No Service Principal with Client Secret and permanent role assignment on Control Plane
Varför detta är viktigt
Tjänstens huvudnamn med klienthemligheter och permanenta högprivilegierade rolltilldelningar på kontrollplanet utgör en betydande säkerhetsrisk. Om en klienthemlighet komprometteras kan en angripare bibehålla beständig förhöjd åtkomst till din Azure-miljö. Att använda certifikat med kortare livslängd eller Managed Identities minskar denna attackyta och överensstämmer med principen om minsta behörighet.
Vad Aether365 kontrollerar
Denna kontroll skannar efter tjänstens huvudnamn i din Microsoft 365-klient som både har en klienthemlighet konfigurerad och en permanent tilldelning till en högprivilegierad roll på Azures kontrollplan. Den visas i din Aether365-instrumentpanel under kategorin microsoft-365-kontroller.
Så här åtgärdar du
- Identifiera tjänstens huvudnamn från Aether365-varningen och notera dess appregistrering.
- Utvärdera om tjänstens huvudnamn helt kan ersättas av en Managed Identity (för Azure-resurser) för autentisering.
- Om ett tjänstens huvudnamn krävs, navigera till Azure Portal och gå till Azure Active Directory > App registrations.
- Välj appregistreringen för tjänstens huvudnamn, gå till Certificates and secrets och ta bort klienthemligheten.
- Ladda upp ett certifikat (X.509) till fliken Certificates istället för att använda en klienthemlighet.
- Rotera certifikatet regelbundet med hjälp av ett schema eller en automatiseringspipeline.
- För den högprivilegierade rolltilldelningen, överväg att använda just-in-time (JIT)-åtkomst via Privileged Identity Management istället för en permanent tilldelning.
Efterlevnad
- Ingen direkt citerad, men överensstämmer med CIS- och CISA-rekommendationer för säker hantering av autentiseringsuppgifter och principen om minsta behörighet.
Relaterade resurser
- Managed identities for Azure resources
- Use certificates for Azure AD application authentication
- What is Privileged Identity Management?