Aether365

Українська

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska

Українська

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska

Appearance

No Service Principal with Client Secret and permanent role assignment on Control Plane

Чому це важливо

Сервіс-принципали з клієнтськими секретами та постійними призначеннями високопривілейованих ролей на рівні управління (control plane) створюють значний ризик для безпеки. Якщо клієнтський секрет буде скомпрометовано, зловмисник зможе отримати постійний підвищений доступ до вашого середовища Azure. Використання сертифікатів з коротшим терміном дії або керованих ідентифікаторів (managed identities) зменшує цю поверхню атаки та відповідає принципу найменших привілеїв.

Що перевіряє Aether365

Ця перевірка сканує сервіс-принципали у вашому клієнті Microsoft 365, які мають одночасно налаштований клієнтський секрет та постійне призначення високопривілейованої ролі на рівні управління Azure. Вона відображається на панелі керування Aether365 у категорії перевірок microsoft-365.

Як виправити

  1. Визначте сервіс-принципал з оповіщення Aether365 та запам'ятайте його реєстрацію застосунку (app registration).
  2. Перевірте, чи можна повністю замінити сервіс-принципал на керовану ідентифікацію (для ресурсів Azure) для автентифікації.
  3. Якщо сервіс-принципал необхідний, перейдіть до Azure Portal та відкрийте Azure Active Directory > App registrations.
  4. Виберіть реєстрацію застосунку для сервіс-принципала, перейдіть до Certificates and secrets та видаліть клієнтський секрет.
  5. Завантажте сертифікат (X.509) на вкладку Certificates замість використання клієнтського секрету.
  6. Регулярно змінюйте сертифікат за розкладом або за допомогою автоматизованого конвеєра.
  7. Для призначення високопривілейованої ролі розгляньте можливість використання доступу "точно вчасно" (just-in-time, JIT) через Privileged Identity Management замість постійного призначення.

Відповідність вимогам

  • Прямих посилань немає, але це відповідає рекомендаціям CIS та CISA щодо безпеки облікових даних та принципу найменших привілеїв.

Пов'язані ресурси

Microsoft references

Ця сторінка була корисною?

© 2026 Aether365. All rights reserved.