Enforce credential configurations on apps and service principals
Kodėl tai svarbu
Pagal numatytuosius nustatymus „Microsoft Entra ID“ leidžia tarnybiniams principams ir programoms konfigūruoti silpnus kredencialus. Užpuolikai gali išnaudoti šiuos silpnus kredencialus, kad gautų neteisėtą prieigą prie jūsų organizacijos išteklių ir neskelbtinų duomenų. Privalomų stiprių kredencialų strategijų taikymas sumažina atakos paviršių ir padeda išvengti kredencialais pagrįstų pažeidimų.
Ką tikrina Aether365
„Aether365“ patikrina, ar jūsų nuomotojas turi numatytąją programų valdymo strategiją, kuri nustato kredencialų apribojimus programoms ir tarnybiniams principams. Šis patikrinimas rodomas jūsų „Aether365“ ataskaitų skydelyje po „microsoft-365“ paslaugų patikrinimais.
Kaip ištaisyti
- Prisijunkite prie „Microsoft Graph PowerShell“ su reikalingais leidimais:
Connect-MgGraph -Scopes "Policy.ReadWrite.ApplicationConfiguration" - Importuokite modulį „Microsoft.Graph.Identity.SignIns“:
Import-Module Microsoft.Graph.Identity.SignIns - Sukurkite arba atnaujinkite numatytąją programų valdymo strategiją naudodami komandą
Update-MgPolicyDefaultAppManagementPolicysu šiame dokumente pateiktais pavyzdiniais parametrais. - Konfigūruokite slaptažodžio apribojimus, įskaitant slaptažodžio pridėjimą, slaptažodžio galiojimo laiką, simetrinio rakto pridėjimą, simetrinio rakto galiojimo laiką ir pasirinktinio slaptažodžio pridėjimą, kaip parodyta pavyzdinėje strategijoje.
- Konfigūruokite rakto kredencialų apribojimus su asimetrinio rakto galiojimo terminais, ne ilgesniais kaip 365 dienos.
- Patikrinkite, ar strategija įgalinta ir taikoma tinkamai, paleisdami
Get-MgPolicyDefaultAppManagementPolicy.
Atitiktis
- „CIS Microsoft 365 Foundations Benchmark“
- EIDSCA (Enterprise Identity Secure Control Assessment – Įmonės tapatybės saugos kontrolės vertinimas)
Susiję ištekliai
- „Microsoft Learn“: programų strategijų valdymas „Microsoft Entra ID“
- [„Microsoft Graph PowerShell“: „Update-MgPolicyDefaultAppManagementPolicy“](https://learn.microsoft.com/en-us/powershell/module/microsoft.graph.identity.signins/update-mgpolicyd efaultappmanagementpolicy)