詳細情報:
Manage Connect Apps (Connect アプリケーションの管理): Allow Creation of Connected Apps - Off (接続アプリケーションの作成を許可 - オフ)
このセキュリティ設定により、すべてのインターフェースで新しい OAuth 対応接続アプリケーションを定義、登録、またはリリースする組織の機能がグローバルに無効になります。
コントロール名
接続アプリケーション: 接続アプリケーションの管理: 接続アプリケーションの作成を許可 - オフ
推奨設定
接続アプリケーションの作成を許可 - オフ。
制御の概要
このセキュリティ設定により、ユーザーインターフェースやメタデータ API など、すべてのインターフェースで OAuth 対応の新しい接続アプリケーションを定義、登録、またはリリースする組織の機能がグローバルに無効になります。
設定されていない場合のセキュリティリスク
接続アプリケーションを無制限に作成すると、個人アプリケーションとのデータ共有が許可されず、未審査のインテグレーションエンドポイントや未管理インテグレーションエンドポイントで重大な企業データが失われる可能性があります。
脅威のシナリオ
内部アクターがカスタム接続アプリケーションを作成して本番環境を非準拠のサードパーティツールにリンクし、機密の顧客レコードを安全でない外部データベースに誤って同期させます。
推定 CVSS スコア範囲
高 (7.0 ~ 8.9)。
リスクの影響に関する考慮事項
アプリケーションの作成を制限しないと、正式なセキュリティレビューやアーキテクチャの監視がスキップされ、持ち出しに悪用される可能性のある永続的な監視されていないデータコンジットが確立されます。
より高いリスク
ユーザーが広範なオブジェクトレベルの権限を持っている場合、または新しい OAuth コンシューマーログイン情報の登録を警告する自動監視が会社にない場合。
低リスク
組織が承認済みリダイレクト URI の厳格な許可リストを適用し、すべての API トラフィックが特定の企業管理ネットワーク範囲から送信されるように要求している場合。
ビジネスと統合に関する考慮事項
このグローバルブロックを有効にすると、従来のフレームワークがローカルに登録されなくなるため、接続アプリケーションのサポートが最終的に終了するときに互換性を確保するために、外部クライアントアプリケーションフレームワークへの戦略的なピボットが必要になります。
推奨される修復
[設定] の [OAuth および OpenID Connect 設定] に移動し、ユーザーが接続アプリケーションを作成して新規アプリケーション登録にグローバルブロックを適用できるようにするチェックボックスをオフにします。注意: Spring '26 以降、この設定はデフォルトで無効になっています。
Security Health Review Guidance (セキュリティ状態レビューガイダンス)
Security Health Review では、未管理ソフトウェアの急増を防ぎ、すべてのデータ共有インターフェースが一元化されたセキュリティガバナンスの対象となるようにするために、セルフサービスアプリケーション作成の制限を強く推奨する標準として特定しています。
