App registrations with privileged API permissions should have no owners

Bunun Önemi

Yüksek ayrıcalıklı API izinlerine sahip uygulama kayıtlarının sahipliğinin düzgün kontrol edilmemesi kritik bir güvenlik riski oluşturabilir. Bu tür kayıtların birden fazla sahibi olduğunda, saldırı yüzeyi genişler ve saldırganlar için potansiyel yanal hareket yolları oluşur. Yöneticiler, ayrıcalıklı uygulama kayıtlarının hiçbir sahibi olmamasını sağlamalı ve bunun yerine yönetimi devretmek için nesne düzeyinde rol atamaları kullanmalıdır.

Aether365'in Kontrol Ettiği

Aether365, Control/Management Plane veya yüksek kritik API izinlerine sahip uygulama kayıtlarına herhangi bir sahip atanmadığını doğrular. Bu kontrol, Aether365 panosunda entra-id kategorisi altında görünür.

Nasıl Düzeltilir

1. Global Administrator veya Application Administrator olarak Microsoft Entra admin center'da oturum açın.
2. Identity, ardından Applications kısmına gidin ve App registrations'ı seçin.
3. Ayrıcalıklı API izinlerine sahip uygulama kaydını bulun ve seçin.
4. Manage bölümü altında Owners'ı seçin.
5. Listeden tüm mevcut sahipleri kaldırın.
6. Sahiplik atamak yerine, uygulama kaydının yönetimini daha düşük ayrıcalık sınıflarına sahip yöneticilere devretmek için nesne düzeyinde rol atamaları kullanın. Bu, katman ihlallerini önler ve yanal hareket risklerini azaltır.

Uyumluluk

• Framework: Diğer
• CIS: Uygulanamaz
• EIDSCA: Uygulanamaz
• CISA: Uygulanamaz

İlgili Kaynaklar

• Assign roles with app registration scope

Microsoft references

• Advanced hunting identityinfo table
• App governance get started
• Overview assign app owners
• Manage roles portal