Apps with high-risk permissions having an indirect path to Global Admin
Dlaczego to jest ważne
Aplikacje z wysokoryzykownymi uprawnieniami Graph mogą stworzyć pośrednią ścieżkę do Global Admin, umożliwiając przejęcie całej dzierżawy przez atakującego. Jeśli aplikacja posiada uprawnienia tier-0, osoba atakująca, która przejmie jej poświadczenia lub wpisy tajne, może podnieść swoje uprawnienia bez bezpośredniego przypisania. To zagrożenie jest szczególnie niebezpieczne, ponieważ omija standardowe mechanizmy kontroli administracyjnej i może pozostać niewykryte przez dłuższy czas.
Co sprawdza Aether365
Ta kontrola identyfikuje aplikacje w Twojej dzierżawie Microsoft 365, które mają przypisane uprawnienia Microsoft Graph tier-0 i mogą zapewnić pośrednią ścieżkę do Global Admin. W panelu Aether365 w sekcji kontroli microsoft-365 skanuje wszystkie zarejestrowane aplikacje i oznacza te z zestawami uprawnień wysokiego ryzyka, które mogą pozwolić na eskalację uprawnień.
Jak naprawić
Przejrzyj uprawnienia aplikacji przy użyciu Microsoft Entra admin center.
- Zaloguj się do Microsoft Entra admin center.
- Przejdź do Identity, następnie Applications i wybierz All applications.
- Znajdź oznaczoną aplikację i otwórz jej szczegóły.
- Przejdź do API permissions i przejrzyj wymienione uprawnienia Microsoft Graph.
- Usuń wszelkie wysokoryzykowne uprawnienia, które nie są ściśle niezbędne do działania aplikacji.
- Upewnij się, że tylko autoryzowani użytkownicy i usługi mają dostęp do aplikacji oraz jej wpisów tajnych lub certyfikatów.
Zgodność
Ta kontrola nie odwzorowuje bezpośrednio konkretnych ram zgodności, ale wspiera najlepsze praktyki bezpieczeństwa zalecane przez Microsoft i CISA w zakresie ograniczania wysokoryzykownych uprawnień aplikacji.
Powiązane zasoby
- Microsoft Graph permissions reference
- Privileged identity management for applications
- Secure application access in Microsoft Entra ID