour chaque autorisation inutilisée, supprimez l'affectation d'autorisation du principal de service dans Microsoft Entra ID.
5. Vérifiez que le principal de service fonctionne toujours correctement après la suppression.

Conformité

• Autre : S'applique aux bonnes pratiques de sécurité pour la gestion des principaux de service dans Microsoft Entra ID

Ressources associées

• Review OAuth apps in App Governance
• Hunt app activities in Defender for Cloud Apps

Microsoft references

• Advanced hunting identityinfo table
• App governance get started
• Applications inventory
• App activity threat hunting