Privileged API permissions on service principals should not remain unused

Dlaczego to ma znaczenie

Nieużywane, nadmiarowe uprawnienia API przypisane do jednostek usługi (service principal) stwarzają niepotrzebne ryzyko bezpieczeństwa. Jeśli jednostka usługi zachowa wpływowe uprawnienia, których nigdy nie używa, osoba atakująca, która przejmie kontrolę nad tą jednostką, uzyska dostęp do wrażliwych operacji na płaszczyźnie kontroli, które może wykorzystać. Usunięcie nieużywanych uprawnień zmniejsza powierzchnię ataku i jest zgodne z zasadą najmniejszych uprawnień.

Co sprawdza Aether365

Ta kontrola identyfikuje jednostki usługi z nieużywanymi uprawnieniami API, które Microsoft Defender for Cloud Apps (MDA) App Governance sklasyfikował jako uprawnienia do płaszczyzny kontroli lub zarządzania (control or management plane) albo jako wysoce krytyczne uprawnienia API. Wynik pojawia się na pulpicie nawigacyjnym Aether365 w kategorii entra-id.

Jak naprawić

1. Otwórz portal Microsoft Defender for Cloud Apps i przejdź do strony z wykazem aplikacji (Applications inventory page).
2. Znajdź sekcję OAuth apps i przejrzyj jednostki usługi oznaczone jako posiadające nieużywane uprawnienia.
3. Użyj funkcji przeszukiwania aktywności aplikacji (hunting of app activities), aby potwierdzić, że żadne uzasadnione działania nie wymagają tych uprawnień.
4. Dla każdego nieużywanego uprawnienia usuń jego przypisanie do jednostki usługi w Microsoft Entra ID.
5. Sprawdź, czy jednostka usługi nadal działa poprawnie po usunięciu.

Zgodność z przepisami

• Inne: Dotyczy najlepszych praktyk bezpieczeństwa w zakresie zarządzania jednostkami usługi Microsoft Entra ID

Powiązane zasoby

• Przeglądanie aplikacji OAuth w App Governance
• Przeszukiwanie aktywności aplikacji w Defender for Cloud Apps

Microsoft references

• Advanced hunting identityinfo table
• App governance get started
• Applications inventory
• App activity threat hunting