Enforce credential configurations on apps and service principals
Чому це важливо
Microsoft Entra ID за замовчуванням дозволяє налаштовувати службові принципали та застосунки зі слабкими обліковими даними. Зловмисники можуть використовувати ці слабкі облікові дані для отримання несанкціонованого доступу до ресурсів вашої організації та конфіденційних даних. Запровадження політик суворих облікових даних зменшує поверхню атаки та допомагає запобігти витокам через зламані облікові дані.
Що перевіряє Aether365
Aether365 перевіряє, чи має ваш клієнт політику керування застосунками за замовчуванням, яка забезпечує обмеження облікових даних для застосунків і службових принципалів. Ця перевірка відображається на панелі Aether365 у розділі перевірок служби microsoft-365.
Як виправити
- Підключіться до Microsoft Graph PowerShell із необхідними дозволами:
Connect-MgGraph -Scopes "Policy.ReadWrite.ApplicationConfiguration" - Імпортуйте модуль Microsoft.Graph.Identity.SignIns:
Import-Module Microsoft.Graph.Identity.SignIns - Створіть або оновіть політику керування застосунками за замовчуванням за допомогою командлета
Update-MgPolicyDefaultAppManagementPolicyіз параметрами, наведеними в цій документації. - Налаштуйте обмеження паролів, включно з додаванням паролів, терміном дії паролів, додаванням симетричних ключів, терміном дії симетричних ключів і додаванням спеціальних паролів, як показано в прикладі політики.
- Налаштуйте обмеження для облікових даних ключів із терміном дії асиметричних ключів не більше 365 днів.
- Переконайтеся, що політику ввімкнено та застосовано правильно, виконавши команду
Get-MgPolicyDefaultAppManagementPolicy.
Відповідність
- CIS Microsoft 365 Foundations Benchmark
- EIDSCA (Enterprise Identity Secure Control Assessment)
Пов'язані ресурси
- Microsoft Learn: Manage app policies in Microsoft Entra ID
- [Microsoft Graph PowerShell: Update-MgPolicyDefaultAppManagementPolicy](https://learn.microsoft.com/en-us/powershell/module/microsoft.graph.identity.signins/update-mgpolicyd efaultappmanagementpolicy)