Möglichkeit von Standardkonten zur Registrierung von Anwendungen

Jeder Entra-Benutzer kann standardmäßig Anwendungen im Mandanten registrieren und anschließend verwalten. Diese Standardeinstellung ist zwar praktisch und stellt keine unmittelbare Sicherheitslücke dar, sie birgt jedoch potenzielle Risiken. Wenn die App-Registrierung für alle möglich („offen“) ist, kann dies dazu führen, dass nicht genehmigte oder hochriskante Anwendungen („Schatten-IT“) verwendet werden. Außerdem ermöglicht es böswilligen Akteuren, gefälschte Anwendungen für Phishing-Zwecke zu registrieren. Darüber hinaus möchten einige Organisationen die App-Registrierung ggf. einschränken, um unnötigen Wildwuchs zu verhindern. Zudem wird der Ersteller einer Anwendung automatisch als deren Besitzer ausgewiesen und behält Verwaltungsberechtigungen, die möglicherweise nicht mit den Präferenzen der Organisation übereinstimmen.

Die entsprechende Einstellung heißt Benutzer können Anwendungen registrieren und befindet sich unter Standardberechtigungen für Benutzerrollen im Menü Benutzereinstellungen.

Viele Best Practices und Sicherheits-Baselines empfehlen, einzuschränken, welche Benutzer Anwendungen erstellen können. Zu diesem Ansatz gehört die Konfiguration der ordnungsgemäßen Delegierung, sodass bestimmte Administratoren Anwendungen mit verschiedenen dokumentierten Methoden registrieren können.

Bedenken Sie die potenzielle zusätzliche Workload für Helpdesk, Entwickler oder Entra-Administratoren, da sie zusätzliche Anfragen zur Anwendungsregistrierung bearbeiten müssen, sobald reguläre Benutzer dies nicht mehr selbst tun können. Bei dieser Einschränkung sind noch weitere dokumentierte Nachteile zu berücksichtigen.

Name: Möglichkeit von Standardkonten zur Registrierung von Anwendungen

Codename: ABILITY-OF-STANDARD-ACCOUNTS-TO-REGISTER-APPLICATIONS

Schweregrad: Low

Typ: Microsoft Entra ID Indicator of Exposure