Enforce credential configurations on apps and service principals
Kāpēc tas ir svarīgi
Microsoft Entra ID pēc noklusējuma ļauj pakalpojumu kontiem un lietojumprogrammām konfigurēt vājas akreditācijas datus. Uzbrucēji var izmantot šīs vājās akreditācijas, lai iegūtu neatļautu piekļuvi jūsu organizācijas resursiem un sensitīviem datiem. Stingru akreditācijas datu politikas ieviešana samazina uzbrukuma virsmu un palīdz novērst ar akreditācijas datiem saistītus datu aizsardzības pārkāpumus.
Ko pārbauda Aether365
Aether365 pārbauda, vai jūsu nomniekam ir noklusējuma lietojumprogrammu pārvaldības politika, kas nosaka akreditācijas datu ierobežojumus lietojumprogrammām un pakalpojumu kontiem. Šī pārbaude tiek rādīta jūsu Aether365 informācijas panelī sadaļā microsoft-365 pakalpojumu pārbaudes.
Kā novērst
- Savienojieties ar Microsoft Graph PowerShell ar nepieciešamajām atļaujām:
Connect-MgGraph -Scopes "Policy.ReadWrite.ApplicationConfiguration" - Importējiet Microsoft.Graph.Identity.SignIns moduli:
Import-Module Microsoft.Graph.Identity.SignIns - Izveidojiet vai atjauniniet noklusējuma lietojumprogrammu pārvaldības politiku, izmantojot
Update-MgPolicyDefaultAppManagementPolicycmdlet ar parauga parametriem, kas sniegti šajā dokumentācijā. - Konfigurējiet paroļu ierobežojumus, ieskaitot paroļu pievienošanu, paroļu derīguma termiņu, simetrisko atslēgu pievienošanu, simetrisko atslēgu derīguma termiņu un pielāgotu paroļu pievienošanu, kā parādīts parauga politikā.
- Konfigurējiet atslēgu akreditācijas datu ierobežojumus ar asimetrisko atslēgu derīguma termiņa ierobežojumiem, kas nepārsniedz 365 dienas.
- Pārbaudiet, vai politika ir iespējota un pareizi piemērota, palaižot
Get-MgPolicyDefaultAppManagementPolicy.
Atbilstība
- CIS Microsoft 365 Foundations Benchmark
- EIDSCA (Enterprise Identity Secure Control Assessment)
Saistītie resursi
- Microsoft Learn: Lietojumprogrammu politiku pārvaldība Microsoft Entra ID
- [Microsoft Graph PowerShell: Update-MgPolicyDefaultAppManagementPolicy](https://learn.microsoft.com/en-us/powershell/module/microsoft.graph.identity.signins/update-mgpolicyd efaultappmanagementpolicy)