設定 OAuth 原則:指定設定檔/權限集以存取外部用戶端應用程式控制

控制名稱

外部用戶端應用程式:設定 OAuth 原則:管理員批准的使用者已獲得外部用戶端應用程式的預先授權,並指定設定檔/權限集以存取外部用戶端應用程式

建議組態

透過外部用戶端應用程式原則預先授權使用者應用程式存取權 - 選取「管理員核准的使用者均獲得預先授權」。

設定要在 App Launcher 中顯示的外部用戶端應用程式 - 選取「管理員核准的使用者均獲得預先授權」,並指定授權的設定檔和權限集。

控制概觀

這些安全性設定會透過透過指派的設定檔和權限集要求明確的管理預先授權,將應用程式存取權與 App Launcher 可視性限制給特定使用者子集。

未設定安全性風險

缺少管理員批准的預先授權和定義的權限集,會導致監督和未經授權識別敏感組織工具的程度降低,進而增加入侵應用程式的潛在爆炸半徑。

威脅情況

未經授權的使用者或入侵的帳戶會在 App Launcher 中識別並鎖定全球可見的敏感財務工具,之後會收集資料,因為平台缺少管理前批准限制。

估計 CVSS 分數範圍

高 (7.0–8.9)。

風險影響考量事項

限制應用程式存取權的失敗可促進未受管理資料存取點的擴充,並允許惡意執行動作使用者執行內部偵測以對應組織軟體生態系統以進行潛在的利用。

風險愈高時機

當應用程式提供受監管資料的存取權,並向整個人力顯示,無論其功能角色或已驗證需要瞭解狀態為何。

低度風險時機

如果公司強制執行限制性可視性模型,則在正式安全審查和指派特定權限集後,工具只會提供給使用者。

業務與整合考量事項

實作這些控制項可確保僅可存取經過審核的應用程式,但需要已建立的管理流程才能管理使用者基礎的設定檔與權限集指派生命週期。

建議的補救措施

前往「外部用戶端應用程式」的「OAuth 原則」,選取「管理員核准的使用者均獲得預先授權」,然後明確將授權的設定檔和權限集新增至原則。

安全性健康檢閱指南

「安全性健康審查」將管理預先授權識別為強烈建議的標準,以維持對應用程式生態系統的集中控制,並防止未經授權發現敏感業務工具。