標準帳戶註冊應用程式的能力

LOW

說明

根據預設,任何 Entra 使用者均可在租用戶內註冊並管理應用程式。雖然這項預設設定既方便使用又不會即時出現安全弱點,但仍會造成隱患。允許註冊開放式應用程式可能會導致系統使用未經批准或高風險的應用程式 (「影子 IT」),並讓惡意攻擊者有機會透過註冊偽造的應用程式進行網路釣魚。此外,某些組織可能希望限制應用程式註冊數量,以防止不必要的系統擴張。不僅如此,系統還會自動將建立應用程式的使用者指定為其所有者,並保留可能與組織喜好設定不相符的管理權限。

相關設定名稱為「使用者可以註冊應用程式​」,位於使用者設定選單的「預設使用者角色權限​」下。

Microsoft 在設定 Microsoft Entra 以提高安全性中也建議「建立新的應用程式和服務主體僅限於特權使用者」。

解決方案

許多最佳做法和安全基準都建議限制可以建立應用程式的人員。此方法包括設定適當的委派,以便指定管理員能夠使用文件所記錄的各種方法註冊應用程式。

請注意,當一般使用者失去自助服務功能後,其應用程式註冊請求將由您的服務台、開發人員或 Entra 管理者處理,這些額外的申請可能會增加其工作量。關於此限制,文件中還說明了其他需要考慮的缺點

指標詳細資料

名稱: 標準帳戶註冊應用程式的能力

代碼名稱: ABILITY-OF-STANDARD-ACCOUNTS-TO-REGISTER-APPLICATIONS

嚴重性: Low

類型: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 資訊: