Erkennungen

Administratoreinwilligungs-Workflow für Anwendungen nicht konfiguriert

MEDIUM

Sprache:

Beschreibung

Ohne den Workflow zur Administratoreinwilligung steht Benutzern ohne Administratorrechte keine integrierte Möglichkeit zur Verfügung, um Zugriffsanfragen für Anwendungen zu eskalieren. Folglich könnten sie auf Problemumgehungen zurückgreifen oder, sofern Benutzereinwilligung zulässig ist, selbst Berechtigungen erteilen (siehe IoE „Uneingeschränkte Benutzereinwilligung für Anwendungen“). In beiden Fällen verliert das Unternehmen den Überblick und die Kontrolle über die Erteilung von Berechtigungen, wodurch die Durchsetzung des Prinzips der geringsten Rechte geschwächt wird.

Bei Consent-Phishing-Angriffen (auch bekannt als unzulässige Einwilligungserteilung) werden Benutzer dazu verleitet, den Zugriff auf bösartige Anwendungen zu gewähren, die legitim erscheinen. Ohne Genehmigungsworkflow gibt es keine Überprüfungsebene, um einen verdächtigen Berechtigungsbereich wie Files.ReadWrite (vollständiger Zugriff auf Benutzerdateien) oder Mail.ReadWrite (Lese- und Schreibzugriff auf alle Postfächer) zu kennzeichnen. Dadurch können Angreifer dauerhaften Zugriff auf Benutzerdaten erhalten. Dieser Zugriff wird durch Passwortänderungen oder MFA nicht aufgehoben.

Ohne den Workflow zur Administratoreinwilligung müssen Administratoren Berechtigungsanforderungen über Ad-hoc-Kanäle wie E-Mail, Chat oder direkten Kontakt bearbeiten, was zu blinden Flecken bei der Überwachung führt. Es gibt keinen automatisierten Anforderungsprozess, kein Erinnerungssystem und keine Aufzeichnungen darüber, wer was, wann und warum genehmigt hat. Diese fehlende Überwachung macht es schwierig, nachzuweisen, dass vor der Erteilung von Anwendungsberechtigungen eine ordnungsgemäße Überprüfung erfolgt ist.

Microsoft empfiehlt in Konfigurieren von Microsoft Entra für erhöhte Sicherheit außerdem, dass der „Workflow zur Administratoreinwilligung aktiviert ist“.

Lösung

Aktivieren und konfigurieren Sie den Workflow zur Administratoreinwilligung in Ihrem Entra ID-Mandanten, um einen klaren, standardisierten Prozess zu etablieren, mit dem Benutzer Berechtigungen für Anwendungen anfordern können, die die Einwilligung des Administrators erfordern. Bei aktivierter Option wird den Benutzern das Dialogfeld „Approval required“ (Genehmigung erforderlich) angezeigt, und sie können eine Begründung übermitteln. Das System leitet die Anforderung automatisch an die zuständigen Prüfer weiter. Dieser strukturierte Workflow deckt alle Anforderungen ab und gibt Administratoren vollständigen Einblick in alle ausstehenden Anforderungen.

Nach Aktivierung des Workflows zur Administratoreinwilligung müssen die Administratoren entsprechende Prüfer zuweisen. Um Anforderungen zu genehmigen, müssen Prüfer eine spezifische Rolle innehaben, z. B. „Globaler Administrator“, „Cloud-Anwendungsadministrator“, „Anwendungsadministrator“ oder „Administrator mit privilegierter Rolle“. Wenn jemandem die Rolle eines Prüfers zugewiesen wird, werden seine Berechtigungen dadurch nicht erhöht. Prüfer ohne die erforderliche Rolle können Anforderungen anzeigen, blockieren oder verweigern. Aber nur diejenigen, die bereits über eine Rolle verfügen, die zum Erteilen einer mandantenweiter Administratoreinwilligung autorisiert ist, können sie genehmigen. Tenable empfiehlt, nach Möglichkeit die Rolle „Cloud-Anwendungsadministrator“ zuzuweisen, da sie die erforderlichen Berechtigungen bietet, jedoch ohne den umfassenden Zugriff der Rolle „Globaler Administrator“, die Sie für Notfälle vorbehalten sollten. Allerdings können nur globale Administratoren Anforderungen zur Administratoreinwilligung für Anwendungen genehmigen, in denen Microsoft Graph-App-Rollen angefordert werden.

Überprüfen Sie die Liste der Prüfer regelmäßig, um die Zuweisungen bei personellen Änderungen auf dem neuesten Stand zu halten. Neue Prüfer können nur Zugriffsanforderungen sehen, die nach ihrer Zuweisung erstellt wurden, während entfernte Prüfer weiterhin Zugang zu früheren Anforderungen haben. Administratoren sollten das Hinzufügen und Entfernen von Prüfern sorgfältig planen, um eine lückenhafte Abdeckung zu vermeiden.

Nachdem der Überprüfungsprozess formalisiert wurde, konfigurieren Sie E-Mail-Benachrichtigungen und Ablaufeinstellungen für Einwilligungsanforderungen. Diese Einstellungen benachrichtigen Prüfer, wenn neue Zugriffsanforderungen übermittelt werden oder sich dem Ablauf nähern. Benutzer, die Zugriffsanforderungen übermitteln, erhalten Benachrichtigungen, wenn ihre Anforderungen genehmigt, abgelehnt oder blockiert werden. Durch das Definieren eines Ablaufzeitraums wird verhindert, dass veraltete Anforderungen unendlich im System verbleiben.

Indikatordetails

Name: Administratoreinwilligungs-Workflow für Anwendungen nicht konfiguriert

Codename: ADMIN-CONSENT-WORKFLOW-FOR-APPLICATIONS-NOT-CONFIGURED

Schweregrad: Medium

Typ: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK-Informationen: