Enforce credential configurations on apps and service principals
Por que isso é importante
O Microsoft Entra ID permite, por padrão, que service principals e aplicativos sejam configurados com credenciais fracas. Atacantes podem explorar essas credenciais fracas para obter acesso não autorizado aos recursos e dados confidenciais da sua organização. A aplicação de políticas de credenciais fortes reduz a superfície de ataque e ajuda a prevenir violações baseadas em credenciais.
O que o Aether365 verifica
O Aether365 verifica se seu locatário possui uma política de gerenciamento de aplicativos padrão que impõe restrições de credenciais para aplicativos e service principals. Essa verificação aparece no painel do Aether365 na seção de verificações de serviço microsoft-365.
Como corrigir
- Conecte-se ao Microsoft Graph PowerShell com as permissões necessárias:
Connect-MgGraph -Scopes "Policy.ReadWrite.ApplicationConfiguration" - Importe o módulo Microsoft.Graph.Identity.SignIns:
Import-Module Microsoft.Graph.Identity.SignIns - Crie ou atualize a política de gerenciamento de aplicativos padrão usando o cmdlet
Update-MgPolicyDefaultAppManagementPolicycom os parâmetros de exemplo fornecidos nesta documentação. - Configure as restrições de senha, incluindo adição de senha, tempo de vida da senha, adição de chave simétrica, tempo de vida da chave simétrica e adição de senha personalizada, conforme mostrado na política de exemplo.
- Configure as restrições de credenciais de chave com limites de tempo de vida de chave assimétrica de no máximo 365 dias.
- Verifique se a política está habilitada e aplicada corretamente executando
Get-MgPolicyDefaultAppManagementPolicy.
Conformidade
- CIS Microsoft 365 Foundations Benchmark
- EIDSCA (Enterprise Identity Secure Control Assessment)
Recursos relacionados
- Microsoft Learn: Gerenciar políticas de aplicativos no Microsoft Entra ID
- [Microsoft Graph PowerShell: Update-MgPolicyDefaultAppManagementPolicy](https://learn.microsoft.com/en-us/powershell/module/microsoft.graph.identity.signins/update-mgpolicyd efaultappmanagementpolicy)