App registrations with privileged API permissions should have no owners
Waarom dit belangrijk is
App-registraties met zeer bevoegde API-machtigingen kunnen een kritiek beveiligingsrisico vormen als het eigenaarschap niet goed wordt beheerd. Wanneer er meerdere eigenaren bestaan voor dergelijke registraties, vergroot dit het aanvalsoppervlak en ontstaan er mogelijke laterale bewegingspaden voor aanvallers. Beheerders moeten ervoor zorgen dat bevoorrechte app-registraties geen eigenaren hebben en in plaats daarvan roltoewijzingen op objectniveau gebruiken om het beheer te delegeren.
Wat Aether365 controleert
Aether365 verifieert dat app-registraties met Control/Management Plane of zeer kritieke API-machtigingen geen toegewezen eigenaren hebben. Deze controle verschijnt in het Aether365-dashboard onder de categorie entra-id.
Hoe op te lossen
- Meld u aan bij het Microsoft Entra admin center als globale beheerder of toepassingsbeheerder.
- Navigeer naar Identity, vervolgens naar Applications, en selecteer App registrations.
- Zoek en selecteer de app-registratie met bevoorrechte API-machtigingen.
- Selecteer onder de sectie Manage de optie Owners.
- Verwijder alle huidige eigenaren uit de lijst.
- Gebruik in plaats van het toewijzen van eigenaarschap roltoewijzingen op objectniveau om het beheer van de app-registratie te delegeren aan beheerders met lagere bevoegdheidsclassificaties. Dit voorkomt schendingen van beveiligingsniveaus en vermindert risico's op laterale bewegingen.
Compliance
- Framework: Overig
- CIS: Niet van toepassing
- EIDSCA: Niet van toepassing
- CISA: Niet van toepassing