App registrations with privileged API permissions should have no owners

De ce este important

Înregistrările de aplicații cu permisiuni API extrem de privilegiate pot reprezenta un risc critic de securitate dacă proprietatea nu este controlată corespunzător. Atunci când există mai mulți proprietari pentru astfel de înregistrări, suprafața de atac crește și se creează potențiale căi de deplasare laterală pentru atacatori. Administratorii ar trebui să se asigure că înregistrările privilegiate de aplicații nu au proprietari și, în schimb, să utilizeze atribuiri de roluri la nivel de obiect pentru a delega gestionarea.

Ce verifică Aether365

Aether365 verifică dacă înregistrările de aplicații cu permisiuni API de tip Control/Management Plane sau extrem de critice nu au proprietari atribuiți. Această verificare apare în tabloul de bord Aether365 sub categoria entra-id.

Cum se remediază

1. Conectați-vă la portalul Microsoft Entra admin center ca Administrator Global sau Administrator de Aplicații.
2. Navigați la Identity, apoi la Applications și selectați App registrations.
3. Găsiți și selectați înregistrarea aplicației cu permisiuni API privilegiate.
4. Sub secțiunea Manage, selectați Owners.
5. Eliminați toți proprietarii existenți din listă.
6. În loc să atribuiți proprietatea, utilizați atribuiri de roluri la nivel de obiect pentru a delega gestionarea înregistrării aplicației către administratori cu clasificări de privilegii mai scăzute. Acest lucru previne încălcările de nivel și reduce riscurile de deplasare laterală.

Conformitate

• Cadru: Altul
• CIS: Nu se aplică
• EIDSCA: Nu se aplică
• CISA: Nu se aplică

Resurse conexe

• Atribuiți roluri cu domeniul de aplicare al înregistrării aplicației

Microsoft references

• Advanced hunting identityinfo table
• App governance get started
• Overview assign app owners
• Manage roles portal