Aether365

Português

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Română
Slovenčina
Slovenščina
Svenska
Українська

Português

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

No Service Principal with Client Secret and permanent role assignment on Control Plane

Por que Isso é Importante

Service principals com segredos de cliente (client secrets) e atribuições permanentes a funções de alto privilégio no plano de controle representam um risco de segurança significativo. Se um segredo de cliente for comprometido, um invasor pode manter acesso elevado persistente ao seu ambiente do Azure. Usar certificados com vida útil mais curta ou identidades gerenciadas reduz essa superfície de ataque e está alinhado com os princípios de menor privilégio.

O que o Aether365 Verifica

Esta verificação examina service principals no seu locatário do Microsoft 365 que possuem tanto um segredo de cliente configurado quanto uma atribuição permanente a uma função de alto privilégio no plano de controle do Azure. Ela aparece no painel do Aether365 sob a categoria de verificações microsoft-365.

Como Corrigir

  1. Identifique o service principal a partir do alerta do Aether365 e anote seu registro de aplicativo (app registration).
  2. Revise se o service principal pode ser totalmente substituído por uma identidade gerenciada (para recursos do Azure) para autenticação.
  3. Se um service principal for necessário, navegue até o Azure Portal e vá para Azure Active Directory > App registrations.
  4. Selecione o registro de aplicativo para o service principal, vá para Certificates and secrets e remova o segredo de cliente.
  5. Faça upload de um certificado (X.509) na guia Certificates em vez de usar um segredo de cliente.
  6. Realize a rotação do certificado regularmente usando uma programação ou pipeline de automação.
  7. Para a atribuição de função de alto privilégio, considere usar acesso just-in-time (JIT) por meio do Privileged Identity Management em vez de uma atribuição permanente.

Conformidade

  • Nenhuma citada diretamente, mas está alinhado com as recomendações do CIS e da CISA para segurança de credenciais e menor privilégio.

Recursos Relacionados

Microsoft references

Esta página foi útil?

© 2026 Aether365. All rights reserved.