Uneingeschränkte Benutzereinwilligung für Anwendungen

In Entra ID ist der OAuth 2.0-Delegierungsmechanismus implementiert, sodass Benutzer jeder Drittanbieter-Anwendung ihre Einwilligung erteilen können. Auf diese Weise gewähren Benutzer diesen Anwendungen Zugriff auf ihre Daten und damit auch auf die Daten aller Organisationen, auf die sie Zugriff haben.

Angreifer haben Social Engineering-Angriffe mit bösartigen Anwendungen entwickelt, die sich oft als legitime Geschäftsanwendungen tarnen und sensible Berechtigungen erfordern. Sobald diese Berechtigungen erteilt wurden, ermöglichen sie es Angreifern, Daten zu stehlen oder Aktionen im Namen des Benutzers durchzuführen. Diese Angriffe werden als „unzulässige Einwilligungserteilung“ oder „Consent Phishing“ bezeichnet.

Entra ID bietet drei Optionen, mit denen Benutzer angeben können, inwieweit sie Anwendungen ihre Einwilligung erteilen:

• „Benutzereinwilligung nicht zulassen“: Dies ist die sicherste Option.
• „Für ausgewählte Berechtigungen die Benutzereinwilligung für Apps von verifizierten Herausgebern zulassen“: Microsoft empfiehlt diese mittlere Option, da sie das Risiko verringert, indem sie nur weniger sensible Berechtigungen zulässt und den Zugriff auf Anwendungen von „verifizierten Herausgebern“ beschränkt.
• „Benutzereinwilligung für Apps zulassen“: Standardmäßig erlaubt es diese am wenigsten sichere Option Benutzern, jeder Anwendung, auch externen, ihre Einwilligung für die meisten Berechtigungen zu erteilen (mit Ausnahme derjenigen, die Administratoren vorbehalten sind).

Standardmäßig kennzeichnet der IoE nur die weniger sichere Option in Entra ID als falsch. Für eine höhere Sicherheitsempfindlichkeit können Sie die IoE-Option „Streng“ aktivieren, die sowohl die weniger sichere als auch die mittlere Entra ID-Option kennzeichnet.

Tenable empfiehlt, den Rat von Microsoft zu befolgen und sich mindestens für die mittlere Option zu entscheiden: „Für ausgewählte Berechtigungen die Benutzereinwilligung für Apps von verifizierten Herausgebern zulassen”. Für Organisationen mit strengeren Sicherheitsanforderungen können Sie die sicherste Option wählen: „Benutzereinwilligung nicht zulassen“.

Um Einschränkungen zu aktivieren, sind Microsoft Entra-Administratoren mit bestimmten Rollen erforderlich, die die Einwilligung zu Anwendungen verwalten und Einwilligungsanfragen prüfen. Außerdem müssen sie Anforderungen zur Administratoreinwilligung überprüfen, was ihre Workload erhöht. Stellen Sie sicher, dass sie angemessen geschult werden, sodass sie nur legitime Anwendungen und Berechtigungen validieren.

Befolgen Sie den Microsoft-Leitfaden, in dem beschrieben wird, wie die Benutzereinwilligung für Anwendungen konfiguriert wird. Dieser Leitfaden enthält Anweisungen zur Verwendung von Microsoft Entra Admin Center, Microsoft Graph PowerShell oder Microsoft Graph-API.

Durch Ändern der ausgewählten Option werden frühere Einwilligungen nicht rückgängig gemacht. Seien Sie daher vorsichtig, wenn Sie vermuten, dass Social Engineering-Angriffe diese Technik ausgenutzt haben könnten. Sehen Sie sich die Ergebnisse der IoEs „Gefährliche API-Berechtigungen mit Auswirkungen auf den Mandanten” und „Gefährliche API-Berechtigungen mit Auswirkungen auf Daten” an, um potenziell bösartige oder übermäßig gewährte Berechtigungen zu identifizieren.

Sie können auch erwägen, die risikobasierte Step-up-Einwilligung zu aktivieren.

Name: Uneingeschränkte Benutzereinwilligung für Anwendungen

Codename: UNRESTRICTED-USER-CONSENT-FOR-APPLICATIONS

Schweregrad: Medium

Typ: Microsoft Entra ID Indicator of Exposure