アプリケーションを登録できる標準アカウント

デフォルトでは、Entra ユーザーであれば誰でもテナントでアプリケーションを登録し、管理することができます。このデフォルトの設定は便利である一方、セキュリティ上の脆弱性というほどではありませんが、一定のリスクを伴います。オープンアプリの登録を許可すると、許可されていないまたは高リスクのアプリケーション (「シャドー IT」) の使用につながり、悪意のある攻撃者がフィッシング目的で偽のアプリケーションを登録する可能性があります。また、不要な拡散を防ぐためにアプリ登録の制限を望む組織も存在します。さらに、アプリケーションを作成するユーザーは自動的に所有者として指定され、組織の意向と一致しているとは限らない管理アクセス許可を保持します。

該当する設定は、[ユーザー設定] メニューの [既定のユーザー ロールのアクセス許可]​ の [ユーザーはアプリケーションを登録できる]​ になります。

Microsoft も、セキュリティを強化するために Microsoft Entra を構成するで、「新しいアプリケーションとサービスプリンシパルの作成は特権ユーザーに制限する」ことを推奨しています。

多くのベストプラクティスとセキュリティベースラインでは、アプリケーションを作成できるユーザーを制限することが推奨されています。このアプローチで適切な委任を設定することで、指定された管理者が文書化されているさまざまな方法を用いてアプリケーションを登録することができるようになります。

ヘルプデスク、開発者、または Entra 管理者の負担が増える可能性があることに注意してください。通常ユーザーがセルフサービス機能を使えなくなると、管理者が追加のアプリケーション登録リクエストを処理する必要があるからです。この制限で考慮すべき文書化されている弱点は、他にもあります。

名前: アプリケーションを登録できる標準アカウント

コード名: ABILITY-OF-STANDARD-ACCOUNTS-TO-REGISTER-APPLICATIONS

深刻度: Low

タイプ: Microsoft Entra ID Indicator of Exposure