アプリケーションに管理者の同意ワークフローが設定されていない

MEDIUM

Language:

説明

管理者の同意ワークフローがなければ、管理者以外のユーザーにはアプリケーションのアクセス許可リクエストをエスカレーションできる組み込まれた方法がありません。その結果、ユーザーは回避策に頼るか、ユーザー同意が許可されている場合は、自分でアクセス権を付与することになります ([アプリケーションの無制限のユーザー同意] IoE を参照)。どちらのケースでも、組織はアクセス許可の可視性と制御を失い、最小権限の強制力が弱まります。

同意フィッシング攻撃 (不正な同意付与攻撃とも呼ばれる) は、一見正当に見える悪意のあるアプリにアクセス許可を付与するようにユーザーをだまして誘導します。承認ワークフローがなければ、Files.ReadWrite (ユーザーファイルへの完全アクセス) や Mail.ReadWrite (すべてのメールボックスへの読み取りおよび書き込みアクセス) のような疑わしいアクセス許可の範囲にフラグを立てるレビュープロセスがありません。その結果、攻撃者が、パスワード変更や MFA では取り消されない、ユーザーデータへの永続的なアクセス権を取得する可能性があります。

管理者の同意ワークフローがない場合、管理者は監査の目が行き届かない応急的な手段 (メール、チャット、直接の連絡先など) を用いてアクセス許可リクエストを処理しなければなりません。自動化されたリクエストプロセスやリマインダーシステムはなく、承認者、承認対象、承認日時、承認理由がわかる記録も残りません。この監査がないと、アプリケーションのアクセス許可を付与する前に適切にレビューされたことを証明するのが難しくなります。

Microsoft も、セキュリティを強化するために Microsoft Entra を構成するで、「管理者の同意ワークフローを有効にする」ことを推奨しています。

ソリューション

Entra ID テナントの管理者の同意ワークフローを有効化して設定し、ユーザーが管理者の同意を必要とするアプリケーションのアクセス許可をリクエストできる、明確かつ標準化されたプロセスを確立します。有効にすると、[Approval required] (承認必須) ダイアログが表示され、ユーザーはそこから正当な理由を送信できます。リクエストは指定されたレビュー担当者に自動的にルーティングされます。この構造化されたワークフローはすべてのリクエストを取り扱い、管理者はすべての保留中のリクエストを完全に把握することができます。

管理者の同意ワークフローを有効にした後、管理者は適切なレビュー担当者を割り当てる必要があります。リクエストを承認するには、レビュー担当者は、グローバル管理者、クラウドアプリケーション管理者、アプリケーション管理者、特権ロール管理者など、特定のロールを保持していなければなりません。誰かをレビュー担当者として割り当てるだけでは、その権限は昇格しません。レビュー担当者は、必要なロールを持っていなくても、リクエストを閲覧、ブロック、却下できますが、リクエストを承認できるのは、テナント全体の管理者の同意を付与する権限があるロールをすでに保持しているレビュー担当者だけです。 Tenable では、可能であればいつでも「クラウドアプリケーション管理者」ロールを割り当てることを推奨しています。緊急時用に取っておくべき「グローバル管理者」ロールの広範なアクセス権がなくても、これで必要な権限が提供されます。ただし、Microsoft Graph アプリのロールを要求するアプリケーションの管理者の同意リクエストを承認できるのは、グローバル管理者だけです。

レビュー担当者のリストは定期的に監査して、担当者が変更されるたびに割り当てを最新の状態に保ちます。新しいレビュー担当者が閲覧できるのは、自身の割り当て後に作成されたリクエストだけです。一方、削除されたレビュー担当者は、以前のリクエストへのアクセス権を保持します。管理者は、隙が生まれないように、レビュー担当者の追加と削除を慎重に計画する必要があります。

レビュープロセスの形式が決まったら、同意リクエストのメール通知と有効期限を設定します。これらを設定すると、新しいリクエストが送信されたときや期限が近づいたときに、レビュー担当者にアラートが送信されます。リクエストを送信したユーザーは、そのリクエストが承認、拒否、またはブロックされたときに通知を受け取ります。有効期限を決めることで、古いリクエストが無期限に残ることを防げます。

インジケーターの詳細

名前: アプリケーションに管理者の同意ワークフローが設定されていない

コード名: ADMIN-CONSENT-WORKFLOW-FOR-APPLICATIONS-NOT-CONFIGURED

深刻度: Medium

タイプ: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 情報:

戦術: TA0001 - 初期アクセス
- テクニック: T1566 - フィッシング
戦術: TA0004 - 権限昇格
- テクニック: T1098.001 - アカウント操作: 追加のクラウド認証情報, T1098.003 - アカウント操作: 追加のクラウドロール
戦術: TA0006 - 認証情報アクセス
- テクニック: T1528 - アプリケーションアクセストークンの窃取
戦術: TA0008 - ラテラルムーブメント
- テクニック: T1550.001 - 代替認証マテリアルの使用: アプリケーションアクセストークン