Détections

Capacité des comptes standards à enregistrer des applications

LOW

Langue :

Description

Par défaut, n'importe quel utilisateur d'Entra peut enregistrer des applications dans le tenant, puis les gérer. Bien que ce paramètre par défaut soit pratique et ne présente pas de vulnérabilité de sécurité immédiate, il présente des risques potentiels. L'autorisation d'enregistrer des applications libres peut conduire à l'utilisation d'applications non autorisées ou à haut risque (« Shadow IT »), et permettre à des acteurs malveillants d'enregistrer de fausses applications à des fins de phishing. En outre, certaines organisations peuvent souhaiter restreindre l'enregistrement d'applications afin d'éviter une prolifération inutile. Par ailleurs, l'utilisateur qui crée une application est automatiquement désigné comme son propriétaire. Il conserve ainsi des autorisations de gestion qui peuvent ne pas être alignées sur les préférences de l'organisation.

Le paramètre correspondant est étiqueté « Les utilisateurs peuvent enregistrer des applications » sous Autorisations de rôle utilisateur par défaut dans le menu Paramètres utilisateur.

Solution

Un grand nombre de bonnes pratiques et de règles de sécurité de base recommandent de restreindre les utilisateurs autorisés à créer des applications. Cette approche inclut la configuration d'une délégation appropriée, afin que les administrateurs désignés aient la possibilité d'enregistrer des applications à l'aide de diverses méthodes documentées.

Tenez compte de la charge de travail supplémentaire potentielle pour votre support technique, vos développeurs ou vos administrateurs Entra, car ils devront traiter des demandes d'enregistrement d'applications supplémentaires lorsque les utilisateurs standards auront perdu leur capacité de libre-service. Il existe également d'autres désavantages documentés à considérer avec cette restriction.

Détails de l'indicateur

Nom: Capacité des comptes standards à enregistrer des applications

Nom de code: ABILITY-OF-STANDARD-ACCOUNTS-TO-REGISTER-APPLICATIONS

Sévérité: Low

Type: Microsoft Entra ID Indicator of Exposure

Informations MITRE ATT&CK: