Apps with high-risk permissions having an indirect path to Global Admin
Zakaj je to pomembno
Aplikacije z visoko tveganimi dovoljenji Graph lahko ustvarijo posredno pot do globalnega skrbnika, kar napadalcu omogoči popoln prevzem najemnika. Če ima aplikacija dovoljenja stopnje 0 (tier-0), lahko napadalec, ki ogrozi njena poverila ali skrivnosti, poveča svoje privilegije brez neposredne dodelitve. To tveganje je še posebej nevarno, ker zaobide standardne administrativne ukrepe in lahko ostane neodkrito dalj časa.
Kaj preverja Aether365
To preverjanje identificira aplikacije v vašem najemniku Microsoft 365, ki imajo dodeljena dovoljenja Microsoft Graph stopnje 0 (tier-0) in bi lahko ustvarile posredno pot do globalnega skrbnika. Na nadzorni plošči Aether365 v razdelku microsoft-365 checks pregleda vse registrirane aplikacije in označi tiste z visoko tveganimi sklopi dovoljenj, ki lahko omogočijo dvig privilegijev.
Kako odpraviti težavo
Preglejte dovoljenja aplikacije s pomočjo Microsoft Entra admin center.
- Prijavite se v Microsoft Entra admin center.
- Pomaknite se do Identity, nato Applications in izberite All applications.
- Poiščite označeno aplikacijo in odprite njene podrobnosti.
- Pojdite na API permissions in preglejte navedena dovoljenja za Microsoft Graph.
- Odstranite vsa visoko tvegana dovoljenja, ki niso nujno potrebna za delovanje aplikacije.
- Preverite, da imajo do aplikacije in njenih skrivnosti ali potrdil dostop samo pooblaščeni uporabniki in storitve.
Skladnost s predpisi
To preverjanje se ne nanaša neposredno na določen regulativni okvir, vendar podpira najboljše varnostne prakse, ki jih priporočajo Microsoft in CISA za omejevanje visoko tveganih dovoljenj aplikacij.
Povezani viri
- Microsoft Graph permissions reference
- Privileged identity management for applications
- Secure application access in Microsoft Entra ID